出典: Aleksei Gorodenkov via Alamy Stock Photo
オピニオン
これは新しいアプライアンスやブラックボックスの売り込みではない。量子手法が静かに本番ワークフローへと組み込まれつつあるなかで、セキュリティ、コンプライアンス、エンジニアリングの各チームがどのように進化する必要があるかを考察するものだ。
以下では、ハードウェア仕様やベンダーのロードマップではなく、最高情報セキュリティ責任者(CISO)、SecOpsリーダー、およびエンジニアリングチームが、可視性、検証、コンプライアンスについてどのような実務的な質問をすべきかに焦点を当てる。
ほとんどの企業は量子コンピュータを運用していない。では、なぜセキュリティオペレーションチームは今から気にかける必要があるのか?
その理由は、量子対応ソフトウェアがすでにミッションクリティカルな環境に導入されているからだ。現在すでに、空軍研究所、航空宇宙メーカー、防衛関連企業などが、古典的なインフラ上で量子インスパイアドなアルゴリズムを実行している。これらのアルゴリズムは、現時点で10倍の性能向上をもたらしており、次世代ハードウェア向けには量子ネイティブなソルバーが開発中だ。
これらのツールを精査するセキュリティチームにとっての課題は、自分たちの環境で実際に何が動いているのかを理解することだ。量子ソフトウェアは、多くの場合、既存のエンジニアリングワークフロー(MATLAB、Python、標準的なシミュレーションプラットフォーム)とシームレスに統合される。そのため、セキュリティチームが、根本的に異なる計算アプローチが使われていることに気づかないまま採用されてしまう可能性がある。
この統合は意図的なものだ。量子ソフトウェアはレゴブロックのように作られるべきである。古いピースを取り外し、新しいピースをはめ込めば、ワークフローは中断することなく継続する。エンジニアは新しいインターフェースを学ぶ必要も、プロセスを変える必要もない。理想的には、量子手法が裏で動いていることを意識することなく、より良い結果と高速なシミュレーションを得られるようになる。
しかし、セキュリティチームが今まさに直面し始めている問題がある。量子ソフトウェアは既存のサイバーセキュリティフレームワークにきれいには当てはまらないのだ。企業が、数値流体力学、構造解析、最適化のために量子インスパイアドなソフトウェアを採用するとき、セキュリティおよびコンプライアンスチームは、それを従来型のエンタープライズアプリケーションとして扱うことが多い。標準的な質問が投げかけられる。データはどこに保存されるのか? どのように暗号化されるのか? アクセス制御はどうなっているのか?
これらの質問は重要だ。しかし、特に量子ソフトウェアが、将来の量子プロセッサ向けに設計されつつも、現時点では古典的なインフラ(CPUやGPU)上で動作するよう設計されている場合、その動作の全体像を十分に捉えているとはいえない。
Deloitteの2025 Tech Trends「The new math: Solving cryptography in an age of quantum(新しい数学:量子時代の暗号解読)」は、暗号的に有用な量子コンピュータが、2030年代にもなれば、現在広く展開されている暗号化標準を破る可能性があると警告している。これは、「今データを収集し、後で復号する」というリスクの窓を生み出すものであり、組織が自らの暗号アルゴリズムを事前に棚卸しし、アップグレード計画を立てない限り、脅威となる。
防衛や航空宇宙のように機密性が最重要となる産業にとって、これは特有の課題を生む。
多くの組織は、機密性の高い計算処理を自らコントロールするために、オンプレミスのデータセンターを運用している。クラウドプロバイダにはアウトソースしない。しかし、量子コンピューティングが成熟するにつれ、量子プロセッサへアクセスするには、外部の量子データセンターに接続する必要が生じる可能性が高い。
計算環境そのものが完全には自社の管理下になくなるとき、どのように運用上のセキュリティを維持すればよいのか?
端的に言えば、既存のセキュリティ運用ガイドライン(SOP)は、まだ追いついていない。量子はまだ新しく、成熟したフレームワークは存在しない。セキュリティチームは量子ベースのソフトウェアを、従来のツールと同じように扱っており、多くの場合、それがギャップを生んでいる。
良い面としては、量子はもはや仮説上の存在ではなく、すでに本番スタイルのワークフローに導入されているということだ。防衛研究機関からNVIDIAのような企業に至るまで、主要プレーヤーが量子と古典のハイブリッドアーキテクチャを積極的に模索している。これは、セキュリティチームが、ゼロから始めるのではなく、量子を意識したプレイブックを構築する際に参考にできる、実世界のパターンが増えつつあることを意味する。
暗号化の問題
広く議論されている量子によるサイバーセキュリティへの脅威は現実のものだ。銀行システムから通信、軍事通信に至るまで、あらゆるものを保護している現在の2048ビット暗号は、十分に強力な量子コンピュータによって、いずれ破られることになる。
これは憶測ではない。数学的な事実だ。量子コンピュータが現在の暗号標準を破るかどうかではなく、「いつ」破るかが問題なのである。
この脅威を特に危険なものにしているのは、その非対称性だ。もし敵対者が先に量子による復号能力を手に入れたとしても、我々はすぐには気づかないだろう。侵害されたシステム、漏えいした機密情報、金融インフラの障害などを通じて、それを知ることになる。その時点では、すでに手遅れだ。
現在、3つのアプローチが浮上している。
-
従来型の暗号化: 現行の標準が安全である限り使い続ける一方で、それらには有効期限があることを理解しておく。このアプローチは「量子コンピュータが本当に登場したときに対処すればよい」という考え方だ。リスクが高い。
-
量子ベースの暗号化: 量子の原理そのものを利用した暗号化手法を開発し、量子コンピュータでも理論的には解読不可能にすることを目指すアプローチ。課題は、十分に大規模な量子マシンを構築すれば(いずれ誰かが実現するだろう)、量子暗号でさえ脆弱になり得るという点だ。
-
ポスト量子暗号: 古典的な攻撃と量子的な攻撃の両方に耐性を持つ暗号アルゴリズムを作るアプローチ。NIST(米国国立標準技術研究所)のような組織が多大なリソースを投じているのはここである。目標は、計算能力がどれだけ進歩しても安全性を維持できる暗号だ。
ポスト量子暗号は、量子コンピュータの能力が制限されたままであることを前提としないため、最も将来性のあるアプローチだといえる。古典コンピュータであれ量子コンピュータであれ、どのような計算機にとっても解くのが難しい数学的問題に基づいて構築されているからだ。
技術者と経営層にとっての量子コンピューティングの道筋
量子テクノロジーはもはや理論上のものではない。すでに運用段階にある。企業は、数年前には計算不可能だった問題を解決するために、今日、量子インスパイアドな手法を利用している。防衛、航空宇宙、半導体、エネルギーといったセクターが導入をリードしている。
しかし、セキュリティフレームワークはそれに追いついていない。従来のエンタープライズソフトウェアには有効だったガイドライン、SOP、コンプライアンスチェックリストは、量子特有の性質を十分にはカバーしていない。
朗報なのは、今がまさに、セキュリティチームが量子をエンタープライズ環境にどのように統合していくかを主導できる転換点にあるということだ。今のうちに量子を意識したセキュリティフレームワークを構築した組織は、導入が加速したときに大きな優位性を持つことになる。一方で、対応を先送りにする組織は、すでにミッションクリティカルとなっているシステムに、後からセキュリティを付け足すために右往左往することになるだろう。
量子は「これから来る」のではない。すでに「ここにある」。そして、あなたのSecOpsプレイブックがそれを織り込んでいないのであれば、すでに出遅れていると言える。
