量子コンピューティングの「脅威」は現実になるのか リスクと対策を解説：セキュリティ「5大トレンド」【後編】

セキュリティを巡る動向の一つとして、将来商用化が見込まれる量子コンピューティングがある。量子コンピューティングはどのようなリスクをもたらすのか。それに備えるには、どうすればいいのか。

[Karen Scarfone，TechTarget]

　人工知能（AI）技術の普及をはじめ、最近のIT分野における動向はセキュリティに大きな影響を与えている。システムを守るためには、最新のトレンドを知ることが重要だ。本連載はセキュリティのトレンドを解説し、具体的な施策を考える。今回は3つ目から5つ目に焦点を当てる。

トレンド3．量子コンピューティング

併せて読みたいお薦め記事

連載：セキュリティ「5大トレンド」

• 前編：AIの「危険性」と「可能性」　セキュリティ担当者はどう向き合うべきか

セキュリティを巡る動向とは

• 次世代IDセキュリティのトレンドが分かる「3つのキーワード」とは
• 期待値はChatGPT超え？　セキュリティは「AIエージェント」でこう変わる

　量子コンピューティングは、量子力学を用いて複雑なデータ処理を実施する技術だ。将来、量子コンピューティングが商用化され、攻撃者に悪用された場合、現在主流の暗号化技術で保護したデータが解読されてしまう恐れがある。

　量子コンピューティングの悪用による暗号技術の無力化を防ぐには、「ポスト量子暗号技術」（PQC）への移行が有効策になる。PQCは、量子コンピューティングを使ってもデータの解読が困難な、新型の暗号技術だ。近年、AppleをはじめとしたITベンダーがPQCの開発や採用に力を入れている。

　企業はまず、自社で利用中の暗号技術を確認することが重要だ。それを踏まえてPQCへの移行計画を立て、実行に移す。ポイントは、いち早く動き出すことだ。量子コンピューティングが商用化されれば、PQCを適用していないデータが漏えいしかねない。そのため、商用化を待って対策を講じることは危険な場合がある。

トレンド4．インシデント対処の高速化

　企業にとって、攻撃を防ぐための施策はもちろん、攻撃を受けた際にシステムを素早く復旧させる能力の強化も重要だ。ランサムウェア（身代金要求型マルウェア）攻撃を受けると、システム停止に陥ることがあるため、攻撃からの迅速な復旧がビジネスを継続させる上での鍵を握る。企業はランサムウェア攻撃に備え、セキュリティ担当者だけではなく、システム管理や法務、広報など、さまざまな部署に所属する従業員が緊密に連携し、対処に取り組まなければならない。身代金の要求に応じるかどうかのスタンスも事前に決めておくことが大切だ。

トレンド5．ソフトウェアサプライチェーン攻撃のリスクの認識

　企業は、自社が直接攻撃を受けることに加え、利用しているIT製品／サービスへの攻撃を通じて被害を受けるリスクにも注意しなければならない。これを「ソフトウェアサプライチェーン攻撃」と呼ぶ。ソフトウェアサプライチェーン攻撃として注目を集めたのは、監視ツールベンダーSolarWindsへの攻撃だ。2020年、ロシアのサイバー犯罪集団「Nobelium」がSolarWindsのソフトウェアアップデートに不正コードを仕込み、それがSolarWinds製品のユーザー企業に配布された。数千社の企業が攻撃の影響を受けたとみられる。

　ソフトウェアサプライチェーン攻撃のリスクを減らす簡単な方法はない。重要なのは、ソフトウェアサプライチェーン攻撃のリスクを正しく認識し、取引先のベンダーに対する警戒を強化することだ。具体的には、以下のことに取り組むとよい。

• 自社が利用しているIT製品／サービスのベンダーがどのようなセキュリティ対策を講じているかを確認する
• ベンダーとの契約の締結や更新時に、ベンダーが実施しているセキュリティ対策に関する情報開示を求め、の透明性を求める
• 自社のセキュリティ要件をベンダーが順守が可能かどうかを打診する