韓国政府、AIレッドチームの国家基準を策定――「検証不可能なセキュリティ対策」に終止符

2026年7月10日 14:45

印刷

記事提供元:Tech Times

(Kevin Hessey/Unsplash)

(Kevin Hessey/Unsplash)[写真拡大]

韓国科学技術情報通信部(MSIT)は2026年7月8日、AI特有のセキュリティ脅威を特定し、擬似攻撃による検証を行う「レッドチーム」の組織構成や運用に関する政府公式ガイドラインを世界で初めて策定した。これにより、これまで客観的な検証が困難だった企業の「AI安全性宣言」に、独立した監査が可能な共通基準がもたらされる。韓国でAIビジネスを展開する国内外の事業者には、2027年1月のAI基本法本格施行に向けた具体的な対応が求められることになる。

■世界初のAIセキュリティ監査基準が誕生

韓国科学技術情報通信部は2026年7月8日、「AIセキュリティ脅威対処マニュアル」および「AIセキュリティレッドチームガイド」の2つの公式ガイドラインを公開した。これにより、組織がAI特有のセキュリティ脅威を特定し、それらを追跡する擬似攻撃テストチーム(レッドチーム)をどのように構成すべきかについて、法域として世界で初めて、監査可能な公式基準が確立された。

これまで学術研究者やジョージタウン大学安全保障・新興技術センター(CSET)、複数のarXiv系統的レビューなどが独立して指摘してきたように、政府が定義した標準基準が存在しないことが、実効性のあるAIセキュリティを確立する上での最大の障害となっていた。企業が自社のAIシステムを「レッドチームで検証済み」と主張しても、これまでは外部からその妥当性を検証する手段が全く存在しなかったが、今回のガイドラインはこの問題を解決するものとなる。

ソウル市内の新羅ホテルで開催された「第15回情報保護の日」記念式典に合わせて行われたこの発表には、米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)、英AI安全研究所(UK AISI)、そしてGoogleが登壇し、プレゼンテーションを行った。これは、同盟国政府や主要AI企業が韓国のアプローチを注視していることの現れと言える。李在明(イ・ジェミョン)大統領は代読された祝辞の中で、新たな脅威に対応するために政府機関間の協力を拡大するとともに、AIベースのセキュリティ技術と産業エコシステムを育成していく方針を表明した。

■AIシステムへの攻撃が活発化――従来型フレームワークが通用しない理由

韓国政府がAIセキュリティに関して独立した2つの文書を発行した背景には、明確な技術的根拠がある。AIシステムは静的なソフトウェアではなく、その脅威カテゴリは従来のアプリケーション向けに構築されたフレームワークには当てはまらないという点だ。AIに対する敵対的攻撃は、システムのライフサイクルにおける根本的に異なる3つのフェーズで発生する。

1つ目は「学習時の攻撃(モデルポイズニングやバックドア注入など)」で、モデルが学習するデータを汚染し、システムがデプロイされて監査が完了したずっと後に、特定の条件下でのみ作動する休眠トリガーを埋め込む。2つ目は、最も広く知られている「推論時の攻撃」であり、プロンプトインジェクションなどがこれに該当する。これは、大規模言語モデル(LLM)がコンテキストウィンドウ内の自然言語指示(文書、APIレスポンス、システム指示を上書きするよう細工されたユーザーメッセージなど)にそのまま従うよう訓練されているという、構造的な脆弱性を突くものだ。3つ目は「プライバシー攻撃(メンバーシップ推論など)」で、特定の個人のデータがモデルの学習セットに含まれていたかどうかを特定できるため、医療、法律、金融などの記録を処理するAIシステムにとって深刻な脅威となる。

従来のサイバーセキュリティツールは、同じ入力に対して同じ出力を返す「決定論的」なソフトウェアを前提に設計されていた。しかし、AIシステムは「確率論的」な応答を生成するため、ファイアウォールや静的コード監査では検知できない方法で操作される可能性がある。これは決して特殊なケースではない。Adversa AIの2025年版セキュリティレポートによると、実際のAIセキュリティインシデントの35%が単純なプロンプトによって引き起こされており、中には1件あたり10万ドル(約1,620万円、1ドル=162円換算)を超える損失を出した事例もある。また、IBMの2025年版「データ侵害のコスト」レポートでは、AIを悪用したデータ侵害の平均コストは449万ドル(約7億2,738万円、1ドル=162円換算)に上ると報告されている。

