数十年の開発を経て、量子コンピューティングは現在、高度な科学および商用利用に向けてますますアクセス可能になっています。その潜在的な利点は、医薬品発見および材料科学の加速から、複雑な物流および金融モデリングの最適化に至るまで幅広いものです。
しかし、このトレンドにはパラドックスがあります。量子コンピューティングはデータセキュリティに対する脅威も増加させています。
リスクは、デバイス、アプリケーション、コンピュータシステムを保護するために現在使用されているアルゴリズムとプロトコルが、最終的に量子コンピューティングを使用する悪意のある行為者によって破られ、最も強力なセキュリティ対策さえも危険にさらす可能性があるということです。一部の推定によると、RSAとECCなどの広く使用されている暗号化標準は、2029年以降、量子コンピュータによって解読される可能性があります。これは「Q-Day」として知られる運命の日であり、現在のセキュリティ標準は量子コンピューティングの計算能力によって無効になります。
量子コンピューティングが現在のデータ保護プロトコルを破る可能性があることは、最高セキュリティ責任者と最高技術責任者に対策を強化するよう促しています。彼らはポスト量子暗号(PQC)で対応しており、これはサイバーセキュリティのニッチ分野であり、ビジネス界全体で優先度が上がっています。準備不足は高くつく可能性があり、ある報告書によると、量子攻撃による米国経済の潜在的コストは3兆ドルを超える可能性があります。その潜在的な大惨事が起こる前にも、データ侵害の現在の平均コストは1000万ドル以上であり、その数字は量子誘発侵害の規模に応じてのみ増加します。
そのため、量子脅威は先見的な経営陣にのみ関心のある問題として扱うべきではありません。すべての企業の経営委員会レベルの問題となる必要があります。組織は、企業全体の認識を構築し、デジタルシステムとデータ資産を量子攻撃に対する耐性を持つように更新する包括的なPQC計画を開始する必要があります。
Q-Dayまで待つことは誤りでしょう。人々はそれがいつ起こるかを知らないからです。プレスリリースや製品発表とともに到来することはおそらくないでしょう。代わりに、誰もが気づく前に盗むことができるものを最大化しようとする攻撃者として、静かに展開する可能性があります。現実は、機密データはすでに盗まれて保存されるリスクがあり、Q-Dayが現実になったときにそれをデコードできるということです。セキュリティ専門家は、究極の脅威が数年先に見えるとしても、この問題に直ちに注目する必要があります。
スケールでのデータの量子耐性化
セキュリティチームは通常、差し迫った脅威に焦点を当てていますが、それでも今から始める限り、Q-Day に備える機会があります。
進行中の暫定措置の1つは、ビジネスや日常生活にすでに浸透しているデジタル証明書と鍵のより堅牢なバージョンへの移行です。識別情報として機能するそのような証明書は、何十億ものユーザー、デバイス、ドキュメント、およびその他の形式の通信とエンドポイントの認証に使用されます。証明書には暗号化キーが含まれています。セキュリティチームは「47日間キー」を導入しています。これは47日以内に期限切れになり、置き換えられるように設計されており、現在の世代よりはるかに頻繁です。これは正しい方向への一歩ですが、十分ではありません。
硬化したPQC防御を確立するには、標準的なソフトウェアパッチまたはほぼすべての場所で使用されている公開鍵基盤(PKI)へのアップグレード以上のものが必要です。エンタープライズ全体のPQC戦略を採用し、スケールで実装する必要があります。
エージェント型AIの急速な増加を考えると、組織は数千個または数百万個のAIエージェントにデジタルIDを割り当てる必要があるかもしれません。これには、既存のインフラストラクチャをはるかに超えたレベルの認証が必要になります。
これらのプロジェクトはCISOが主導しますが、ポスト量子セキュリティは組織のデジタル環境のあらゆる部分に到達する必要があるため、計画と実行には他のビジネスリーダーも含まれるべきです。ガバナンスの利害と必要な多大な資本投資を考慮すると、取締役会も関与する必要があります。
複数年、多方面からの戦略の開発
銀行、医療、政府などの規制対象の業界の組織は、一般的にポスト量子脅威に対応する点で一歩先を行っています。ただし、業界に関係なく、準備が完全にできている組織はほとんどありません。対応可能性には、組織のエンドツーエンドのデータおよびセキュリティの状況の詳細な図が必要です。
私の経験では、この全体的な見方は稀です。CISOとビジネスライン同僚にとって、良い出発点は、企業全体のシステムとデータの包括的なインベントリを作成し、保護する必要があるものを優先順位付けすることです。
もう1つの重要なステップは、NISTによって標準化された最新の量子耐性アルゴリズムおよびプロトコルのテストと採用を開始することです。これらの仕様をサポートするPKI製品およびプラットフォームの範囲が増加しています。企業がデプロイメントの範囲を調整、監視、管理できる唯一の方法が自動化を通じて行われることが不可欠であるため、これは重要です。
このような更新は重要ですが、これは単に前量子仕様を新しい仕様に置き換える問題ではありません。PQCは複数年の取り組みになるため、組織は古いものと新しいもの間のギャップを橋渡しする必要があります。一部にとって最適な戦略は、古典的な暗号化と次世代アルゴリズムを組み合わせたハイブリッドアプローチですが、標準化はまだ進行中です。他の組織は「純粋」またはブレンドされていないポスト量子モデルに向かって進行しています。
収穫攻撃に関しては、最善の防御は簡単です。できるだけ早く、最も機密性の高い長寿命データを量子耐性アルゴリズムで暗号化してください。
PQCは共有責任です
残念ながら、量子時代のセキュリティへのレースに終了ラインはありません。そして、組織がシステムを新興の脅威から保護したとしても、顧客とビジネスパートナーが同じことをすることの保証はありません。
多くの脆弱性がまだ残ります。そのため、PQCのビジネスケースには、顧客データの保護とデジタル脅威が急速に進化する際の評判とブランド信頼の保護が含まれます。今日でさえ、大規模な侵害は数百万ドルの費用がかかり、企業ブランドに永続的な損害を与える可能性があります。
量子コンピューティングは、サプライチェーン最適化とリスク分析の変換から、医学と気候科学における画期的な発見の実現に至るまで、ビジネスと社会に多くの新しい機能をもたらすことを約束しています。しかし、潜在的なリスクは同様に実質的です。量子を観察・待機していた年月の後、ビジネスリーダーは行動を起こす以外に選択肢がほとんどありません。
Chris Hickmanは、量子耐性セキュリティソリューションの大手プロバイダーであるKeyfactorのチーフセキュリティオフィサーです。
翻訳元: https://cyberscoop.com/post-quantum-cryptography-pqc-strategy-q-day-security-op-ed/
