政府はソフトウェア(SW)開発段階からセキュリティを内在化し、人工知能(AI)基盤の脅威検知・対応システムを構築して、企業や機関の供給網セキュリティ能力を強化する方針である。
科学技術情報通信省(過技省)と国家情報院(国情院)は「AI日常化時代を準備するソフトウェア供給網セキュリティロードマップ」を24日に発表した。
最近、SWは製造、交通、医療などさまざまな産業に融合し、デジタル転換の重要な要素として位置づけられている。そのため、SW供給網は徐々に拡大している。特に最近浮上している高性能AI基盤の攻撃に対しては、既存のSW供給網セキュリティ体制で防御することに限界がある。過技省によると、昨年の侵害事故は2383件で、前年に比べて報告件数が26.3%増加した。半期ごとに見ると、2024年度上半期899件から2025年度上半期1034件に約15%増加し、2024年下半期988件から2025年下半期1349件に約36.5%増加した。
これに対し、政府は企業・機関の能力強化のためのSW供給網セキュリティ強化のロードマップを策定する。主な内容は、△開発・供給段階のセキュリティ内在化 △AI基盤の脅威検知・対応システムの構築 △SW供給網セキュリティ制度及びガバナンスの整備などである。
まず、開発・供給段階からセキュリティを内在化し、SWの透明性を高めて脅威を事前に遮断する。供給網セキュリティ基準とガイドラインを整備し、企業のセキュリティレベルの点検及び開発環境の転換を支援する。ソフトウェア部材明細書(SBOM)を活用した管理モデルを普及させるとともに、AIを適用したセキュリティ自動化技術の開発も推進する。
一つの侵害事故が多数の企業や機関に拡散する可能性がある供給網攻撃の特性を考慮し、脅威検知・対応能力も強化する。バグバウンティや脆弱性報告報奨制度、脆弱性報告・措置・公開制度(CVD・VDP)などを活用して脆弱性発掘のチャネルを拡大し、AI基盤の防御体制を整備する。また、公共納品情報通信製品の安全性を検証する体制を構築し、民間・公共分野ごとのリスク管理体制を高度化して被害の拡散を最小限に抑える方針である。
SW供給網全体を管理するための政策基盤も整備する。政府全体のSW供給網セキュリティ協議体を構成し、供給網セキュリティフォーラムを運営して民間の自主的なセキュリティ活動を支援する。また、民間・公共のセキュリティ制度に関連要素を反映し、セキュリティ適合性制度の対象製品と要求事項を拡大する。サイバーセキュリティ先進国との協力を強化し、国内認証制度の相互認証を拡大して企業の海外進出を支援する計画である。
任正規過技省情報保護ネットワーク政策官は「AIを活用した迅速かつ広範なサイバー攻撃が本格化している状況である」と述べ、「今回の発表により供給網セキュリティを持続的に強化していく」と明らかにした。
* この記事はAIによって翻訳されました。
亜洲日報の記事等を無断で複製、公衆送信 、翻案、配布することは禁じられています。
