_jvphoto_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale)
出典:jvphoto(Alamy Stock Photo経由)
IBMコンサルティング、Keyfactor、Quantinuum、Thalesは、それぞれのリソースを結集し、企業向けに統合されたポスト量子暗号(PQC)技術とサービスを提供する新たな「Quantum-Safe 360アライアンス」を木曜日に立ち上げました。
このアライアンスは、完全かつ互換性のあるPQC評価および移行機能を提供することを目指しています。4社はすでに様々なパートナーシップを結んでいるため、技術統合の多くはすでに整っています。
例えば、CyperTrustデータセキュリティプラットフォームやLuna HSMで知られるThalesは、他の3社それぞれと個別にパートナーシップを結んでいます。さらに、公開鍵基盤(PKI)や証明書ライフサイクル管理を提供するKeyfactorは、昨年、検証可能な量子乱数鍵を生成するQuantum Originプラットフォームを持つQuantinuumと提携しました。
先週、IBMコンサルティングはInfoSec Globalとのパートナーシップを発表しました。InfoSec GlobalはKeyfactorが5月に買収した企業で、暗号資産の発見とインベントリ技術を提供しています。
4社は、顧客の評価や移行実装を共同で多数手掛けていたことから、昨年12月にヘルシンキで静かにアライアンスを結成しました。
「これらのプロジェクトには全員が関わっていました。なぜなら、コンサルティングから鍵管理、アプリケーション、そしてその基盤となる乱数生成まで、さまざまなコンポーネントが必要だからです」とQuantinuumのセキュリティ責任者、ダンカン・ジョーンズ氏は語ります。
IBMのサイバーセキュリティサービスパートナーであるアンッティ・ロッポネン氏は、PQC対応技術のエコシステムは断片化されており、対応には複数のプロバイダーが必要だと指摘します。「量子安全は、1つの組織だけで実現できるものではありません」とロッポネン氏は説明します。「異なるコンポーネント間には多くのダイナミクスがあります。」
KeyfactorのCTO、テッド・ショーター氏も同意します。「各ベンダーとして、私たちは皆、量子分野で重要な役割を担い、顧客が新しい[PQC]アルゴリズムやプロトコル、標準への移行を支援していますが、私たちだけですべてを担えるわけではないことも理解しています」と彼は言います。
量子コンピュータがRSA暗号を破る時期は誰にも分かりませんが、米国を含む多くの国が2030年からPQC対応の一定のマイルストーン達成を目標に期限を設定しています。
アライアンス設立の機運が高まったのは1年前、米国国立標準技術研究所(NIST)が初の量子耐性暗号標準を公式に発表し、機密データを扱うシステムでの実装ガイドラインを発行した後でした。1か月後、G7サイバー専門家グループ(CEG)は声明を発表し、量子コンピューティングが世界の金融システムにもたらすリスクを強調しました。
CEGの勧告には、公的および民間の関係者が、量子コンピューティングが既存の暗号方式にもたらす差し迫ったリスクに備えるべきだという提案が含まれていました。4社のリーダーはDark Readingに対し、主要な金融サービス機関、医療提供者、政府機関は何年も前からPQC戦略を実装してきたと語っています。
認知度は上昇するも、導入は遅い
量子コンピュータがいずれ標準的なRSA暗号を破る処理能力を持つようになるという一般的な認識はあるものの、多くの組織は準備ができておらず、投資も後回しにしています。
Keyfactorの依頼でWakefield Researchが北米と欧州の大企業のサイバーセキュリティ専門家450人を対象に実施した調査によると、48%が量子コンピューティングリソースを持つ攻撃者による侵害に備えていないと回答しています。
中規模組織はより脆弱で、56%が備えていないと回答しています。これはKeyfactorが先月発表した調査結果のレポートによるものです。「この脅威について明確に認識されているにもかかわらず、多くの組織にとって今後の道筋は依然として不透明です」とKeyfactorの戦略担当SVP、アドミール・アブドゥラハマノビッチ氏はレポートで強調しています。
セキュリティや技術リーダーは量子の脅威を理解しているものの、多くはその脅威を過小評価したり、移行に必要な規模を認識していなかったりします。「全員がSHA-1からSHA-2への移行にどれだけ時間がかかったかを見れば、今すぐ始める必要があることが分かります」とKeyfactorのショーター氏は言います。
アライアンスがベストプラクティスと推奨事項を共有
アライアンスは、暗号アジリティ(crypto agility)を確立するためのベストプラクティスをまとめたホワイトペーパーを公開しました。暗号アジリティとは、必要に応じて暗号アルゴリズムを置き換え、レジリエンスを確保する能力であるとNISTは説明しています。
アライアンスのホワイトペーパーによると、暗号アジリティの実現は、量子コンピュータが現行の暗号を破れるようになった際に機密データを守るために不可欠です。「この将来の状況では、現行の暗号方式に頼るだけではもはや十分ではありません。唯一の現実的な解決策は、暗号アジリティ―新たな課題に対応し進化できる量子安全な暗号標準を迅速に採用・実装できる能力です。」