著名なセキュリティ専門家が、より積極的な資産管理、調達、そして暗号アジリティへの取り組みを通じて、ポスト量子暗号(PQC)への移行計画を早急に加速させるべきだと訴えました。
6月3日にInfosecurity Europeで講演したForescoutのセキュリティインテリジェンス担当VP、Rik Ferguson氏は、世界のSSHサーバーのうちPQCをサポートしているのはわずか8%にとどまり、1年間でわずか2ポイントしか上昇していないと警告しました。
「問題は『Qデーがいつ来るか』ではありません」と同氏は述べました。「その時が来たとき、私たちは準備できているでしょうか?少なくとも歩み始めているでしょうか?」
量子コンピューティング関連の続報:暗号化への量子コンピューティングの脅威は予想より早く迫っている――Googleが警告
今週EYが発表した新たな調査によると、ビジネスリーダーの87%が2030年までに量子コンピューティングが自社業界を混乱させると予測しています。しかし、今後5年間の戦略的優先事項として位置づけているのはわずか35%にとどまり、59%は2030年まで量子技術が十分に成熟しないと考えています。
しかしセキュリティの観点では、暗号解読が可能な量子コンピュータ(CRQC)の登場までのカウントダウンはすでに始まっています。NSAは2021年という早い段階から「ハーベスト・ナウ・デクリプト・レイター(HNDL)」攻撃について警告していたと、Ferguson氏は述べました。
同氏はスノーデン漏洩文書からの証拠を引用し、米国——そして敵対国も——後日の復号化を見据えてすでに暗号化データを大量に収集していると指摘しました。
英米両国の極秘共同監視プログラムである「マスキュラー」および「テンポラ」がその証左です。さらに、中国経由でインターネットトラフィックが大規模に転送された過去の事例から、北京も同様の活動を行っている可能性が高いとFerguson氏は主張しました。
Salt Typhoonの継続的な活動も、暗号化データを窃取して後日復号化することを目的としている可能性があります。
「最大の問題を引き起こすのは、耳に入らない、あるいは見えてこないものです」と同氏は述べました。これらのHNDL攻撃は確認されていないものの、「その能力は文書化されており、実在しています」とFerguson氏は警告しました。
今すぐPQC計画に着手すべき
HNDLのリスクにさらされるのは長期保存データに限られますが、PQCの計画は今すぐ始めなければならないと同氏は述べました。
1月にG7サイバー専門家グループが発表したロードマップも同様の方向性を示しています。しかしそのタイムライン——戦略、インベントリ、計画、移行、テスト、監視——によると、計画フェーズは2028〜2029年に設定されています。これはIBMがStarling耐障害性量子コンピュータの稼働を約束している時期とほぼ重なっています。
Qデーが迫りくる中、Ferguson氏は3つの方面での行動を求めました。
- 暗号化を使用するすべての資産の棚卸し:ネットワーク上に何があるか、何を実行しているか、PQCに対応できるかを確認し、継続的かつリアルタイムの可視化アプローチへと発展させること
- サイバーセキュリティの懸念を「調達プロセスに組み込み」、すべての購入を量子対応という観点から評価すること。専任プログラムを設けることなく、受動的に大規模で機能させることが目的
- 暗号アジリティの能力を構築すること。PQCに対応するTLS 1.3へのアップグレードなどが具体例として挙げられます。「今すぐ暗号方式を変更する必要はありません。将来的にその能力を持てるフレームワークを今から構築しておく必要があるということです」とFerguson氏は述べました。
翻訳元: https://www.infosecurity-magazine.com/news/raise-security-procurement-quantum/