■「レッドチーム」の定義と、これまで欠けていた標準化

AIにおける「レッドチーム(Red Teaming)」とは、セキュリティ専門家で構成される専用チームを配備し、悪意ある攻撃者に先んじて脆弱性を暴くために、AIシステムに対する敵対的攻撃をシミュレートすることを指す。この取り組みには、外部の攻撃からAIシステムを保護する「セキュリティテスト」と、AIシステムが有害な出力を生成するのを防ぐ「セーフティテスト」という2つの異なる目的が混在している。業界の報告によると、100以上の生成AI製品に対して敵対的テストを実施してきたMicrosoftのAIレッドチームは、プロンプトやスクリプトを用いた攻撃にファジング(予測不可能なデータを入力してバグを検出する手法)を組み合わせる方が、従来のセキュリティツールが検知対象としていた機械学習の回避テクニックよりも効果的であることを突き止めている。

しかし、これまで実施されてきたAIレッドチームの重大な限界は、その手法が機能しないことではなく、「組織がそれを適切に実施した」と言える基準について合意がなかったことにある。CSETは2025年10月に「レッドチームの実践方法は多岐にわたり、確立された基準やベストプラクティスはほとんど存在しない」と明言していた。また、2026年に発表されたarXivの系統的レビューでも、AIレッドチームは「現在断片化」しており、「脅威モデリングが限定的で、評価指標が一貫していない」と指摘されていた。欧州中央銀行(ECB)が主導する金融セクター向けの脅威ベースのレッドチームフレームワーク「TIBER-EU」は2018年から存在しているが、これは金融機関の伝統的なサイバーシステムを対象としており、全セクターのAIシステムをカバーするものではなかった。2026年3月時点でも、権威ある『Chambers & Partners South Korea Cybersecurity Guide』は、韓国にはTIBER-EUや英国のCBEST基準に相当する、脅威主導型のペネトレーションテスト(侵入テスト)専用フレームワークがまだ導入されていないと言及していた。その状況が、2026年7月8日に一変した。

■役割が異なる2つの文書

今回公開された韓国の「レッドチームガイド」は、AIセキュリティプログラムをゼロから構築する実務者を対象としており、レッドチームの構成方法、適用すべき敵対的手法、運用の基準などを定めている。一方、「AIセキュリティ脅威対処マニュアル」は異なる角度からアプローチしており、開発者や運用者が直面する可能性が最も高い具体的な脅威シナリオ(敵対的入力、モデルポイズニング、推論攻撃、AI支援型サイバー攻撃など)を分類し、それぞれに対する実践的な対処法をまとめている。

これら2つの問題を切り分けることには重要な意味がある。ある組織が優れた事後対応(インシデントレスポンス)体制を備えていても、予防的なレッドチームプログラムを持っていない場合がある。また、別の組織ではプロンプトインジェクションによるジェイルブレイク(脱獄)のみをテストし、学習時の攻撃を完全に無視したレッドチームプログラムを運用しているかもしれない。韓国のフレームワークはこれら両方のギャップを同時に埋めるものであり、定義された基準に照らして監査可能なコンプライアンスの基準線を初めて作り出した。

マニュアルが対処する脅威の規模は極めて大きい。テキストを生成するだけでなく、自律的に行動を起こす「エージェント型AI(Agentic AI)」の登場により、新たな攻撃カテゴリが生まれている。Anthropicは2025年9月、AIエージェントによって実行された初の本格的な大規模サイバー攻撃を検知し、阻止したことを公表した。これは国家が関与した作戦とみられ、世界約30の標的に対する戦術的実行の80〜90%をAIモデルが自律的に処理していたという。また、2026年1月にはエージェントフレームワーク「OpenClaw」に512件の脆弱性が存在することが判明し、リリース後わずか数日で1,800以上のインスタンスが資格情報窃盗の危険にさらされた。

