生成AIの活用が急速に進む一方で、サイバーセキュリティの世界では「量子コンピューティング」が次の大きな転換点として注目されています。
実用的な量子コンピュータはまだ普及していませんが、その実現によって現在広く利用されている暗号技術への影響が懸念されています。
例えば現在のインターネットでは、RSAやECC(楕円曲線暗号)といった公開鍵暗号方式が広く利用されています。これらはHTTPSによるWeb通信やVPN、電子署名、認証基盤などを支える重要な技術です。
現在のコンピュータでは解読が極めて困難ですが、将来的に大規模な量子コンピュータが実現すると、その安全性が大きく損なわれる可能性があります。
既に米国では、NISTによる耐量子暗号(PQC)の標準化が進み、政府機関や重要インフラ事業者を中心に移行準備が進められています。
1. なぜ今から考える必要があるのか
量子コンピュータが実用化されていないにもかかわらず、なぜ準備が必要なのでしょうか。
その理由の一つが、「Harvest Now, Decrypt Later(今収集し、後で解読する)」という考え方です。
攻撃者は現在の暗号化通信や保存データを収集・保管し、将来量子コンピュータが実用化された段階で解読を試みる可能性があります。特に知的財産、研究開発データ、契約書、顧客情報など長期間保護が必要な情報は、今から対策を考える必要があります。
2. 問題は「暗号資産の棚卸し」
実際の課題は、「PQCへ移行すること」ではなく、「どこで量子耐性のない暗号を使っているのか把握できているか」です。
多くの企業では、社内アプリケーション、Webアプリケーション、API、OSSライブラリ、認証基盤などにRSAやECCが利用されています。
しかし、その利用状況を正確に把握できている企業は決して多くありません。
3. DevSecOpsにも求められるPQC対応
ここで重要になるのが、SAST(Static Application Security Testing) とDAST(Dynamic Application Security Testing) です。
OpenText Application Securityでは、脆弱な暗号アルゴリズムや不適切な暗号設定の検出に加え、ソースコードやアプリケーション内で利用されているRSA、DSA、ECCなどの暗号技術を可視化することで、将来的なPQC移行計画の基礎となる暗号資産の把握を支援します。
さらに最新バージョンでは、
- RSA、DSA、ECCなどの暗号アルゴリズムの利用状況
- 量子耐性の観点から見直しが必要となる暗号設定
などを検出し、将来的な移行計画の基礎となる「暗号資産の可視化」を支援します。
4. 今すぐ全面移行は必要ない
ここは日本向けに強調したいポイントです。
PQCへの移行は、「今すぐRSAを廃止する」という話ではありません。
まず必要なのは、
- どこで暗号を利用しているか把握する
- 長期保護が必要なデータを特定する
- 移行計画を立てる
ことです。
米国政府や業界団体も、PQC移行を数年単位のプロジェクトとして捉えています。
生成AIがビジネスを変革する中、その先には量子コンピューティングという新たな変化が待っています。
量子コンピュータによる暗号解読はまだ未来の話かもしれません。しかし、長期間保護が必要なデータにとっては、その影響は既に始まっているとも言えます。
PQCへの第一歩は、移行ではなく「現状を知ること」です。まずは自社のアプリケーションやシステムにおいて、どの暗号技術がどこで利用されているのかを把握し、将来の移行に向けた計画策定を進めることが重要です。量子コンピューティング時代に備えるための取り組みは、既に始まっています。
【参考情報】
Enterprise Application Security Platform
https://www.opentext.com/jp/products/application-security
アプリケーションセキュリティ特設サイト
https://www.secure-devops.jp/products/application-security/