数々の大規模漏えい事故を経て「データ暗号化」必須へ
では、韓国の企業や政府機関は、具体的にどのような方法でデータ保護の厳しい要件に対応しているのか。イ氏は、その最も重要なポイントの1つとして「データ暗号化」を挙げる。
「どの企業や政府機関も個人情報や機密情報を管理する、サーバーのセキュリティ対策にとても力を入れています。ハードウェアからソフトウェアに至るまで、サーバーを構成するすべての要素でセキュリティ対策に気を配っており、脆弱性診断を必ず行った上で本番環境へ導入することが当たり前なのです。そして、数あるセキュリティ対策の中で最も重要視されているものが『データの暗号化』と言えるでしょう」(イ氏)
近年、マルウェア攻撃の手口が高度化・巧妙化しており、その感染や侵入を100%“完璧に防ぐ”ことは極めて難しい。しかし、あらかじめデータを暗号化しておき、決められたユーザーのみが復号・参照できるようにしておけば、データファイル自体が窃取されて第三者の手に渡ってしまったとしても、その中身まで漏えいするリスクを抑えられる。
そのため重要データを暗号化して管理することは、韓国においては既に要件ではなく、必然ともいえる対策だ。セキュリティ専門家だけでなく、一般国民の間でも当たり前のことだと認識されているという。実際に韓国の法律では、システムで個人識別情報を扱う際に暗号化することが義務付けられている。また、ITシステムを新たに構築する際には、データ暗号化の処理を組み込む前提でソフトウェアやハードウェアを設計することが広く一般的なことになったともイ氏は話す。
「暗号化した個人情報や住民登録番号をキーとしてデータベースの検索処理を行うと、検索のたびにデータの復号化処理が走ることになり、システムパフォーマンスが低下してしまいます。そのため、暗号化された重要情報を用いた検索処理は避けるようにシステムを設計するのです。他にも、暗号化の対象となる情報を1ヵ所で集約管理するなど、韓国では“暗号化を前提とした”システム設計の手法がすっかり定着するようになりました」(イ氏)
