物理・ネット融合領域から生まれるリスク~韓国 SECON 2019 レポート | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.22(日)

物理・ネット融合領域から生まれるリスク~韓国 SECON 2019 レポート

開催 19 回目の本年は、17 カ国 450 社の出展企業が集まり、32 カ国 47,402 人の来場者がありました。いくつか印象が強かった展示をピックアップしてみたいと思います。

研修・セミナー・カンファレンス セミナー・イベント
保安に関わるイベントなので、日本の展示会のようにふらりと行って入れるものではなく、事前申請し、国籍や所属などを見て許可が出される。プレス登録も同様
保安に関わるイベントなので、日本の展示会のようにふらりと行って入れるものではなく、事前申請し、国籍や所属などを見て許可が出される。プレス登録も同様 全 22 枚 拡大写真
 取材中に「エグクシン」という言葉を聞きました。

 今年 3 月、韓国で開催された総合セキュリティ展を取材していたときのことです。通訳を介してですが、プライドと使命感が、響きと瞳に含まれていたように思います。

 あまり知られていないことですが、韓国と北朝鮮は現在も戦争中です(1953 年から休戦しているだけでまだ終わっていない)。朝鮮戦争は、南北あわせて人口の 6 人に 1 人が死亡する(民間人死者の方が多い)戦争だっただけでなく、南北分断による夥しい数の家族離散が発生、それらの記憶はまだ人々に新しいものです。これは知られていますが、韓国は国民に兵役義務があります。

 もう 70 年近く休戦はしているとはいえ、以前書いたように、休戦協定締結後に北朝鮮が、戦車が走行できるような巨大で長い地下トンネルを、ソウルを目がけて秘密裏に掘っていた(しかも複数あった)ことが判明した等の、ショッキングな出来事も起こっており、要はまったく安心できない訳です。

 「エグクシン」という言葉の響きには、韓国においてセキュリティに関わる仕事に就くことは、選ばれたエリート的誇りがあり、目に見える脅威に対峙する強い責任感を伴うものなのだと感じさせるものがありました。

●アジア最大規模の ITと物理が融合したセキュリティ展

 3 月 6 日から 8 日まで、アジア最大規模の総合セキュリティ展「SECON 2019」が韓国 ソウル市で開催され、本誌は日本から唯一選ばれた媒体として招待を受け、2 日間の日程で展示製品や関係者を取材しました。

 SECON は 2001 年から開催、セキュリティメディア Boannews(保安ニュース)や韓国 KISA などによる委員会によって主催され、現在は UBM 社が運営を行っています。UBM 社は Black Hat USA の運営なども行うイギリスのイベント会社です。

 開催 19 回目の本年は、17 カ国 450 社の出展企業が集まり、32 カ国 47,402 人の来場者がありました。いくつか印象が強かった展示をピックアップしてみたいと思います。

 全体的に SECON の展示は、日本の展示会で見るような、その時々のバズワード(「出口対策」とか「クラウド」とか)を前面に出すようなものではなく、必要な機能を実務的に訴求しているという印象を受けました。

●セキュリティクレーム社会、韓国

 バズワードとしてではないランサムウェア対策製品の展示が複数見受けられました。

 「AppCheck」 (日本法人)というランサムウェア対策製品のブースで、説明者が「当社製品はランサムウェアを防げなかったという顧客からのクレームが少ない」と誇らしげに語っていたのが印象的でした。要はセキュリティ製品に関してクレームが普通にある社会だということでしょう。また、日本の展示会で、クレームがあるなどという不利となりうる情報を提供することなど、まずないでしょう。

 同じ説明員に質問したところ、ユーザーが多く有名なブランド製品を選んでいても、いざ事故が起これば責任問題となるので、本当のところ(導入の実績ではなく、現場での防御の実績)を見極めて製品選定を行うことが多いという話でした。

●国産セキュリティ企業の目的

 国産セキュリティ製品が多いのも韓国の特徴です。日本では国産技術のセキュリティ企業大手というと、FFRI や Digital Arts 程度ですが、物理とサイバー両面で北朝鮮の脅威にさらされ続けた結果のひとつでしょう。

 日本法人もある WINS 社のブースには、同社の DDoS 攻撃対策製品の国内地域別市場シェアが示された、日本の感覚からすると珍しい地図が掲示されていました。各ユーザー企業個社別の満足度を向上させて、ビジネスをどんどん展開する、というよりは、韓国という国全体のレベルを上げることが目標とされていて、セキュリティ管理でいうところの「弱い鎖」を減らし、国全体の安全性を向上することが企業のミッションであることが話から伺われました。韓国では国内を混乱させる DDoS 攻撃が過去何度も発生しています。

 KrCERT のブースでは、SSL 普及を目的とした展示が行われていました。展示パネルのクレジットを見るに DigiCert 社が資金支援を行って展示されているようです。いくつか質問をしましたが、KrCERT がベンダにコントロールされてベンダの製品を売る手伝いをしている、ということではなく、韓国全体に常時 SSL 等々、SSL 普及のキャンペーン等々を行いたい KrCERT が、スポンサーをうまいこと見つけて(あるいは業界大手ベンダが立場上断れなくて or 乗ってきて)展示を行っている、ように見えました。まずは SSL の重要性が国民に伝えることが重要なのでしょう。

