NIST、まもなく耐量子暗号標準を公開=今すべきこと
米国国立標準技術研究所(NIST)による、待望のポスト量子暗号(PQC)標準のリリースが数週間後に迫っている。企業・団体のIT部門責任者は、自社の暗号化基盤をアップグレードして耐量子セキュリティ態勢を強化すべく、明確な戦略と複数年のロードマップを描く必要がありそうだ。
「NISTからFIPS(米国連邦情報処理標準)が発行されるのは、(中略)きわめて重要なマイルストーンです」。米デロイトのリスク&ファイナンシャルアドバイザリー担当マネージングディレクター、Colin Soutar(コリン・スーター)氏がSDxCentralの取材で語った。
公開になれば、「harvest now, decrypt later」(今収集し、いずれ復号する)攻撃や、データの保護に関して、企業の認識は微妙に変わることが予想される。「ある企業が、CRQC(暗号解読に適した量子コンピュータ)に対して、現在は脆弱でないにしても、いずれはデータが盗まれるという理解、あるいは認識をされているとします。標準が(中略)発行されれば、データを保護するもっと良い方法を取れることになります」
「あと数週間で標準が手に入ります。そうすれば、量子コンピュータの脅威、将来的にはCRQCになりますが、現在ある非対称暗号の多くが解読されるという脅威に対して、取れる改善策があることが企業に理解されるでしょう」と氏。「いったん公開になれば、理解がされると思います。標準を利用して、将来の攻撃に対する緩和策を講じられるようになるのです」
PQC標準の公開後、IT部門の責任者は何をすべきか
Soutar氏が強調しているのは、量子コンピュータの脅威はまだ現実のものにはなっていないが、事前に対策しておくことが重要だという点だ。
「いつ登場するのかについては、まだ確かなことはわかっていません。今のところ、5年から10年先ではないかという意見が多いようです」と氏。
ポスト量子のセキュリティ戦略は、導入するのに何年もかかる。
「標準やアルゴリズムが公開された後、導入するのにどのくらいかかるでしょうか。自社のインフラのほか、サードパーティやサプライヤーから提供されている製品・サービスなど、すべてアップグレードが必要です。あまりに多くの要素があるため、当社としては、今のところ、この問題についてはリスク管理の中で取り組むことを提唱しています」
リスク管理戦略の一環として量子コンピュータの脅威に対処する際、氏が推奨しているのは以下の内容だ。
・暗号化の棚卸し
……自社のシステムで暗号化を使用している箇所をすべて特定する。
・最も重要なデータの特定
……最優先に扱うべき、最も重要なデータやトランザクションを明らかにする。
・アップグレードの優先順位を決定
……暗号化を使用している箇所のうち、どの箇所のアップグレードが最も重要で、どこが後回しでよいかを決める。
・詳細な調査と適切なツールの検討
……適切なツールを選び、自社のインフラと、サードパーティやサプライヤーによる製品・サービスをアップグレードする。
・企業ミッションの一部として戦略を実施
……暗号化のアップグレードを事業の目的と整合させ、統一の取れた計画を立案、実行する。
「全体のアップグレードが完了するまでには何年もかかるでしょう」と語った。
デロイトは自発的なアップデートを提唱
氏によると、デロイトの顧客から寄せられるよくある質問から、2つのテーマが見えてくるという。ひとつは、PQCがどういうものかや導入方法、必要となる資金の調達について、明確なガイダンスや「ガードレール」が必要だということ、もうひとつは、量子コンピューティングの脅威によって、実際にどのような影響が生じるのかを理解するのが大事であるということだ。
「CIA(機密性、完全性、可用性)については(中略)少しずつ見えてきています」と氏。「これからユースケースの話がもっと出てくると思いますし、それによってこれが実際どういうものなのか、人々の理解も進むでしょう」
こうした状況などを踏まえて、デロイトは、PQC標準の導入について、最初は法令で義務付けるのではなく、自発的な取り組みとするべきであり、企業がリスク管理をアップデートする形で管理すべきものだと提唱している。
「理想的には、むしろ、自発的なリスク管理の取り組みになればよいと思っています。(中略)実際の作業としては、暗号化の退屈で形式的なアップグレードになるでしょう」と氏。「とはいえ、そうなるまでには、役員レベルの人々の注目をもう少し集める必要があるかもしれません」
NIST to release PQC standards soon and what you should do right now
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
セキュリティ Dan Meyer
SIEM市場が激変=CrowdStrikeはAI支援で備え
-
ネットワーク Dan Meyer
AT&T、ノキアのオープンRANへの関心は薄いが、光ファイバーは重視
-
OPEN-RAN Dan Meyer
オープンRANに必要な後押しはAIなのか
-
IT Dan Meyer
米キーサイトがVIAVIのスパイレント買収に「待った」=15億ドルを提示
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点