Tossのプログラムは最初の2年間は数ヶ月しか稼働していませんでしたが、2023年後半以降、同社は継続的に維持しています。ハッカーは発見した脆弱性をアプリに報告できます。深刻なバグを発見したホワイトハットハッカーは、最大3,000万ウォン(5億ドン以上)の報酬を受け取ることができます。

ホワイトハットハッカーでTossのセキュリティ部門責任者であるイ・ジョンホ氏によると、Tossは韓国で唯一、定期的にバグ報奨金プログラムを運営している金融会社であり、同社のセキュリティ能力に対する自信を反映しているという。

8ax1ybjo.png
トスのセキュリティ部門責任者、イ・ジョンホ氏。写真:コリア・ヘラルド

リー氏はコリア・ヘラルド紙に対し、バグ報奨金プログラムは企業がセキュリティシステムに抱える未知なる脆弱性をすべて明らかにすることができると語った。さらに、Tossは韓国で唯一「レッドチーム」を擁する企業である。レッドチームとは、セキュリティシステムや戦略の有効性を検証するために攻撃をシミュレーションするサイバーセキュリティスタッフのチームを指す。

Tossのレッドチームは、リー氏に加えて10名のホワイトハットハッカーで構成され、「ブルーチーム」(防御チーム)と日々連携しています。「偏見を排除することで、企業が見落とし、防御を突破しようとする脆弱性を発見し、真の脅威に対するレジリエンスを強化しています」とリー氏は説明します。

Tossは、Toss GuardやPhishing Zeroといったカスタム防御プログラムを開発し、社内に統合することでセキュリティ対策を強化してきました。これらの対策は、企業の成長に対応するための柔軟性と拡張性を確保するだけでなく、Toss独自の環境に合わせた強固な防御システムの構築にも役立っているとLee氏は強調しました。

しかし、セキュリティ強化への取り組みは、莫大なコストがかかることから、企業にとって容易な選択肢ではありません。Tossを運営するViva Republicaのレポートによると、昨年の情報技術投資額839億ウォンのうち、11.5%にあたる96億ウォンがセキュリティに充てられており、これは韓国のテクノロジー企業の中で最も高い割合の一つです。

リー氏は、セキュリティ向上へのこのコミットメントこそが、Tossへの入社を選んだ理由だと述べた。セキュリティソリューションプロバイダーのRaonSecureで10年間勤務した後、リー氏は多くの企業から引き抜かれていた。当初はTossへの入社を断ったが、創業者兼CEOのリー・スンゴン氏に説得されて入社した。

リー氏は、Tossの防御策は完璧ではないことを強調した。技術の進歩に伴い、皮肉なことにサイバー犯罪者が私たちの日常生活に侵入しやすくなっていると指摘した。大規模言語モデルやChatGPTといった生成AI技術は新たな攻撃手法を生み出し、サイバー犯罪者の侵入障壁を下げている。また、月額制のサブスクリプションサービスとして提供されるランサムウェアも存在する。

市場が急速に成長していることを指摘し、リー氏は、企業が既成のソリューションに頼るのではなく、独自のセキュリティシステムを開発することが重要だと述べた。同時に、サイバー攻撃のリスクを軽減するためには、全体的な意識を高める必要がある。学校で火災安全を教えるのと同様に、サイバーセキュリティを義務教育プログラムに含めるべきだとリー氏は提案した。

(コリア・ヘラルド紙によると)