Tossのプログラムは最初の2年間はわずか数か月しか稼働していませんでしたが、同社は2023年後半から継続的に運用を続けています。ハッカーは発見した脆弱性をアプリに報告できます。深刻なバグを発見したホワイトハットハッカーは、最大3,000万ウォン(5億ドン以上)の報酬を受け取ることができます。

ホワイトハットハッカーでTossのセキュリティ部門責任者であるイ・ジョンホ氏によると、Tossは韓国で唯一、定期的にバグ報奨金プログラムを運営している金融会社であり、これは同社のセキュリティ能力に対する自信を反映しているという。

8ax1ybjo.png
トスのセキュリティ部門責任者、イ・ジョンホ氏。写真:コリア・ヘラルド

リー氏はコリア・ヘラルド紙に対し、バグ報奨金プログラムは企業がセキュリティシステムに抱える未知なる脆弱性をすべて明らかにすることができると語った。さらに、Tossは韓国で唯一「レッドチーム」を擁する企業だ。レッドチームとは、セキュリティシステムや戦略の有効性を検証するために攻撃をシミュレーションするサイバーセキュリティスタッフのチームを指す。

Tossのレッドチームは、リー氏に加えて10名のホワイトハットハッカーで構成されています。彼らは「ブルーチーム」(防御チーム)と日々連携しています。「偏見を排除することで、企業が見落としている脆弱性を発見し、防御を突破しようとします。こうして、真の脅威に対するレジリエンスを強化しているのです」とリー氏は説明します。

Tossは、Toss GuardやPhishing Zeroといったカスタム防御プログラムを開発し、社内に統合することでセキュリティ対策を強化してきました。これらの対策は、会社の成長に対応するための柔軟性と拡張性を確保するだけでなく、Toss独自の環境に合わせた強固な防御システムの構築にも役立っているとLee氏は強調しました。

しかし、セキュリティ強化への取り組みは、莫大なコストがかかることから、企業にとって容易な選択ではありません。Tossを運営するViva Republicaのレポートによると、昨年の情報技術投資総額839億ウォンのうち、11.5%にあたる96億ウォンがセキュリティに充てられており、これは韓国のテクノロジー企業の中で最も高い割合の一つです。

リー氏は、セキュリティ向上へのこのコミットメントこそが、Tossへの入社を選んだ理由だと述べた。セキュリティソリューションプロバイダーのRaonSecureで10年間勤務した後、リー氏は多くの企業から引き抜かれた。当初はTossへの入社を断ったが、創業者兼CEOのリー・スンゴン氏に説得されて入社した。

リー氏は、Tossの防御策は完璧ではないことを強調する。テクノロジーの進歩に伴い、皮肉なことにサイバー犯罪者が私たちの日常生活に侵入しやすくなっていると彼は指摘する。大規模言語モデルやChatGPTといった生成AI技術は新たな攻撃ベクトルを生み出し、サイバー犯罪者の侵入障壁を下げている。また、月額制のサブスクリプションサービスとして提供されるランサムウェアも存在する。

市場が急速に成長していることを指摘し、リー氏は、企業が既成のソリューションに頼るのではなく、独自のセキュリティシステムを開発することが重要だと述べた。同時に、サイバー攻撃のリスクを軽減するためには、全体的な意識を高める必要がある。リー氏は、学校の防火教育と同様に、サイバーセキュリティを義務教育プログラムに組み込むべきだと提言した。

(コリア・ヘラルド紙によると)