TokyoBlackHatNews

sysdig.com 8分で読了

量子とクラウド:SFがセキュリティ戦略になった日

誰かが部屋に入ってきて「量子コンピューティング」と言うと、他の人はみんな「え?」となる――。それは単純に理解が難しい概念だからです。しかし、インターネットやコンテナ、クラウドコンピューティングも、かつては理解しにくいものでした。量子コンピューティングは情報を処理するための別の方法ですが、「通常の」すなわち古典的なコンピュータよりも指数関数的に速く動作します。

0と1を独立に使う古典的ビットではなく、0、1、またはその両方を同時に使う「量子ビット(qubit)」を用います! 例えるなら、電灯のスイッチと調光スイッチの違いのようなものです。

量子セキュリティの懸念

近い将来、量子コンピュータが十分に強力かつ安定になれば、現在データを保存時(at rest)や転送時(in transit)に安全に保つために使われている暗号方式の一部が、量子コンピュータによって数秒で破られる、あるいは解かれると広く考えられています。これには一般的に使用されているRSAや楕円曲線暗号(ECC)が含まれます。一方で、同じく広く使われているAdvanced Encryption Standard(AES)は弱体化はするものの、破られはしないと考えられています。

ほんの数年前、2022年にChatGPTを通じてAIツールがより広く利用可能になり、LLMが本格的に主流になった頃を思い出してください。この3年間で、その技術は私たちが日常的に使うモバイルアプリ、Webブラウザ、業務機能のあらゆるところに統合され、今では学校でも使い方が教えられています。私たちはAIインフラへの攻撃やAIを用いた攻撃を予測していましたが、昨年は確認済みの報告が増加しているのを目にしました。量子の脅威や脆弱な量子コンピュータに対しても、脅威環境は同様になるでしょう。

量子ソフトウェアとハードウェアは急速に開発されていますが、量子セキュリティはまだ発展途上です。量子コンピュータが現行の暗号アルゴリズムを破れるほど強力になる日であるQ-Dayが想定より早く到来し、移行が完了していなければ、脅威アクターがすでに悪用の準備をしている可能性のあるサプライチェーン攻撃に向けた新たな攻撃ベクトルが開かれることになります。クラウドサービスプロバイダからQuantum-as-a-Service(QaaS)が利用可能でアクセスできる現状では、脅威アクターが攻撃をテストしたり、従来の暗号方式を破る実験をしたりできる可能性があります。

セキュリティコミュニティでは「今収集し、後で復号する(harvest now, decrypt later)」という理論が提唱されています。これは、脅威アクターが暗号化されたデータを盗み、量子コンピュータにアクセスできるようになってから復号できるまで保持し続けるという考え方です。この時間/アクセスは、他のサイバー犯罪グループやスクリプトキディよりも、APTにとってははるかに早く訪れる可能性が高いでしょう。暗号化データを狙う脅威アクターの見出しを目にしないとしても、これを現在の脅威として捉え、機微データを脅威アクターから守ることを優先事項にする、あるいはこれらの暗号方式の置き換えを検討すべきです。あなたの暗号化データはすでに盗まれていて、誰かがそれを破るのを待っているだけかもしれません。

プロアクティブなセキュリティ/耐量子(ポスト量子)レジリエンス

では、まだ十分に理解されていないセキュリティ脅威を予測するにはどうすればよいのでしょうか。おそらくあなたは、別の種類の脅威に対してこのプレイブックを何度も実行してきたはずです。まず、脆弱な暗号方式を使用している組織内の資産をすべて棚卸しし、資産が変化するたびにインベントリを最新の状態に保ちます。残念ながら、データ分類はレガシーな課題であり、複雑でスケールしたクラウド環境にも持ち越され、依然として難題であることが示されています。だからこそ、現在はデータセキュリティポスチャ管理(DSPM)ソリューションが市場に存在します。Q-Day前に安全な暗号移行を成功させるには、データ分類とインベントリが不可欠です。

完全なインベントリを作成したら、脆弱な暗号アルゴリズムから、米国国立標準技術研究所(NIST)が提案するようなポスト量子標準化アルゴリズムへ安全に移行する計画を立てます。NISTはサイバーセキュリティ標準で世界的に著名であり、ポスト量子暗号ソリューションの標準とガイダンスを確立する取り組みを主導しています。2025年3月時点で、NISTは標準化対象として5つのアルゴリズムを特定しています:

  • FIPS 203、204、205
  • ML-KEM
  • HQC

また、プロアクティブなセキュリティ対策として耐量子暗号を適用すべき可能性のある機微データを特定するのに役立つリスク分析ツールも利用できます。これは特に医療、金融、政府部門で重要です。これらの分野では、氏名、生年月日、社会保障番号、その他の政府発行ID番号など、長期間変更されないデータを保管することが多いためです。

セキュリティリーダーは、量子への備えについて今こそ議論すべきです。暗号を移行するための俊敏性はどの程度ありますか、あるいはすでに移行を済ませていますか。Q-Dayに備えていないことにはリスクが伴い、特に機微情報を扱うこれらの分野で働いている場合はなおさらです。

また、多くのセキュリティリーダーの関心事の上位にあるのがコンプライアンスです。現時点では拘束力のあるグローバルなポスト量子規制はありませんが、ポスト量子暗号のセキュリティ戦略は、非常に近いタイムラインで各地で準備が進められています。

