耐量子コンピューター暗号 (PQC) 12-19-2023

PQC に向けて暗号化資産を管理する

Timothy Hollebeek
PQC Blog Hero Image

量子コンピュータの登場が近づくにつれ、暗号の専門家らがすでに知っていることが明らかになってきています。つまり、あらゆる場所で暗号化が行われるということです。現在のセキュリティ手法を実装するほぼすべてのものが、暗号と公開鍵インフラ(PKI)を採用してデジタルトラストを実現しています。

暗号の普及になぜ関心を抱くべきでしょうか。暗号に関連する量子コンピュータ(CRQC)が存在するからです。CRQC は、RSA  や ECC など従来の非対称アルゴリズムにとって脅威となるほど強力な量子コンピュータです。

これは、耐量子コンピューター暗号(PQC)で対応できる脅威です。米国商務省標準化技術研究所(NIST)が 2023 年 8 月に公表した最初の PQC 規格案は、世界を耐量子の未来に一歩近づけるものでした。

PQC を採用するにあたって、組織はデジタルの資産 を特定する必要があります。これには、暗号化資産の目録を作成することが関係しています。このプロセスは、まず米国連邦政府機関で開始され、各政府機関は、2023 年 5 月までに最重要暗号システムの一覧を提出するように指示を受けました。しかし、多くの政府機関はこの期限を守るのに苦労したため、同年の 12 月まで非対称暗号の政府機関全体目録は完了しませんでした。

連邦政府の取り組みは、暗号化資産の目録の作成がいかに困難かを物語るものでした。これは組織が、存在すら知られていない資産を抱えている場合は特にそう言えます。ここでは、移行計画を始める助けとして、そのプロセスを 4 つのステップに分割しました。

PQC への移行を始めるための 4 つのステップ

量子コンピュータに対する世界の準備状況について、デジサートが Ponemon Institute と共同で行った調査によると、ほとんどの IT リーダーは、自社の準備が万全とはとうてい言えない状況にあると感じていました。暗号化資産を取り扱う組織に所属していて、PQC への移行を始めていない場合は、次の手順で取り掛かることができます。

1. 暗号化資産の目録を作成する

最初のステップは、証明書、アルゴリズムをはじめとする暗号化資産の目録を作成し、重要度のレベルに基づいて優先順位を付けることです。量子コンピュータが実用化されたときでもシステムの安全性を確保できるように、ここからアップグレードや交換が必要なものを特定します。

目録の作成プロセス全体を通じて、以下の重要な質問に答える必要があります。

  • どのアルゴリズムが証明書で現在使用されていますか?
  • 証明書の発行者は誰ですか?
  • 証明書はいつ期限が切れますか?
  • 証明書が保護しているのはどのドメインですか?
  • ソフトウェアの署名に使用されているのはどの鍵ですか?

詳細な目録の作成は、これだけにとどまりません。次のような質問にも答える必要があります。

  • 使用しているソフトウェアパッケージやデバイスはアップデートを自動的にダウンロードしますか?
  • バックエンドサーバーに接続しますか?
  • Web サイトまたはポータルに関連付けられていますか?
  • その Web サイトまたはポータルは第三者またはクラウドプロバイダによって運営されていますか?

これらの質問に対する答えが「はい」の場合、各プロバイダが依存している環境を調べるためにそれらのプロバイダに連絡してください。たとえば、プロバイダが使用するソフトウェアパッケージ、プロバイダのバックエンドプロバイダなどについて調査します。

前述のとおり、これは複雑なプロセスです。しかし、それだからこそ今始めるべきなのです。量子コンピュータがシステムの脆弱性を明らかにし始めて(悪用し始めて)からでは遅すぎます。

2. 長期的に信頼される必要がある暗号を優先する

暗号化アルゴリズムの切り替えは、長期的に信頼される必要がある署名を生成する暗号から着手してください。ルートオブトラスト、寿命の長いデバイスのファームウェアなどが考えられます。これは、ソフトウェアとデバイス、それらで使用される暗号の発行者について詳細な目録を作成する必要があることを意味しています。

なぜでしょうか。攻撃者は長期にわたる策を練ります。具体的には、「今収集し、後で解読」という監視戦略の一環として、暗号化されたデータが収集されます。量子コンピュータが実用化されると、サイバー犯罪者は収集されたデータを解読することになります。この戦略から保護するための唯一の確実な方法は、組織が長期的に依存する暗号に優先順位を付けることです。

3. PQC アルゴリズムを組み込む方法を探り、テストする

NIST は現在も、新しい暗号安全アルゴリズムをセキュアに実装、テスト、デプロイする方法の標準化と文書化に取り組んでいます。しかし、暗号化ライブラリとセキュリティソフトウェアのメーカーは、製品にこれらのアルゴリズムを組み込む作業に今すぐ着手する必要があります。選定された PQC アルゴリズムに対応するためには、ある程度の労力が必要になります。そのため、これらのアルゴリズムを暗号化ライブラリに組み込む方法を探ることで、組織は先手を打つことができます。

4. 暗号化に素早く対応できるようになる

これまでのステップは、簡単には実施できないタスクでした。しかし、量子コンピュータがアルゴリズムを解読し始めるときに、暗号化資産の目録作成の労力は報われます。これがいつ起こるか正確にはわかりませんが、確かなのは、これが「もし」ではなく「いつ」の問題であるということです。

目録の作成が終了したら、PQC への移行の次のフェーズとして暗号化の俊敏性を実現する必要があります。これには、資産の可視化、暗号化テクノロジーを実装する方法の確立、セキュリティの問題が発生する際に迅速に対応する能力の獲得が関係しています。

DigiCert®Trust Lifecycle Manager などのソリューションでは、検出、自動化、一元化された証明書管理といった機能を通じて、証明書インベントリを管理できます。また、システムのインフラに大きな中断をもたらすことなく、古い暗号化資産を置き換えることが可能です。

耐量子コンピューター暗号への移行は大仕事です。暗号化資産を特定および管理することにより、組織はセキュアで信頼できるデジタルの未来のための基盤を築くことができます。

デジタルトラストに関する最新情報

耐量子コンピューター暗号、証明書管理、デジタルトラストなどのトピックについて詳しくお知りになりたい場合、記事を見逃さないようにデジサートのブログを参照してください。

UP NEXT
Device trust

持続可能でセキュアな
EV 充電を実現する鍵

5 Min