韓国政府が人工知能(AI)開発・利用時のセキュリティ強化のために、カスタマイズされたゼロトラストセキュリティの開発に乗り出した。AI関連の環境にゼロトラストの成熟度モデルを適用し、AI発のサイバーセキュリティの脅威に先制的対応力を確保するのが骨子だ。
韓国インターネット振興院(KISA)は最近、「AI開発及び利用環境セキュリティ強化のための、ゼロトラスト成熟度モデル研究」を進めると明らかにした。
ゼロトラストは「何も信頼せず、検証を継続せよ」とのセキュリティ概念だ。既存の境界ベースのセキュリティシステムは、攻撃者が内部接続の権限を獲得すれば、内部ネットワークを操れる限界があった。一方、ゼロトラストセキュリティは内部侵入を想定して全ての接続を疑い、持続的に検証し、セキュリティ性を高める。
今回の研究は、韓国内外のAIセキュリティ政策と、韓国企業のAI利用環境を分析し、韓国のAI環境に合ったゼロトラスト成熟度モデルを整備することが骨子だ。
米国の国立標準技術研究所(NIST)は、AIリスク管理フレームワーク(RMF)を設け、欧州連合(EU)もAI法を制定するなど、AIセキュリティ政策にドライブをかけている。
韓国も来年1月にAI基本法を施行する予定で、ゼロトラストのガイドライン、国家ネットワークセキュリティ体系(N2SF)のガイドラインなどを通じて、AIなど情報技術(IT)の新技術の登場と合わせてセキュリティ力を高めることに注力している。
こうした韓国内外のAIセキュリティ政策の動向に加え、エージェントAI・フィジカルAI・オンデバイスAIなど、韓国企業のAI利用現況とネットワークの全区間で発生し得るセキュリティの脅威を把握し、カスタマイズされたゼロトラスト成熟度モデルを開発する。この時、認証体系の強化、マイクロセクメンテーション(超細分化)、ソフトウェア定義の境界(SDP)など、ゼロトラストの原則と中核要素、成熟度レベルをAI環境に合わせて再定義する。
さらに、AIリスクの管理のためのゼロトラストの原則、AI活用業務環境の中核要素、AIのためのゼロトラストセキュリティの実装などを確立したガイドラインも出す計画だ。
政府省庁もAI関連セキュリティの強化のために、慌ただしく動いている。科学技術情報通信部(省)と国家情報院は10日、それぞれAIセキュリティガイドラインを出した。科学技術情報通信部は企業・国民を、国家情報院は公共機関がAIを安全に活用できるよう支援するためのガイドラインを設けた。
情報保護産業界の関係者は、「製品設計の段階から個人情報保護を考慮しなければならないという『個人情報保護中心設計(Privacy by Design)』と同様に、AIサービスも『セキュリティ中心設計(Security by Design)』が重要だ」とし、「情報保護のないAIは砂上の楼閣であり、AIエコシステム全般にわたってセキュリティを内在化しなければならない」と話した。
<画像=ⓒゲッティイメージバンク>
