Qデーはやって来ます。量子コンピューターがいつ今日の暗号を支えるアルゴリズムを破るのかは分からないとしても、テクノロジーリーダーたちは準備を始めています。量子セキュリティへの移行は、製品、インフラ、サプライチェーンにまで及ぶ、複数年にわたる部門横断プロジェクトです。
耐量子暗号への移行範囲は圧倒されるほど大きく見えるかもしれませんが、CIOはプロジェクトをより管理しやすくするために、いくつかの実践的な手順に従うことができると、Forresterのバイスプレジデント兼プリンシパルアナリストのサンディ・カリエリ氏は述べました。
「ここには、組織があるべき状態に到達するために対処しなければならないプロセスがあります」と彼女は言います。「発見し、優先順位を付け、是正し、暗号のアジリティを追加するのです。」
彼女がCIOからよく目にする最大の誤解の一つは、量子耐性セキュリティへの備えが何を意味するのかという点です。「量子セキュリティには量子コンピューターが必要だという誤解をしている人がいることがあります」とカリエリ氏は言います。「量子コンピューターは必要ありません。実際、使うこともありません。これは守るために行うのです。」
こうした移行の緊急性は2つの要因によって高まっていると彼女は述べ、いずれも取締役会やステークホルダーに伝えるべきだとしています。すなわち、規制圧力と技術進歩の急速なペースです。
標準化団体や政府のガイダンスは、政府機関や重要インフラを含む組織に対して、すでに計画の時間軸を示しています。NISTの耐量子移行ガイダンスは期限を定めています。量子に脆弱な公開鍵暗号は2030年までに非推奨とし、2035年までに使用禁止としなければなりません。CISAは、移行の範囲と複雑性が大きく、ガバナンス、予算編成、ベンダー管理を含めて数年を要するため、今すぐ着手するよう組織に促しています。
「今すぐ始める必要がありますし、おそらく数年前に始めているべきでした。なぜなら、これは非常に長い旅だからです」とカリエリ氏は言います。
初期の発見フェーズには、アプリケーション、データ、ID、ネットワーク、IoTデバイス、クラウド、コードにわたる暗号資産の完全な棚卸しが含まれるべきです。また、技術的負債が脆弱性を生む領域を露呈させることもあります。
小規模な組織であればスプレッドシートで棚卸しを管理できるかもしれませんが、大規模組織のCIOは発見を管理するためにベンダーの採用を検討すべきだといいます。大規模組織は、継続的な発見とポリシー保守のためのツールを活用することも検討すべきです。
ただし、技術によって棚卸しのしやすさは異なります。クラウドプロバイダーは移行計画を公表していることが多く、顧客側の作業負担を軽減してくれるとカリエリ氏は述べます。自社開発の技術、あるいは古いソフトウェアライブラリを含む可能性のある社内構築の技術は、リスク領域になり得ます。更新されていない可能性のあるファームウェアで動作するIoTデバイスや、データセンターのハードウェアも同様です。
カリエリ氏によれば、最初の「手軽な成果(イージーウィン)」となる一歩は、調達部門を早期に巻き込み、RFPやSLAの文言を更新して、エコシステムに持ち込まれるサードパーティ製品がリスクを持ち込まないようにすることです。既存ベンダーについては、移行計画とタイムラインを問いただすべきだとしています。
組織は、医療データや銀行データのように10〜15年後でも価値があり得る長期的価値のあるデータを優先すべきであり、今日盗まれたデータは将来復号されると想定すべきです。「今収集し、後で復号する(Harvest now, decrypt later)」ということです。
デジタル署名は高優先度とすべきです。デジタル署名を検証するアルゴリズムが破られれば、契約書やその他の文書が改ざんされていないという保証は失われます。「もし私がCIOで、契約をデジタル署名しているなら、その点を非常に懸念します」とカリエリ氏は言います。
その後の是正(リメディエーション)では、変更を小さな単位で進め、調達・財務と協力して更新サイクルを管理し、ハードウェアが耐量子対応になるまでアップグレードを遅らせる可能性も検討し、ベンダーのタイムラインを徹底します。
暗号アジリティを前提に設計することがプロセスの最終ステップであり、組織は、アルゴリズム変更が再設計ではなく設定変更で済むようなシステムの構築を目指すべきです。「暗号アジリティにとって良い状態とは、次にアルゴリズムが破られたとき、設定を変えることで適応できることです。数年ではなく、数週間で適応できるのです」とカリエリ氏は述べます。
規制の影響により、量子移行は数年前と比べても売り込みやすくなるはずだといいます。米国、オーストラリア、EU、アジア諸国で期限が迫っているためです。「量子コンピューターがいつ今日の暗号を破れるようになるかに関わらず、私たちが取引したい組織や国々から移行を求められています」とカリエリ氏は言います。
これはCIOが抱える戦略的課題の唯一のものではありません。AI、デジタル施策、レガシー近代化への投資についても圧力を受けています。しかし、量子もまた高優先度であるべきだと彼女は述べます。
「ロードマップが重要です」とカリエリ氏は言います。「顧客を守る必要があります。従業員を守る必要があります。外に出てほしくないデータがたくさんあります。今日の時点でおそらく多くはすでに流出してしまっているかもしれませんが、これから先は守ることができます。」
翻訳元: https://www.databreachtoday.com/cio-playbook-for-post-quantum-security-a-30537
