韓国サイバーセキュリティ視察

韓国にサイバーセキュリティの視察で訪れました。3年前、マイナンバー担当大臣補佐官時代に、韓国のマイナンバー利活用事例視察に訪れて以来の訪韓です。

内容盛りだくだんの3日間で、公的セクターとしては韓国インターネット振興院(KISA)、韓国地域情報開発院サイバー侵害対応センター、情報保護クラスター(KISA設立)。民間セキュリティベンダーとしては、IGLOO Security、QUBIT Security、EST Security、BaNET infomationTechnologyを訪問して意見交換を行いました。また、高麗大学情報保護大学院Hun-young Kwon教授の「韓国におけるサイバーセキュリティの現状と課題」についての講演も聞きました。

韓国がIT社会に振り切れたのは、小規模ながらも生産性を高める国家を目指したから、サイバーセキュリティの進化は北朝鮮とのサイバー対応により力をつけたから、ということだろう。特にサイバーセキュリティの進化は、イスラエルにとってはPLO、エストニアにとってはロシア、韓国にとっては北朝鮮という隣国があることによる地政学的な要因と考えることも出来ると思う。

視察先で特に興味を持ったのは、平昌オリパラのサイバーセキュリティ対応を担っていたIGLOO Security、KISAが設立した情報保護クラスターです。平昌オリパラのサイバーセキュリティは、日本でも話を聞いていましたが、直接対応していたセキュリティベンダーの話は大変に参考になりました。

平昌オリパラのサイバーセキュリティ体制は、公的機関側の中心はKCIA、民間のシステムベンダーはATOS、AKAMAIなどがいて、組織委員会の下にセキュリティ監視を担当するKT、インシデントを担当するIGLOO Securityがいる。オリパラは関係者が多数いるので訓練をしないと意思疎通が出来ない為、1000件のシナリオを作り訓練をしていた。そこには東京オリンピック組織員会の関係者も入っているという。

スポンサーの関係は確かにあるが、セキュリティは1社だけのソフトを使うのではなく、複数のソフトを組み合わせて構築した方が良い。また、リアルとサイバーを合わせたセキュリティが重要であるが、日本にはKCIAのような組織がないので、誰がその役割をするのか。東京オリパラではATOSの下、NTT、NEC、富士通がシステム構築するが、バイリンガルエンジニアがいない。国際舞台でシステムをつくるには、英語を話せるバイリンガルエンジニアが必要不可欠という事です。これはオリパラだけのことでなく、日本の大手ベンダーが海外のシステムを取りに行くことが出来ない要因ともなっています。例えインフラ輸出と言えども、物の性能ではなく、システムの性能を売り込むことが重要です。

情報保護クラスターは、情報セキュリティ産業育成の為に2017年KISAが設立した産・学・研が一堂に集まった施設です。セキュリティに関する人材育成、セキュリティベンチャー企業支援、情報・人材の交流、海外進出とトータルでサポートしています。ここでの学びは無料で、コースは16あり、1コースは5回の授業がある。教えているのは大学教授やKISA職員等の専門家。このクラスターでの人材育成のボリュームは韓国で必要とされる人員の10%分程度。子どものハッキング大会も開催している。

一方公務員はサイバー教育を受けなくてはならず、全国で授業を受ける場所は何か所かあるとのこと。クラスターに入居するセキュリティベンチャーに対しては、経営サポート(経理・通訳等)、営業サポート、投資家の紹介を行っているが、政府による優先発注のようなものはない。公務員がベンチャー企業からサービスや物を購入した場合、倒産やサービス停止が生じても公務員が責任追求を受けない環境にあり、優先発注はなくても、導入しやすい環境にある。

東京オリパラのセキュリティは、可及的速やかに準備をしていかなくてはいけませんが、そこにバイリンガルエンジニアが日本にほとんどいないということが大きな課題です。政府開発援助という制度も橋や病院、空港といった物的インフラしか対応しておらず、途上国の情報システムへの支援という仕組みは存在していません。あったとしても対応できるバイリンガルエンジニアがいなければ日本の為になりません。海外べンダーとのJVなども困難ということになります。

また、研究開発型のセキュリティベンダーは日本に1社しかありません。他は海外のセキュリティベンダーの商品をアレンジして国内でビジネスを行っているのです。日本ではベンチャー企業のインキュベーション施設は多数存在していますが、セキュリティベンダー専門のインキュベーション施設は存在していないし、ましてや人材育成とセットになっている施設はありません。セキュリティ人材といってもピラミットの頂点であるハッカークラスから、人的被害を無くす為の意識啓発を指導するボトムまでいろいろあるのです。

僕の状況「CSS、HTML、PYTHON、SQLの基礎を学んだ程度で入校できるクラスはあるか?」と聞くと「もちろんある。学びに来てください」と言われたのです。16コースの中身が気になっており、テキストをもらえないかとリクエストをしています。

日本ではセキュリティ人事育成のために登録セキスペのような国家資格を作るなど高度人材に関しては制度を整えてきました。もっと低いレベルからの人材育成と研究開発型セキュリティベンチャーの育成については、韓国モデルも参考になると思います。


編集部より:この記事は元内閣府副大臣、前衆議院議員、福田峰之氏のブログ 2018年8月29日の記事を転載しました。オリジナル記事をお読みになりたい方は、福田峰之オフィシャルブログ「政治の時間」をご覧ください。