政府は、AIを悪用したサイバー脅威への備えとして、官民連携の緊急対応体制を整備する。高性能AIが脆弱性の探索や攻撃に利用される事態を想定し、脆弱性管理やパッチ情報の共有、企業のセキュリティ点検を強化する。

科学技術情報通信部は5月29日、第9回科学技術関係閣僚会議で「AI基盤サイバー脅威に対応するための民間情報保護推進計画（案）」を明らかにした。

背景には、AIによる脆弱性探索が従来のセキュリティ対応能力を上回る可能性があるとの懸念がある。足元では、AnthropicやOpenAIなどの海外大手テック企業が、サイバーセキュリティ分野の能力を持つAIモデルを一部企業向けに提供する取り組みを進めている。

政府は、Anthropicの「ミトス」のような高性能AIが、すでにセキュリティ専門家並みの水準でソフトウェアの脆弱性を見つけられる段階に達しているとみている。発見された脆弱性が実際の攻撃に悪用される可能性もあり、個人や企業、各種機関がAI由来の脅威にさらされるおそれがあると判断した。

Anthropicの「グラスウィング」プロジェクトの第1次報告書では、参加企業のソフトウェアやオープンソースから1万6000件超の脆弱性が確認された。政府は、このうち公開された88件を分析し、国内への影響がある2件については5月24日にセキュリティ勧告を出し、官民と軍当局で共有した。

また、約2万8000社の最高情報セキュリティ責任者（CISO）に対し、警戒強化も要請した。

今後は、大統領府の国家安保室を中心に、AI関連の脆弱性公開やパッチ、脅威動向などの情報を迅速に共有・周知する。侵害事故の兆候が確認された場合には、関係機関が合同で対応できる緊急体制も構築する。

科学技術情報通信部は省内に総括対応班を置き、民間分野では所管省庁ごとに対応班を設ける。

韓国インターネット振興院（KISA）には脆弱性管理センターを新設する。KISAの脆弱性情報ポータル「KNVD」を軸に、国内外で公開・報告された脆弱性とパッチ情報を収集・分析する。

収集した情報は、セキュリティ勧告やCISO向けチャネル、民間協力チャネルなどを通じて、企業や関係省庁に展開する。

企業ごとの対応も強化する。影響が大きい主要企業については、所管省庁主導で資産管理、脆弱性点検、パッチ適用などを進める。

対象は、情報通信基盤施設とISMS義務企業に加え、金融、医療、エネルギー分野の大企業、大規模総合病院、主要私立大学など約1200社。政府は分野別に履行状況を点検する。

中小企業向けには、セキュリティ基盤の整備を支援する。自社のIT資産やセキュリティ水準を自己診断できるWebツールを提供するほか、オープンソースの脆弱性特定に向けたソフトウェア構成明細書（SBOM）の生成・分析に関する技術支援も進める。

高性能AIモデルを活用し、中小企業製品の脆弱性点検を支援する計画も盛り込んだ。

AI基盤の脅威検知も拡充する。世界の約3億5000万件のドメインを常時監視し、ドメイン生成の段階から、AIを悪用した不正行為や攻撃準備の兆候を検知して対応する。

AIサービスに関連する侵害事故の疑いが生じた場合は、侵害事故調査審議委員会を直ちに稼働させる。

国際協力も強化する。科学技術情報通信部は、OpenAIの政府・機関向け信頼基盤アクセスプログラム（GTAC）の確保を手始めに、海外大手テック企業のAIセキュリティ関連プロジェクトへの参加や情報確保に向けた協力を続ける方針だ。

友好国のサイバーセキュリティ機関との間でも、AI基盤の脅威対応に関する情報共有を進める。

ペ・ギョンフン副首相兼科学技術情報通信部長官は、「サイバーセキュリティ分野におけるAIの進化は、トップレベルのハッカーに匹敵するほど速い」としたうえで、「今回の対策を通じて、AIに起因する大規模な脆弱性公開に対応する緊急体制を整え、国内の技術とモデルを基盤とするAIセキュリティ主権の確立を加速させる」と述べた。

この日の閣僚会議ではこのほか、各省庁のAI転換の推進状況や、フィジカルAIの中核競争力確保戦略、「製造AI 2030戦略」も議論した。大学の研究施設・装備の共同活用促進策や、国家研究開発における行政様式の簡素化など、研究行政の負担軽減策も議題に上った。