Penta Security CTO DukSoo Kim氏

Web Application Firewall(WAF)やDB暗号化セキュリティなどで知られる韓国・ペンタセキュリティ。今回、韓国本社でCTOを務めるDukSoo Kim氏に、日韓セキュリティ事情の違いについて話を伺った。

韓国といえば、2013年3月20日に起きたサイバーテロ攻撃が記憶に新しいが、セキュリティ対策について前後で大きく変わった点はあったのだろうか?

この問いにKim氏は「オンラインバンキングだけではなく、役所の書類についてもWebを介した利用が一般的になっている韓国では、一カ所から個人情報が漏れると、あちこちからお金をそのまま抜き取られるケースが多い。ただ、今回は組織的に企業の活動をダウンさせるといった目的もあったようだし、そういった話はあまり聞かない」という。

ただ、大規模な被害の影響でセキュリティに対する企業の目が集まり、ビジネス的には順調に推移しているという。「韓国のIT企業は新しいものが大好きで、新製品が登場するとすぐに導入しようとする」(Kim氏)。

ただし、"新しいもの好き"である弊害も存在しており、「システムが完全に安全な状態で動くかどうかよりも、納期を第一に考える」(Kim氏)。当然、Webサイトなども納期を優先しており、脆弱性が多く残ったままで稼働するため、同社のWAFなどが伸びている側面もあるという。一方で日本企業は「安全を第一に考えてシステムの導入計画を練っている」と、システム構築の面から思想が異なる印象があるとした。

法整備が進む韓国

韓国ではネットのセキュリティに関する法制度が厳格化されており、セキュリティ事故が起きた場合には行政処罰が下されて、最悪のケースでは代表者が拘束されるという。

「以前は個人情報の流出といった事故を起こした場合はセキュリティ担当者が処罰されるようなケースがあった。この場合、担当者に全ての責任を負わせるといった"トカゲのしっぽ切り"のような状況になることから、代表者が処罰の対象になった。この法律は8月から施行される予定だ」(Kim氏)

ほかにも、法定検査として、1年に数回、役所や金融機関は各種IT・セキュリティシステムの仕様検査が行なわれるのだという。これは、納期を急ぐあまり「仕様と異なるシステムを構築していないか検査している」(Kim氏)。

こうした経緯から、「金融機関では、一昔前までIT担当者の扱いが、ただの"現場作業員"のようなものだったが、近年は力を持つようになり、重要なポジションになりつつある」としている。

「セキュリティに対する考え方が異なる」

また、Kim氏は日韓の違いについて、システムそのものよりも「セキュリティに対する考え方が大きく異なる」と話す。

「日本人は、セキュリティ製品に対して"どれほどビジネスに役立つのか"を念頭に考えている。それに対して韓国人は、政府の取り締まりが厳しいこともあり"良いセキュリティ製品が必要だ"と考えている」(Kim氏)

それだけではなく、個人情報が流出した際の企業の対応として、韓国企業は謝罪会見を開くケースが多いのだという。「もちろん、国民から『なぜ謝罪会見を開かないんだ』というバッシングを受けないために記者会見を開いている場合もあるが、日本ではほとんどのケースで会見を開いていない」(Kim氏)

個人情報の流出では、冒頭でも触れたように役所の書類やオンラインバンキングのWeb活用が活発であるため、公文書にまつわるセキュリティはより強固なものを使う必要があると韓国政府は判断。それらの利用に対して二要素以上の認証を必ず用意しなければいけない決まりになっているとKim氏は語る。

「日本で現在広がっているアカウントリスト攻撃は、韓国で3、4年前に流行った。それを受けて法整備が進み、二要素以上の認証が必要になった。また、それだけではなく、3カ月に1回パスワード変更を要求したり、一定期間アクセスがなかった場合にパスワードリセットを要求される仕様も決められている。これらの条件をクリアして初めて政府からお墨付きが得られる」(Kim氏)

最後にKim氏は、「日本はインフラがしっかりしている分、攻撃がが盛んになっている。近年のインシデントからわかるように、もはやアンチウイルスだけでは防げず、アプリの脆弱性対策といった総合的な対策が必要になる。Web Securityに対する需要は増すと考えており、我々もしっかりと提供していきたい」と抱負を語った。