さらに、技術的に先進的な国のほぼすべてが、量子技術に対してデュアルユース(軍民両用)リスク管理と輸出規制をすでに施行しています。これは、医療や科学といった民生用途に使える一方で、暗号解読や化学兵器設計といった軍事・諜報目的にも利用できるためです。この理由から、一部の国や研究機関の間では、特定の技術や情報に制限があります。量子コンピューティングに関する情報共有の中には、ライセンスを必要とするものさえあります。

米国連邦政府は数年にわたりポスト量子暗号を優先事項としており、戦略を定期的に更新しています。2025年6月の大統領令では、NSAおよびOMBの長官が、政府機関向けの暗号移行要件を2025年12月1日までに整備しなければならないこと、また移行は2030年1月2日までに実施しなければならないことが示されています。

英国のNational Cyber Security Centreは、2025年3月に移行タイムラインを公表し、まず暗号ベースのインベントリ評価を完全に実施し、そのうえで2028年までに移行目標を定義するため、今すぐ開始することを強く推奨しています。

欧州委員会も最近、EU加盟国向けのロードマップを公表しました。ポスト量子暗号方式は2030年までに導入されるべきで、移行は2026年末に開始される見込みです。

日本政府は、2030年までに量子暗号技術を開発するため、2025年に東芝やNECなどの企業と協力して取り組みを開始すると、2024年10月に発表しました

クラウドにおける量子

AWS、Google、Microsoftといったクラウドサービスプロバイダは、標準化アルゴリズムを展開することで、ポスト量子の未来を守るための取り組みをすでに進めています。彼らは暗号コミュニティで積極的に活動しており、顧客が利用できるツールやリソースに加えて、それぞれ独自の移行を継続しています。IBMも耐量子暗号への移行を行っており、暗号利用を監視して暗号上の脆弱性を見つける機能をユーザーに提供しています。

Quantum-as-a-service(QaaS)へのアクセスを提供するこれら4つのクラウドサービスプロバイダが、脆弱なハードウェアへのアクセスを必要とせずに研究開発を加速し、量子ソフトウェア市場での迅速なイノベーションを可能にしてきたことは、すでに見て取れます。このオープンなアクセスは、量子時代に向けた人材育成を支えるとともに、ポスト量子コンピューティングへの移行を後押ししてきました。

量子コンピューティングは情報処理速度を加速させるため、場合によってはリソース消費を大幅に削減できます。そのため将来的には、量子と古典のハイブリッドなワークフローがより一般的になるかもしれません。クラウド経由でリソース集約的なワークロードを量子プロセッサにオフロードし、完了した結果を古典システムに戻して後処理、統合、または次のアクションにつなげられるようになります。量子コンピュータが古典システムを置き換えるのではなく、それらを強化するのです。

これは、量子がクラウド上でホストされるAIモデルを強力に加速させることも期待されることを意味します。最も大きな影響を受けるのはエージェント型AIで、自己学習アルゴリズムがはるかに速く学習できるようになります。情報処理が速くなることは、次を意味します:

  • モデル学習プログラムの高速化。
  • モデル最適化の大幅な改善。
  • モデルが指数関数的に複雑なデータ(そしてより多くのデータ)を扱えるようになる。

備えは今日から始まる

量子コンピューティングは、遠い未来の「いつか」の技術ではありません。分野の専門家は警告に耳を傾け、各国政府は期限を示唆しています。それは目前に迫っており、すでにセキュリティの形を変え始めています。AIの脅威環境に備え、先手を打とうとしてきたのと同じように、混乱を避け、ポスト量子時代のレジリエンスを確保するために、今こそ行動すべき時です。

では、今日できることは何でしょうか?

  • 専門家またはアナリストに、量子コンピューティングが自社のビジネスとセキュリティ戦略にとって何を意味するのかを、経営層とセキュリティチームにブリーフィングしてもらう
  • データ資産と現在の暗号方式の完全な棚卸しを実施する。機微で長期にわたり保持されるデータを優先する。
  • 移行計画を策定する。脆弱な暗号アルゴリズムに依存するシステムを明確化し、推奨標準への移行に向けた適切なタイムラインを含める。
  • ビジネスへの影響を予測する。脅威モデリングを実施し、自社環境、サプライチェーン、顧客の信頼に対する運用面およびコンプライアンス面の影響を理解する。

量子の脅威はまだ抽象的に感じられるかもしれませんが、行動を先延ばしにすることに伴うリスクは、今この瞬間にも現実のものです。備えのある組織は、Q-Dayを自信をもって迎えられます。時が来たときに混乱に陥るのではなく。

翻訳元: https://www.sysdig.com/blog/quantum-and-the-cloud-science-fiction-turned-security-strategy

ソース: sysdig.com
#NIST標準化 #Q-Day #Quantum-as-a-Service(QaaS) #RSA #クラウドセキュリティ #ハーベスト・ナウ/デクリプト・レイター #ポスト量子暗号(PQC) #暗号移行 #楕円曲線暗号(ECC) #量子コンピューティング

関連記事

セキュリティブリーフィング:2026年5月

特権コンテナなしのランタイムセキュリティ:最小権限制御によるコンプライアンスの迅速化

AIエージェントが主導:攻撃者がLLMを使ってCVEから内部データベースへ4つのピボットで侵入した方法