暗号化の安全神話は終わる 「量子コンピュータ前」に打つべき5つの防衛策：「HNDL攻撃」というサイバー時限爆弾

「暗号化しているから漏えいしても大丈夫」はもはや通用しない。今盗んだデータを将来解読する「HNDL攻撃」が現実味を帯びる中、完遂すべき「PQC移行」への道とは。

[Nihad Hassan，TechTarget]

　企業にとって「ポスト量子暗号技術」（PQC）への移行は、ビジネスを支えるデータを保護するために不可欠な取り組みだ。PQCは、量子コンピューティング（量子力学を用いて複雑なデータ処理を実施する技術）の悪用による暗号技術の無力化を防ぐための有効策になる。現在のデータ暗号は、量子コンピューティングによって破られる恐れがあるとセキュリティ専門家は警鐘を鳴らしている。特に注意が必要な業種と、PQCに移行させるための具体的なステップとは。

5つのステップで成功させる、PQCへの移行

併せて読みたいお薦め記事

量子コンピューティングとは

• 「量子とは何か？」から理解する量子コンピューティング入門
• 量子コンピューティングの「脅威」は現実になるのか　リスクと対策を解説

　米国国立標準技術研究所（NIST）の予測によると、従来の公開鍵暗号システムは2030年までに廃止され、2035年までには使用が禁止される。従来の公開鍵暗号システムとは、暗号化通信において情報の暗号化と復号に使われる「RSA方式」（Rivest-Shamir-Adleman）や、楕円曲線暗号である「ECC」（Elliptic Curve Cryptography）だ。NISTは量子コンピューティングを悪用した攻撃に耐えるための指針として3つのPQC標準を発表している。

　2026年1月現在、企業が直面しているのは、「HNDL攻撃」だ。HNDLは「Harvest Now, Decrypt Later」の略で、攻撃者は標的データを「今収集」し、「後で（量子コンピューティングが使えるようになったら）後で解読する」。つまり、企業は早めにPQCの移行に着手し、将来のビジネスを守るために、今のうちにセキュリティの強化を図らなければならないということだ。以下で、量子コンピューティングを悪用した攻撃による具体的な脅威を見てみよう。

• 医療
  • 医療機関は、患者記録を長期間保持するための規制に従う必要がある。患者のデータが流出すると、詐欺メールへの悪用や、外部への販売といったプライバシー侵害につながる恐れがある。
• 金融
  • 金融企業は、顧客データ、取引記録、取引アルゴリズム、機密通信を保護するために暗号化技術を使用している。量子コンピュータは、特に価値がある取引データや顧客アカウントを暴露する可能性がある。
• 政府
  • 政府機関は、軍事関連の機密情報や外交通信、職員記録を暗号化技術で保護している。攻撃者はHNDL攻撃のために、このデータを今収集しているとみられる。
• 技術
  • IT企業や技術研究機関は、データ、製品設計、独自のアルゴリズムなどを保護するために暗号化技術を使用している。量子コンピュータの登場は、独自のコード、モデル、特許出願中の技術情報を暴露する可能性がある。これは、標的企業にとって壊滅的な結果をもたらし得る。

PQC移行のステップ

　PQCへの移行には、数年にわたる計画的な取り組みが必要だ。以下に、PQC移行を成功させるためのステップを紹介する。

フェーズ1：データの特定

　企業がデータ保護を強化するには、対象のデータがどこにあり、現状どのように保護されているかを把握しなければならない。

• データを、その重要性や（流出した際の）ビジネスへの影響度に基づいて分類する。企業秘密や患者データなど、長期にわたって保護が求められる情報はHNDL攻撃のリスクを想定し、特に早めの保護策の強化が欠かせない。
• 企業内の全ての暗号資産（ハードウェア、ソフトウェア、ネットワークプロトコルなど）を特定する。
• システムにおけるサードパーティー依存関係を把握する。これには、SaaS（Software as a Service）ベンダーをはじめとしたクラウドプロバイダーや、サプライチェーンパートナーが含まれる。サードパーティー企業のセキュリティ対策を確認し、量子コンピューティングを悪用した攻撃に耐え得るかを評価する。

フェーズ2：リスク評価

　量子コンピューティングを悪用した攻撃を受けた際のリスクを分析し、優先順位を付けてセキュリティ対策を講じる。

• 高リスク
  • 長期的にわたって機密性が求められるデータ（例：企業秘密、患者記録、兵器の設計）と重要インフラ（例：制御システム）
• 中リスク
  • 3〜5年の機密性が求められるデータ
• 低リスク
  • 日時業務の記録データ

フェーズ3：インフラへの投資

　PQCの実装に向けたインフラ要件を検討し始める。既存のハードウェアが、PQC導入に向いているかをテストする。その後、以下の手法のいずれかを実装する。

• 「クリプトアジャイル」（暗号技術を迅速に切り替える手法）
  • システムをクリプトアジャイルに設計／アップグレードする。これによって、暗号化アルゴリズムを簡単な設定変更で切り替えることが可能になる。
• 「ハイブリッド暗号化」
  • 従来の暗号化アルゴリズム（RSAやECC）とPQCアルゴリズムを組み合わせる。これによって、量子コンピューティングが登場したときの脅威に対抗できる。

フェーズ4：協力とリーダーシップ

　PQCへの移行は戦略的な決定で、経営陣の支持が必要になる。経営陣の支持は以下を達成するために重要だ。

• PQC移行のための予算確保
• 部門横断のPQCタスクフォース作成
• サードパーティ企業との協力

フェーズ5：従業員向け教育

　PQCに関する従業員向け教育は、以下のグループを対象とする。

• 技術スタッフ
  • PQCが従来の暗号技術とどのように異なるかを理解してもらう必要がある。
• リーダー
  • HNDL攻撃のリスクを伝え、「規制」「予算」「ビジネスへの影響」といった観点からの注意点を理解させる。
• 法務やコンプライアンス（法令順守）担当
  • PQCを巡る規制、契約義務、ベンダー評価基準に関する知識を伝える。