■韓国で事業を展開する組織に求められる対応

韓国では2026年1月22日に「AI基本法」が施行され、AIシステムの開発者や運用者に対して法的拘束力のある義務が課されている。これには、韓国のユーザーに影響を与える、または規定の基準を超える売上を上げている外国企業も含まれる。現在は1年間の過料(行政罰)猶予期間中であり、2027年1月22日から本格的な執行が開始される可能性がある。7月8日に公開されたガイドラインは、この施行日までにコンプライアンスインフラを確実に整備するための、政府によるルール策定の取り組みの一環である。

実務上の影響として、韓国でAIシステムを運用する組織、特に医療、金融、エネルギー、交通、教育などの分野で「高影響AI(high-impact AI)」に分類されるシステムを扱う組織は、自社のAIセキュリティプログラムを評価するための政府公認の基準を手に入れたことになる。2026年3月に設立された40人のメンバーからなる「制度改善タスクフォース」が「高影響AI」の定義や関連義務の調整を続けているため、すべての詳細なコンプライアンス要件が確定したわけではない。しかし、どのような対策が適切なレッドチーム検証に該当するかという具体的な問いに対して、今回のガイドラインは、以前の文書(2025年12月にMSITと韓国インターネット振興院(KISA)が発行した「AIセキュリティガイド」や、同年9月の補足フレームワークパッケージ)では示されなかった明確な回答を提示している。

さらに、コンプライアンスへの圧力は二角から迫っている。欧州連合(EU)の「AI法(AI Act)」におけるハイリスクAIに関する規定が2026年8月に発効するため、欧州で事業を展開する組織には並行した義務が生じる。AIセキュリティプログラムの構築を先送りしてきた企業にとって、対応のための猶予は急速に狭まっている。

■グローバルな野心を示す記念式典

今回のガイドラインは、単に静かに公開されたわけではない。7月8日に開催された「第15回情報保護の日」記念式典は、国際的な協調をアピールする場として意図的に演出された。CISA、英AI安全研究所、GoogleがAIベースの情報セキュリティに関する基調講演を行い、情報保護に貢献した35名が表彰された。最高賞である「国民勲章冬柏章」は、国家施設向けの国産ネットワークセキュリティ技術を開発したGeniansのイ・ドンボムCEOに授与された。また、モバイル通信およびサイバー物理システムのセキュリティ研究への貢献により、KAIST(韓国科学技術院)のキム・ヨンデ教授が「国民褒章」を受章した。

世界のAI業界と韓国のセキュリティ機関との結びつきが深まっていることは、この式典が単なる象徴的なものではなく、実質的な意味を持っていた背景を示している。韓国AI安全研究所は、2026年6月17日にOpenAIと、翌18日にはAnthropicとそれぞれMOU(覚書)を締結した。これには、韓国語モデルの安全性評価、AIを活用したサイバー脅威情報の共有、共同評価手法の開発などが含まれる。AnthropicとのMOUは、同社がアジアで4番目の拠点となるソウルオフィスを開設した直後に交わされた。また、韓国政府は2026年5月にOpenAIの「政府信頼アクセスプログラム(Government Trusted Access Program)」に参加し、同社のサイバーセキュリティ特化型モデル「Daybreak」へのアクセス権を獲得している。

■韓国政府が描くAI安全性の長期戦略

レッドチームおよび脅威対処ガイドラインの策定は、直近の法規制対応にとどまらない、AI安全性インフラへの広範な投資の一環である。情報通信企画評価院(IITP)は、早ければ2027年から2034年までの8年間で3,000億ウォン(約324億円、1ウォン=0.108円換算)規模に上る「AI安全性・信頼性プロジェクト」を推進している。このプロジェクトは、グローバルAI企業との安全性評価やサイバーセキュリティ分野での協力を内包しており、商業ベンダーに依存するのではなく、韓国独自の独立したAIセキュリティ研究能力を構築することを目的としている。

