G7によると、金融事業および公的機関は2034年までに遅くともポスト量子暗号(PQC)に完全に移行する必要があります。
1月13日に公開された新しい文書で、G7サイバーエキスパートグループ(CEG)は、金融機関が量子耐性暗号システムをテスト、移行、完全に移行するための推奨ロードマップを設定しました。これは、現在の暗号システムを破壊する可能性のある将来の量子対応サイバー攻撃のリスクに備えるためです。
CEGはG7加盟国の財務大臣と中央銀行総裁に、金融システムのセキュリティと回復力に重要なサイバーセキュリティ問題についてアドバイスするサイバーセキュリティ専門家のグループです。
G7各国の金融当局と業界の専門家で構成された専任CEGタスクフォースによって開発されたこのロードマップは、PQCへの移行に役立つ可能性のある活動のタイプについてシニアリーダーに情報を提供するために設計されています。
規範的なものではなく、ガイダンスまたは規制上の期待を設定していません。
PQCへの移行のための6つの推奨フェーズと、関連する推奨タイムラインを設定しています:
- 認識と準備(2025-2027年):この最初のフェーズでは、G7 CEGは、組織全体の量子脅威のリスクについての認識を高め、重要なシステムと機密データをマッピングすることを推奨しました
- 発見とインベントリ(2025-2028年):最初のフェーズと並行して発生する可能性があるこの第2フェーズは、組織内のシステムと第三者の依存関係の包括的なインベントリを構築し、潜在的なギャップを特定することに専念しています
- リスク評価と計画(2026-2029年):G7 CEGは、重大度の低いシステムを含むすべてのシステムの移行計画を開始することを推奨しました
- 移行実行(2027-2034年):これはコアフェーズであり、この期間中に組織は優先機能から始めて、使用している暗号化システムを量子耐性ソリューションに段階的に移行します
- 移行テスト(2032-2035年):G7 CEGは、移行されたシステムが正常に動作していることをテストするために十分な時間を費やし、エコシステム指向の量子復元力演習を実施することをアドバイスしました
- 検証と監視(2033-2035年):G7 CEGは、テストフェーズが正式に終了した後、利用可能になった新しい暗号標準を組み込むことを含めて、システムの検証と改善を継続することを推奨しました
さらに、G7は、PQCシステムに移行する組織に対し、リスクと標準ベースのアプローチに基づいて計画を構築すること(できれば既存のガバナンスとリスク管理フレームワーク、技術戦略に統合すること)、および移行計画の柔軟性を保ち、時間をかけた再調整を可能にすることをアドバイスしました。
「組織は、新たな脅威と脆弱性に対応するための新しい暗号化ソリューションを適応させるために、暗号化アジリティの目標を移行計画に組み込むことからも利益を得ることができます」とG7の専門家は書いています。
暗号アジリティは、システムを中断することなく暗号アルゴリズムを迅速に切り替える能力です。たとえば、セキュリティ機能をコードベースの残りの部分から分離する、アプリケーションと暗号ライブラリの間に抽象層を作成することで実現できます。
このように、組織はアプリケーション全体を書き直すのではなく、基になるライブラリを修正するだけで、最小限のダウンタイムで暗号化方法を更新または置き換える(RSAからポスト量子アルゴリズムへの切り替えなど)ことができます。
最後に、G7は、管轄地域全体および金融機関のあらゆるサイズとタイプ、および第三者とのコラボレーションも奨励しました。このような協力は「エンティティが互いから学び、断片化されたアプローチのリスクを軽減し、それによって相互運用性を向上させることができる」と文書に記載されています。
翻訳元: https://www.infosecurity-magazine.com/news/g7-2034-deadline-finance-pqc/
