DigiCertによると、米国、英国、オーストラリアの企業の大多数は、量子コンピューティングが5年以内に現在の暗号を破ると過半数が考えているにもかかわらず、耐量子暗号(PQC)をまだ導入していない。
TLS/SSL証明書認証局(CA)は、3か国のさまざまな規模の組織に所属する約1000人のシニアおよびCレベルのサイバーセキュリティ管理職を対象に調査を実施し、そのうち約半数は従業員数が1000人を超えていた。
量子暗号をすでに導入していると答えたのはわずか5%だったが、暗号学的に重要な量子コンピュータ(CRQC)がもたらす今後の脅威に対して「非常に準備ができている」(38%)または「極めて準備ができている」(19%)と感じていると答えた人は半数を超えた。
これらは、現代の非対称暗号が依拠する数学的問題を解くことができる機械であり、その結果、メールや金融取引からウェブ閲覧、VPNに至るまで、あらゆるものの安全性が損なわれる可能性がある。
DigiCertの回答者の約69%は、こうした機械がわずか5年で現実味を帯びてくると考えていると答えた。
量子コンピューティングの脅威について詳しく読む: ブライアン・コックスがInfosecurity Europe 2025で量子コンピューティングの影響を議論
しかし、量子の脅威は理論上はすでに今日存在し得る。Europolが警告 しているように、「今保存して後で復号」(SNDL)攻撃では、脅威アクターが大量の暗号化データを収集し、将来CRQCによってそれが可能になった時点で復号して暴くことを狙う。
実際、5年というタイムラインはやや楽観的かもしれない。昨日、英国の国家サイバーセキュリティセンター(NCSC)のCTOであるオリー・ホワイトハウスは、英国の組織がPQCに適応するには「10年規模の、国家的スケールの技術変更」が必要だと語った。
しかし、課題の規模と複雑さを踏まえると、重要産業の大企業はすでに量子安全性への移行計画を立てているべきだ。英国の銀行業界団体であるUK Finance は2023年にそのような警告を発していた 。
NCSCのホワイトハウスは、この課題の重大さと規模を認めた。彼はCYBERUKの参加者に対し、これは「ミレニアム・バグの修正が簡単に見えるほどの複雑な変更プログラム」を要すると述べた。
量子安全性への4つのステップ
DigiCertのプロダクトマネジメント担当シニアディレクターであるケビン・ヒルシャーは、PQCへの道のりは企業セキュリティにおける「転換点」を意味すると主張した。
「組織はすでに量子対応計画の初期段階に入っているべきです。まずは資産の発見、リスク評価、そして暗号アジリティから始めます」と彼は付け加えた。
「今日進めている基盤づくりが、量子コンピューティングが現実になったときに、どの組織が信頼とレジリエンスを維持できる立場にあるかを決定します。」
これを踏まえ、DigiCertはPQCへの移行を支援するため、次の4つのステップを推奨した。
- 証明書やアルゴリズムを含む暗号資産を棚卸しし、重要度に基づいて優先順位を付け、アップグレードまたは置き換えが必要なものを決定する
- 信頼のルートや長寿命IoTデバイスのファームウェアに用いられるものなど、長期間にわたり信頼されなければならない暗号アルゴリズムの置き換えを優先する
- 組織がPQCアルゴリズムを取り込む方法を調査・テストする。暗号ライブラリやセキュリティソフトウェアの実装者は、今すぐこれらのアルゴリズムを製品に統合し始めなければならない
- 暗号アジリティを獲得する。これは、資産の可視性を高め、暗号化技術を展開する方法を確立し、セキュリティ問題が発生した際に迅速に対応することを意味する
翻訳元: https://www.infosecurity-magazine.com/news/just-5-enterprises-quantumsafe/