 SSL の普及は国全体の安全向上になるので、相対的にニュートラルな立ち位置の KrCERT がそれを進めることには合理性があります。しかし日本でこういうことが行われることはまずなく、SSL が売れて得をする SSL ベンダが各自行う、というスタンスとなっています。どちらの方法がいいのか、考えてしまいました。

●政府が果たすべき役割

 SECON では政府系の展示も多数ありました。日本の展示会で NISC などの出展を見ることはあまりありませんが、SECON では、KISA (韓国インターネット振興院) や、NFC(ナショナルフォレンジックセンター)等々が巨大なブースを展開していました。

 KISA は、レガシーソフトウェア向けのセキュリティソリューションを展示していました。レガシーソフトのバイナリデータからセキュリティホールを自動で検索し、パッチを当てていくものです。製造元がサポートを停止した、あるいは自社開発ソフトで当の開発者が退職して連絡がとれないなど、いまの日本でも発生している問題です。こういうやっかいで儲からない、ベンダーがあまり手を出さない領域こそ、政府系機関が関わる意味があるのかもしれません。

●デジタルフォレンジックは一部門

 NFC(ナショナルフォレンジックセンター)は、「科学捜査」という語本来の意味でのフォレンジックを行う、警察に紐付いた研究機関(デジタルフォレンジックは NFC の部門のひとつとして存在)です。国民への広報とリクルーティングを目的に出展しているそうです。

 その内容は「ニセ札判定スマホアプリ」「イカサマカード判定スマホアプリ」「パスポート偽造検知システムなど」目で見てすぐにわかる、いわばメリハリのある展示が中心でした。NFC は 500 名の正規職員を抱え、年間 40 万件の事件の捜査や証拠分析を行うそうです。

●監視カメラの超大国

 韓国は世界最大級の監視カメラ大国。2015 年の国内統計によれば韓国内に 800 万台の監視カメラが設置されていたということで、単純計算で国民 6 人に 1 台の監視カメラが存在することになります。

 SECON の特徴のひとつは、IT のセキュリティと、監視カメラや治安維持などの物理セキュリティが一体となっているイベントであることです。

 SECON では、監視カメラと IT との、クロス領域のソリューションが数多く展示されていました。Secure Guard Technology が提供するアイデンティティ管理ソフト APPM for Password は、韓国では企業や金融機関などで使われている製品ですが、監視カメラのパスワード管理機能も提供しています。つけようと思えばすぐにつけられる機能でしょうが、日本市場にある IDM 製品ではついぞ見かけない機能です。要はそれだけ需要があるということでしょう。

●監視カメラを中心としたソフトウェアサービス

 ネットワークの通信速度の向上と、画像解析技術( AI や ML )の発展、ここに保安やコンプライアンス需要が加わって、韓国では監視カメラ市場が大爆発しました。いまでは、街頭や店舗だけでなく、児童虐待防止のために幼稚園などにもカメラが設置されているということです。

 「監視カメラ」といわれると、秋葉原の部品マーケットとか三才ブックスとか、いわゆる「デジタルサブカル」的イメージもありますが、SECON で見かけた監視カメラ関連企業はすべて、監視カメラ会社というより、ソフトウェアやソリューション開発企業という印象を受けました。

 世界有数の監視カメラ大国である韓国市場には、海外からの進出も多く、中国の監視カメラベンダ Dahua 社は中国 2 位のベンダーで、防犯カメラのハイエンド製品として韓国への進出を試みているそうです。

 「中国製品=高級品・高価格」というイメージを作りたいと Dahua 社のマネージャーは語ってくれました。いまやシリコンバレーと肩を並べる中国のテクノロジー水準、そして中国国内での政府の監視需要を考えれば、このジャンルのイノベーションも、今後は中国から生まれるかもしれません。

●人間を撮影したデータの分析

 街頭や群衆環視の韓国大手 HIKVISION 社は、今後家庭内に監視カメラを設置、上半身の傾斜角度や歩行速度等の人工知能による分析から、健康状態の判定等を行うソリューションを開発中とのことです。そんなデータが、どこかのクラウドに蓄積されていくことを考えると目がくらむ思いがします。

 監視カメラとその分析技術を提供する CUDO Communications のブースでは、リアルタイム映像ではないものの、板門店の軍事境界線エリアに設置された監視カメラ映像が展示されていました。Dahua 社同様の人間の体位分析から、「徘徊」「ゴミ投棄」「落書き」「ケンカ」等々の、問題となる行動の認識パターンを複数持ち、いずれかが発生すると管理者等にアラートを発するそうです。

