本日開催されたInfosecurity Europeの初日、パネルディスカッションでは、暗号学的に意味のある量子コンピューター(CRQC)の実用化までの時間が迫る中で、政府および組織が直面する課題について議論が交わされた。
これらのマシンは非対称暗号を破る能力を持ち、その結果、世界の多くが依存している金融取引、機密データ、セキュアな通信が露呈することになる。
パネルは、これは解決可能な問題ではあるものの、多くの組織、とりわけサプライチェーンのパートナーにおいて、依然として十分に深刻に受け止められていないと主張した。特に長期間保管する必要がある秘密情報については、耐量子暗号(PQC)への移行に向けた取り組みを今すぐ開始する必要があるという。
「長期間にわたる秘密情報があるなら、今すぐ本気で考えるべきです。あるいは何年も前から考えていて、計画を持っているべきでした」とLastwallのCEO、Karl Holmqvist氏は述べた。「『それは後で対処する』と言う人に出会うのは、やや懸念があります」
量子の脅威についてさらに読む: 量子コンピューティングがセキュリティをどう変えるか
Santanderのサイバーセキュリティ研究グローバル責任者であるDan Cuthbert氏は、移行を支援してもらうために、CISOはベンダーにより多くを求めるべきだと主張した。
「外部のベンダーすべてに対して、PQCへの準備状況がどうなっているかを尋ねてください」と彼は聴衆に促した。「顧客として、これらのベンダーに『ロードマップは?』『いつ実現するのか?』『PQCに対応できているのか?』と問い始める必要があります。私たちは製品主導なのだから、コストは彼らに負担させるのです」
LastwallのHolmqvist氏はさらに踏み込み、顧客は、ソフトウェア部品表(SBOM)を求めるのと同様に、ベンダーに暗号部品表(CBOM)を要求すべきだと主張した。
「[こう伝えるのです:]あなたの製品スタックで使われている暗号の一覧を見せてください」と彼は促した。「そして『まだなら、いつ準備できるのか?』と尋ねるのです」
IBMのクラウド・リスクおよびコントロールのリーダーであるAnne Leslie氏は、サプライチェーンや業界において、かつての競合相手同士が「集団的な行動を通じて、各社が個別に持つ知見を補強する」ために協力し始めていると指摘した。
彼女はさらにこう付け加えた。「実務家として前進の糸口がつかめずに苦労しているなら、大きな前進を遂げているこうしたグループに加わってください」
Leslie氏はまた、規制がCISOにとって、取締役会レベルで投資の必要性を訴える助けになり得ると主張し、NIS2とDORAはいずれも、準拠する組織に対して、脅威の進化に合わせて暗号を継続的に維持・強化することを求めていると述べた。
「人々はそこに注意を払っていませんが、確かに書かれています。少なくとも取締役会メンバーは注意を払うべきです」と彼女は付け加えた。「場合によっては、規制は実際に味方になり得ます」
次に何が起こるのか?
CISOが耐量子コンピューティングのプロジェクトのための資金確保に成功した場合、最初に着手すべき最善のことは、企業の「クラウンジュエル」(最重要資産)がどこにあり、何であるかを理解することだと、LastwallのHolmqvist氏は述べた
「人々は本当に厳しく見直して、『もし失われたら当社が沈む情報は何か?』と問う必要があります。驚くほど多くの企業が、明確なリストを実際には持っていません」と彼は主張した。
第2段階は、トラフィックフローの分析やベンダーへのCBOM要求を含め、組織内で暗号がどのように使われているかを監査することだと、SantanderのCuthbert氏は主張した。
翻訳元: https://www.infosecurity-magazine.com/news/infosec2025-vendors-quantum/
