米国のサイバー防衛機関は、連邦機関に対し、新たに公表したガイダンスにおいて量子対応を優先するよう求めている。同ガイダンスは、クラウドサービス、コラボレーションツール、ネットワーク基盤、エンドポイントセキュリティの調達要件に、耐量子暗号(PQC)による暗号化機能を追加するよう助言している。
サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は金曜日、各機関を耐量子技術へ導くことを目的とした一連のガイドラインの第1弾を公表した。初回のガイダンスは、耐量子暗号のサポートがすでに利用可能、または短期間で成熟が見込まれる幅広い技術製品カテゴリを特定することに焦点を当てている。
CISAの担当者はInformation Security Media Groupに対し、製品が耐量子暗号をますます取り込むにつれて、新たな政府および業界の動向を反映しながら「必要に応じて製品カテゴリ一覧を定期的に更新する」計画だと述べた。専門家は、ベンダーは製品単位の義務化を待つのではなく、今回の初回公表を基準として、直ちに耐量子要件を製品ロードマップや長期サポート計画に組み込むべきだと述べた。
量子サイバーセキュリティ企業PateroのCEO、クリック・ウォーターズ氏は「CISAにとっては非常に難しい綱渡りだ」と語った。同庁は、管理可能な高レベルの製品カテゴリ一覧を公表する必要性と、各機関やエンジニアが実際に導入できる具体的な耐量子ソリューションを特定するのに十分な指針を提供することとのバランスを取らなければならない(参照: トランプ大統領のサイバーセキュリティ大統領令が耐量子準備を混乱させる)。
CISAの初期カテゴリには、クラウドサービス、ウェブソフトウェア、ネットワークのハードウェアおよびソフトウェア、ならびにエンドポイントセキュリティ技術が含まれる。担当者は、これらのカテゴリは、連邦環境全体において認証、暗号化通信、システム完全性の基盤要素として暗号が機能している領域を反映していると述べた。
アナリストは、カテゴリの幅広さは意図的なものに見えるとし、各機関が柔軟性を持てる一方で、公共部門向けIT製品・サービスにおいて耐量子機能が基準となる期待事項として扱われるべき領域を示していると述べた。今の段階から契約に耐量子要件を組み込む機関は、拙速な改修や調達上の空白に直面する可能性が大幅に低いという。
公共部門のサイバーセキュリティ・アナリストによれば、このガイダンスは、国家安全保障覚書-10および連邦政府の耐量子移行義務への将来的な準拠に向けた土台も築く。これらは、各機関に対し、暗号システムの棚卸し、「今収集して後で復号(harvest now, decrypt later)」のリスクに最もさらされるシステムの優先順位付け、そして2035年までにネットワーク全体で脆弱な暗号の全社的移行を完了することを求めている。
一部のアナリストは、連邦政府のガイダンスと標準が耐量子導入の枠組みを確立する一方で、多くの製品は依然として未成熟で高コスト、検証未了、またはより広範なエコシステムの準備状況に依存しており、現実の統合を複雑にしていると警告した。Forward Edge-AIの創業者兼CEOであるエリック・アドルフ氏は、棚卸しリストを導入可能なソリューションと誤解すると、暗号アジリティ、ベンダー間調整、エンドツーエンドの検証を考慮しない場合に、遅延、不安全な設定、またはコンプライアンス不履行につながり得ると述べた。
アドルフ氏は「製品インベントリにPQC対応機能が記載されていても、手動設定が必要だったり、検証が不足していたり、多様でレガシーが多い環境の中でシームレスな動作を保証できないことが多い」と述べた。さらに、製品カテゴリ一覧を実行可能なものにするため、CISAは政府調達のニーズに合わせた明確な技術仕様、検証済み製品レジストリ、相互運用性に関するガイダンスを提供すべきだと述べた。
「これがなければ、購入者は真に準拠し、導入可能なソリューションを選定する際に曖昧さに直面する」と同氏は付け加えた。
CISAは、製品レベルの一覧や追加の技術基準を公表する時期を示さなかったが、担当者は、耐量子実装が安定するにつれてガイダンスは進化していくと見込んでいると述べた。
翻訳元: https://www.databreachtoday.com/federal-buyers-told-to-plan-for-post-quantum-cryptography-a-30607