科学技術情報通信部傘下の韓国電子通信研究院(ETRI)の付設機関である韓国AI安全研究所は、現在、Google DeepMind、OpenAI、Anthropicの主要フロンティアAI開発企業3社すべてと二国間合意を結んでおり、米国やEU以外で最も国際的なネットワークを持つAI安全性機関の一つとなっている。

■2027年1月までにAI事業者が知っておくべきこと

今回公開されたガイドラインは韓国語のみで提供されており、現時点で英語版の翻訳提供などは発表されていない。韓国国内でAIシステムを運用している、またはAI基本法の売上・ユーザー数基準を超えて韓国ユーザーにサービスを提供している組織は、独自に翻訳を入手し、猶予期間が終了する前に自社のAIセキュリティプログラムを両文書に照らして評価する必要がある。最優先すべきアクションは、ガイドの運用基準を満たすAIレッドチームプログラムを立ち上げる(または既存のプログラムを文書化する)こと、そして「脅威対処マニュアル」に示された脅威シナリオに照らして、高影響セクターのAIシステムを検証することだ。

世界のAIセキュリティ分野において、今回の発表が持つ長期的な意義は、「AIのレッドチーム検証を実施した」という言葉の重みを変えたことにある。これまでは、合意された基準がない中での自己宣言に過ぎず、検証不可能だった。しかし、韓国においては、もはやそのような曖昧さは許されない。

■注目ポイントQ&A

●AIレッドチームとは何ですか?なぜ政府による基準が必要なのですか?

AIレッドチームとは、セキュリティ専門家を配備してAIシステムに対する敵対的攻撃(プロンプトインジェクション、モデルポイズニング、推論攻撃など)をシミュレートし、悪意ある攻撃者に先んじて脆弱性を発見する取り組みです。政府基準が重要な理由は、これまで「適切なAIレッドチーム検証」の定義が存在しなかったためです。企業が簡易的なテストしか行っていない場合でも「検証済み」と自称できる状態でしたが、韓国の新しいガイドラインにより、初めて客観的に監査可能な定義が確立されました。

●韓国のAI基本法は、韓国国外の企業にも適用されますか?

はい、一定の基準を満たす外国企業に適用されます。前年度の総売上高が1兆ウォン(約1,080億円)以上、またはAIサービス売上高が100億ウォン(約10.8億円)以上、あるいは1日平均の韓国国内ユーザー数が100万人を超える外国のAI事業者は、韓国国内に代理人を指定する義務があります。本社の所在地に関わらず、韓国のユーザーや市場に影響を与えるAI活動が対象となります。過料の猶予期間は2027年1月までとなっています。

●「AIセキュリティ脅威対処マニュアル」と「AIセキュリティレッドチームガイド」の違いは何ですか?

「脅威対処マニュアル」は運用者向けの文書であり、敵対的入力やモデルポイズニング、AI支援型サイバー攻撃などの具体的な脅威シナリオと、それらを検知・対処するための実践的な防衛策を記述しています。一方、「レッドチームガイド」は実務者向けの文書であり、実際の運用環境においてAIレッドチームをどのように構成し、人員を配置し、運用すべきかを定義しています。前者が事後対応、後者が予防的なアプローチをカバーしています。

●AIセキュリティの脅威は、主にチャットボットのジェイルブレイク(脱獄)に関するものですか?

いいえ、それだけではありません。ジェイルブレイクはデプロイ後のモデルに影響を与える「推論時の攻撃」ですが、より検知が困難な「学習時の攻撃(モデルポイズニングなど)」も存在します。これは学習データにバックドアを仕込み、特定の条件下でのみ不正動作を誘発させるものです。さらに、個人データが学習に使われたかを特定する「プライバシー攻撃」や、自律的に行動する「エージェント型AI」を標的にした、データ窃盗や不正取引を引き起こす攻撃なども深刻化しており、ガイドラインはこれら広範な脅威に対応しています。

元記事: South Korea Codifies AI Red Teaming, Ending Era of Unverifiable Security Claims

※この記事はTech Timesから提供を受けた記事を日本向けに翻訳・編集したものです。

関連キーワード

関連記事