「ポスト量子暗号」に備えて“今できる3つのこと” 問われるデータ保護:「PQC」移行のこつ【前編】
将来、量子コンピューティングが登場すれば、その高度な処理能力によって従来の暗号化技術が破られかねない。「ポスト量子暗号技術」(PQC)にはどうやって移行できるのか。
量子コンピューティングは、量子力学を用いて複雑なデータ処理を実施する技術だ。将来、商用化とともに悪用されれば、現在の暗号化技術を破る恐れがあるとセキュリティ専門家は警鐘を鳴らす。企業は早めに量子コンピューティングの登場に備え、データのセキュリティを強化しなければならない。具体的にはどうすればいいのか。「今できること」を整理してみよう。
新型データ保護への備え方 3つの取り組みでリスクにいち早く対抗
併せて読みたいお薦め記事
量子コンピューティングとセキュリティ
量子コンピューティングの脅威を受け、米国立標準技術研究所(NIST)は新しい暗号化基準の策定を進めている。量子コンピューティングの悪用による暗号技術の無力化を防ぐ技術として期待されているのは、「ポスト量子暗号技術」(PQC)だ。PQCは、量子コンピューティングを使ってもデータの解読が困難な、新型の暗号技術になる。企業は今後、現在の暗号化技術をPQCに移行する必要がある。
現在の暗号化技術において、例えば、情報の暗号化と復号に使われる鍵交換技術(鍵交換アルゴリズム)を用いる「RSA方式」が使われている。RSAの暗号化アルゴリズムは従来のコンピューティングでは十分なセキュリティを提供するとみられるが、量子コンピューティングによって破られる恐れがあると考えられる。
攻撃者も量子コンピューティングの可能性を認識しており、「データスクレイピング」と呼ばれる手法を始めている。データスクレイピングは攻撃対象となる暗号化されたデータを収集して保存しておき、量子コンピューティングが登場したときに解読を試みるという手法だ。
PQC移行に備えてできること
PQCへの移行は非常に複雑な取り組みになるので、数年にわたる取り組みになると予想する必要がある。PQC移行の準備として企業がすぐに着手できることを以下で紹介する。
1.データの評価と分類
データを評価し、機密扱いをするデータを特定する。それを踏まえ、どのデータに対してどのようなレベルの暗号化が必要かを決める。データスクレイピング対策としては、現在だけではなく、量子コンピューティングが登場したときも重要なデータは何かを考え、それらに対して保護策を強化することが大切だ。
2.暗号化技術の理解
データ分類の次のステップとして、企業は利用中の暗号化技術に関する理解を深めることが重要だ。どのようなシステムやツールにどのような暗号化技術が組み込まれており、その技術はどのくらい脆弱(ぜいじゃく)かを把握する。それを踏まえ、企業はPQC導入の緊急性を判断し、ロードマップを作成できる。
PQCへの移行に当たり、企業は暗号化を技術よりも“ビジネス”の取り組みとして捉えることが重要だ。PQC移行を率いる担当者を決め、経営陣にPQCの重要性とPQCがどのようにセキュリティ事件を軽減できるかを具体的に説明する。
暗号化に関して、IoT(モノのインターネット)デバイスも考慮しなければならない。これらの大半は、PQCに必要なメモリや計算能力を提供できない可能性がある。セキュリティ専門家によると、IoTデバイスには「FN-DSA」や「ML-KEM」といった、メモリや計算能力が限られているデバイスでも使えるPQCアルゴリズムが最適だ。
3.リスク緩和戦略
リスクを緩和するための具体的な戦略を考える。特に、暗号化に関するセキュリティポリシーの明文化や、セキュリティ対策の手順を含めることが大切だ。万が一のデータ流出に備え、インシデント対処計画や事業継続計画を策定する必要もある。
後編は、現在使えるPQCアルゴリズムに焦点を当てる。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。