 なぜか、人間が連れているワンちゃんの認識も可能だそうで、軍事用(軍用犬同行有無等)なのか、散歩禁止の公園等の管理のためなのかどうか、それは聞き逃しました。

●無人コンビニソリューションを提案するセコムの現地法人

 実は SECON に意外に多かったのが日系企業。セコムの韓国現地法人 S1 は、コンビニの無人化ソリューションを展示していました。監視カメラと、 RFID による入退室、決済までを含むトータルの管理ソリューションで、背景には、コンビニの従業員雇用そのものが極めて困難になっていることがあると教えてくれました。

●人間に次ぐ監視カメラの監視対象、自動車

 駐車場管理の総合ソリューションを展示していたのが、S1 と同じく日系企業のアマノです。

 料金精算ゲートから、ナンバープレート読み取り、駐車場稼働率分析と時刻別料金変更を紐付けてスマホから料金を変更できる駐車場オーナー向けスマホアプリなど、駐車場に関わるハードとソフトを提供します。

 画像認識によるナンバープレートの読み取り技術が、ソリューションの中核で、契約車両以外の駐車時や、ブラックリスト登録車両来場時に、アラートを発したりすることができます。

●GDPR対応による撮影データの匿名化

 韓国の財閥であるハンファグループが所有する監視カメラブランド WISENET のブースでは、監視カメラ映像の人間に該当する部分にモザイクをかける機能が展示されていました。欧州市場での GDPR 対応需要とのことです。

 群衆環視の場合、警備箇所の人間の在不在と、人数さえわかればいい場合が多く、それ以上のプライバシー情報をログとして保有することは経営リスクになるため、精度を意図して落とす機能のようです。

●監視カメラによって生まれる新しい保護対象領域

 5 月末に本誌では、アメリカのナンバープレート読取り機器大手がハッキングされ、ナンバープレートと紐付いた機微情報がダークネットに公開された海外特約記事を配信しました。

 AI や ML による画像解析技術の発展と、解析結果であるビッグデータの整理が容易になったことで、これまでの ID/パスワード、クレジットカード情報、オンラインバンキングのクレデンシャルなどに加え、ナンバープレートやそれに紐付くさまざまなデータ、監視カメラが撮影したさまざまな映像データなどが、今後サイバー攻撃のターゲットとなっていくことが予想されます。

 今回 SECON で見たのは、IT セキュリティ領域と物理セキュリティ領域がクロスすることで生まれる市場機会の広がりと、同時に起こるアタックサーフェスの広がりだったと思います。

 ITセキュリティと物理セキュリティは、文化も成り立ちも、そこで働く人間の傾向も大きく異なります。

 SECON 運営者によれば、SECON のような物理と IT 両者が、同じ場所で開催されるイベントは世界にもあまり例がないことだとか。物理と IT を融合させたイベントの成功例として、海外の企業が調査目的で SECON を訪ねることが増えているそうです。学ぶ点は少なくないといえそうです。

●愛国心という公共財

 最後に、韓国ではセキュリティの事業を行ったり業務に従事することは、愛国的な、尊敬される行為とみなされており、それによってリーダーシップが生まれたり、セキュリティ向上のための推進力として機能している点が、素直にうらやましいと感じました。利益よりも優先される目標が共有されているという共通感覚が存在していると感じました。

 冒頭に挙げた「エグクシン」とは「愛国心」のハングル発音です。

 日本のセキュリティ業界でも「エグクシン(愛国心)」を基準にものを考え行動している人には、取材していると時折出会います。そういう人を取材すると良い記事になります。しかし、それが業界的に共有され公共財になるまでは至っていません。日本にも是非ほしいものです。

取材協力:UBM Asia Ltd

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

アクセスランキング

  1. メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)

    メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)

  2. Android版「LINE」に任意コード実行など複数の脆弱性(JVN)

    Android版「LINE」に任意コード実行など複数の脆弱性(JVN)

  3. 日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会)

    日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会)

  4. 受験者への合格通知を誤って2名分同封し発送(愛知県)

    受験者への合格通知を誤って2名分同封し発送(愛知県)

  5. サイバーセキュリティ技術者の「職人技」どこまで標準化できるか

    サイバーセキュリティ技術者の「職人技」どこまで標準化できるかPR

  6. CrowdStrike Blog:FANCY BEAR( APT28 )とは何者か?

    CrowdStrike Blog:FANCY BEAR( APT28 )とは何者か?

  7. 個人市民税・府民税の「納税管理人の届出書」を別法人に誤送付(大阪市)

    個人市民税・府民税の「納税管理人の届出書」を別法人に誤送付(大阪市)

  8. 「ベビータウン」「プレママタウン」にパスワードリスト型攻撃、ポイント交換も判明(ユニ・チャーム)

    「ベビータウン」「プレママタウン」にパスワードリスト型攻撃、ポイント交換も判明(ユニ・チャーム)

  9. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  10. ハニーポットへの攻撃数は前年同時期の約12倍--上半期レポート(エフセキュア)

    ハニーポットへの攻撃数は前年同時期の約12倍--上半期レポート(エフセキュア)

ランキングをもっと見る