現在の暗号が量子コンピューティングで破られる未来は迫っている。そのための備えとして、AWSやGoogleなどのクラウドベンダーは、PQC移行を支援するツールやサービスを提供し始めている。企業が今すぐできることとは。
量子コンピュータは、現在の暗号技術を無力化し、社会の安全を根底から揺るがす脅威になる。そうした事態に備えるための対策が、現行の暗号化技術から耐量子暗号(PQC)への移行だ。しかし、この移行は単なる技術の更新ではなく、レガシーシステムやシステム間の複雑な依存関係といった、企業のITインフラに根付く問題と密接に関係している。
この困難な移行を乗り越えるために、Amazon Web Services(AWS)やGoogleといった主要なクラウドベンダーはどのような解決策を提示し、企業にどのような道しるべを示しているのか。本稿は、主要クラウドベンダーのPQCに関する戦略と、企業が今日から始められるPQC移行の実践的なステップを解説する。
コンサルティング企業Accentureで量子技術のグローバルリードを務めるカール・デュカッツ氏によると、主要なクラウドベンダーはユーザー企業に対してPQC準拠の機能やサービスを提供し始めている。AWS、Google、Cloudflareは、米国立標準技術研究所(NIST)による標準化が完了する前から、先行して自社サービスへのPQCアルゴリズムの導入を進めてきた。
ただし、各クラウドベンダーが提供するサービスは一様ではない。「各クラウドベンダーは、同じ目標に向かって少しずつ異なる道を歩んでおり、この差異化がイノベーションを促進している」。ブラウン大学(Brown University)工学部のアカデミックディレクターであり、マサチューセッツ工科大学(MIT:Massachusetts Institute of Technology)のリサーチフェローでもあるジャネー・デュアン氏は、そう語る。
以下でAWS、Google、Cloudflareが提供するPQC関連サービスを見てみよう。
AWSは、同社のクラウドサービスとの間でデータを安全に転送するサービス「AWS Transfer Family」で、PQC準拠の暗号化技術を提供している。段階的なアプローチを採用しており、インターネットに接続するサービスにおいて、まずはTLSや暗号化ライブラリ「AWS libcrypto」などの技術を通じて、通信データを保護することから着手している。
Googleは、安全に暗号鍵を共有するための技術「鍵カプセル化メカニズム」(KEM)を用いて、「今盗んで後で解読する」(Steal Now, Decrypt Later)攻撃からデータを保護している。暗号鍵管理サービス「Cloud Key Management Service」(Cloud KMS)や「Cloud HSM」への投資も積極的だ。
Cloudflareは、同社のネットワークを通過する、人間が生成したインターネットトラフィックの3分の1以上を、PQC準拠の暗号化で保護している。代表的なPQC関連サービスは、ユーザー企業がライブラリを更新することなく、TLSトラフィックに対して即座に量子コンピュータ耐性を持つ暗号化トンネルを構築できるサービスだ。
デュカッツ氏は、クラウドサービスの利用形態によって、暗号化技術を更新する際のユーザー体験も異なると指摘する。Webブラウザを通じて利用するSaaS(Software as a Service)の場合、主要なWebブラウザはすでにPQCによる保護を有効にしているため、ほとんどのエンドユーザーは更新を意識することはない。PaaS(Platform as a Service)では、クラウドベンダーがベースイメージや鍵管理機能を更新することで、ユーザー企業が新しいシステムを構築する際にPQC準拠のパッケージを利用できるようになる。
「ただし、これらの更新を自社システムに適用、運用するのはあくまでユーザー企業の責任であり、その複雑さはオンプレミスシステムの更新に匹敵する場合がある」とデュカッツ氏は注意を促す。クラウドサービスで管理される組み込みシステムにも、同様の課題は存在する。
クラウドネイティブなシステムに対する支援策が充実している一方で、オンプレミスシステムや組み込みシステムでのPQC移行には、さらなる作業と時間が必要になることが推測される。サイバーセキュリティコンサルティング企業NCC Groupでディレクター兼シニアアドバイザーを務めるナイジェル・ギボンズ氏は、クラウドベンダーがユーザー企業のPQC移行を注力的に支援している領域として、以下の3つを挙げる。
クラウドサービスで実行されるワークロード(処理)に対して、クラウドベンダーはロードバランサーによる通信暗号化、KMSと連携した暗号鍵管理、セキュアストレージといったマネージドサービスを通じて、PQC準拠の暗号化への更新を進めている。これらは更新が比較的容易であり、導入の準備を迅速に進めるための近道になり得る。
クラウドサービスとオンプレミスシステムを組み合わせる「ハイブリッドクラウド」の広がりを受けて、クラウドベンダーはオンプレミスシステムにもPQC準拠の暗号化を導入するためのツールキットやSDK(ソフトウェア開発キット)を提供し始めている。AWSがTLSライブラリ「s2n」にPQC準拠の暗号化を組み込んだことなどが、この戦略の好例だ。
エッジデバイスも、デバイス内での暗号化処理、古いシステムと新しいPQC準拠のシステム間の通信を中継することによる段階的な移行支援といった役割を担う可能性がある。この分野の取り組みはまだ初期段階だが、クラウドベンダーは、ハードウェアメーカーやIoT(モノのインターネット)デバイスベンダーと協力して、軽量なPQC準拠の暗号化機能の実装について、テストと検証を進めている。GoogleとMicrosoftは、CPU性能やメモリ容量といったリソースの制約があるデバイスでも、PQC準拠の暗号化機能が正しく動作するようにするため、オープンな技術標準の策定活動に貢献している。
PQCへの移行を進めるために、企業はまず自社の暗号技術に関する資産の棚卸しから着手すべきだ。その上で、量子コンピュータの脅威に対するリスクを評価し、クラウドベンダーと連携しながら、移行が完了するまでの初期段階における保護策と、移行計画を策定することが必要になる。
量子セキュリティベンダーPQShieldのCEOであるアリ・エル・カーファラーニ氏は、企業がクラウドベンダーと対話し、各クラウドサービスの暗号技術に関するロードマップを理解することを推奨する。AWS、Microsoft、Googleなどの主要クラウドベンダーは、PQCへの明確な移行計画を持っている。企業はその計画を参照して、自社が対処すべき領域を明確にし、具体的な計画を策定できる。
IDセキュリティベンダーLastwallの創業者兼CEOであるカール・ホルムクビスト氏は、PQCへの移行を試験的に進めるための低リスクな隔離環境として、クラウドインフラを活用することを勧める。これによって、企業全体で展開する前に、システムの処理性能への影響やシステム間の連携性に関する問題を把握できるようになる。
最終的に、移行を推進するために必要な意思決定や戦略は、事業の成功に責任を持つ、ITとビジネス両面の知識が豊富なチームが下さなければならない。「クラウドベンダーはPQC移行を支援するツールやサービスを提供し始めているが、その先には戦略的な計画、状況の変化に順応できる技術力に加え、IT部門とセキュリティ部門、事業部門が一丸となった連携が不可欠だ」とギボンズ氏は語る。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
