米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、耐量子暗号(PQC)標準をサポートしている、またはサポートする見込みのあるハードウェアおよびソフトウェア製品カテゴリの初期リストを公開した。
このリストは、量子コンピューティングの台頭を背景に、組織がPQC導入計画を立て、技術投資戦略を策定するための指針となることを目的としている。
今回の公開は、PQC標準を使用する広く入手可能な製品を特定するため、トランプ大統領が2025年6月6日にCISAを通じて発出した大統領令14306に続くものだ。
CISAは国家安全保障局(NSA)と緊密に連携してこのリストを作成しており、量子耐性技術の進展を反映するため定期的に更新される。
「量子コンピューティングの到来は、機密データの機密性、完全性、そして可用性に対して現実的かつ差し迫った脅威となります。特に公開鍵暗号に依存するシステムではなおさらです」と、CISAのマドゥ・ゴットゥムッカラ暫定長官は述べた。
「こうした新たなリスクに先んじるため、組織はPQC対応技術の調達を優先しなければなりません。この製品カテゴリのリストは、その重要な移行を進める組織を支援します。」
リストに含まれるもの
CISAのリストは、すでにPQC標準を実装している、またはそれらへの移行を進めている技術に焦点を当てている。カテゴリには、クラウドサービス、コラボレーションおよびWebソフトウェア、エンドポイントセキュリティ、ネットワーク機器およびソフトウェアが含まれる。各カテゴリは、以下を含む主要な暗号機能にPQCを組み込んでいる。
-
鍵確立(安全で暗号化された通信を確保する)
-
デジタル署名(真正性とデータ完全性を検証する)
耐量子暗号について詳しく読む:量子コンピュータはあなたの暗号鍵を狙っている――ただし、まだではない
現在、広く入手可能な製品には、PaaSおよびIaaSのクラウドソリューション、Webブラウザ、メッセージングソフトウェア、そしてフルディスク暗号化などのエンドポイントセキュリティツールが含まれる。
ネットワーク機器、アイデンティティおよびアクセス管理(IAM)システム、企業向けセキュリティソフトウェアなど、追加のカテゴリは依然として移行段階にある。
CISAは、将来の調達を計画する際、組織はリストに掲載されたカテゴリにおいてPQC対応製品のみを取得すべきだと強調した。また、自動暗号資産発見ツールや、運用技術(OT)およびモノのインターネット(IoT)デバイスなどの非従来型IT製品は、現時点の対象範囲外であるとも指摘した。
PQC導入のための明確な枠組みを提供することで、CISAは、量子コンピューティングが既存の暗号化手法に挑戦し得る将来に備え、連邦機関、産業パートナー、その他の組織が準備を進められるよう支援することを目指している。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-post-quantum-cryptography/
