更新履歴
- 2025年9月 Quantum Safe ExplorerとQuantum Safe Remediatorの説明及び参考文献の追加
はじめに
コミュニティーのみなさま、こんにちは。
テクニカル・セールスの瀧石です。
本日は2024年11月に新しくGuardiumファミリーに加わったIBM Guardium Quantum Safeをご紹介します。
セキュリティーとして新しい分野の話ですので、以下キーワードを設定し、キーワードのお話をしつつ対応の必要性や製品のことを知っていただければと思います。
本日のキーワード
量子コンピューター
みなさまの中にもニュースなどでご存知な方も多いのではないでしょうか。製品名に「Quantum」が入っているように、「量子コンピューター」が一つ目のキーワードです。
現在量子コンピューターの研究・開発はどんどん進められており、IBMも注力している分野の一つです。
量子コンピューターに関して詳しいことはここでは割愛させていただきますが、量子コンピューターが実用化されるとさまざまなテクノロジーの発展に寄与すると言われています。
実用化
この「実用化」がキーワードの二つ目です。量子コンピューターが将来実用化されるようになると素晴らしいことが待っているだけではありません。このコミュニティーにご参加いただいている方々や検索で来られた方ならピン!と来る方も多いのではないでしょうか。私たちセキュリティーに携わる者としては、実用化されること=攻撃者も利用する可能性があることを考えておかねばなりません。では、何が懸念なのか、何を守るべきでしょうか。
暗号の危殆化
3つ目は「暗号の危殆化」です。量子コンピューターの実用化により何が懸念されているのか、私たちが守るべき対象を指しています。
私たちは普段様々な暗号技術を意識せずとも利用しています。公開鍵暗号であるRSA暗号は素因数分解を利用し、従来のコンピューターでは暗号解読に数百万年かかると言われてきたことから安全だとされている技術です。しかし、量子コンピューターでショアのアルゴリズムを使用し、数時間で解読されるようになると言われています。つまり、暗号の危殆化が生じる可能性があります。
ここで注意すべきはすべての暗号技術が危殆化するということではない点です。公開鍵暗号や楕円曲線暗号が危殆化する可能性がある暗号技術です。これらに関連するデジタル署名(DSA, ECDSA)や鍵共有アルゴリズム(DH)も含まれます。一方、共通鍵暗号(AES-128)やハッシュ関数(SHA-256)は危殆化するとまでは言われていません。しかし、強度が低下する可能性があるため、鍵長を長くするなどの対応が必要だろうと予測されています。ただし、暗号技術と組み合わされて使われている場合(例えばAES暗号鍵の伝達に公開鍵暗号を使用)もありますので、注意が必要です。
守るべき対象は使用されている「暗号技術」であり、まずはその中でも「公開暗号鍵」がどこで使われているのかを把握すべきということになります。
攻撃者
少し視点を変えてみましょう。4つ目のキーワードは「攻撃者」です。攻撃者の考えは時系列で整理すると、量子コンピューターが実用化されて暗号解読に利用できる前と後の大きく二つに分けられます。よくHarvest now, decrypt later攻撃とも言われています。
量子コンピューターが実用化されて暗号解読に利用できる前、つまり「現在」において、攻撃者は将来の暗号解読できるタイミングを見据えてお客様の情報を収集している段階です。仮に現在保存されているデータが数年後でも機密情報である可能性があるのであれば、できるだけ早く暗号の危殆化への対応の必要があると言えます。
まだ実際の攻撃が起こる前から「暗号の解読」という攻撃手法がわかっているのはセキュリティー対策としては珍しいですよね。
暗号技術の可視化
5つ目のキーワード「暗号技術の可視化」です。暗号技術の可視化、どんな暗号技術が使われているかを把握するために使われるフォーマットとしては、SBOMの拡張の一つとしてCBOM(Cryptography Bill of Materials)というものがあります。IBMはこのCBOMを公開しています(https://github.com/IBM/CBOM)。
また、ネットワークスキャナーでも検出結果の情報の一つとして使われている暗号化技術がわかるような製品もあります。
これらを使いながら一つずつ自社で使われている暗号技術を紐解いていかねばなりません。
しかし、管理するには一つのツールで使うことが望ましいですよね。そこで、自社のシステムでどんな暗号技術が使われているのか。暗号技術の管理に役立つIBM Guardium Quantum Safeをご紹介します。
IBM Guardium Quantum Safe
IBM Guardium Quantum Safe(GQS)は既存のお客様環境からの情報を集約し、暗号リスクやリスク優先順位を把握、可視化することで、量子時代における暗号リスクを管理するための知見を提供する Quantum Safe Posture Management ソリューションです。
GQSはIBM Guardium Data Security Center上で提供されるモジュールの一つで現在はオンプレミスのみでのご提供となります(2025.2.26時点)。
メリットは企業の暗号化の状況の可視化、コンプライアンス対応の迅速化、脆弱性を優先順位付けして修復対応の迅速化ができる点です。
GQSでは、ネットワークやアプリケーションなどのスキャンデータやCMDB、CBOMなどから暗号情報を集約し統合的に可視化することができます。また、画像にもあるようにカスタマイズ可能なダッシュボードが用意されています。そのため、セキュリティー・アナリストが状態の確認、追跡、調査を行うことができるようになっています。
Quantum Safe ExplorerとQuantum Safe Remediator
2025年4月1日にQuantum Safe関連製品として、Quantum Safe Explorer(QSE)とQuantum Safe Remediator(QSR)が販売開始となりました。ここで、簡単なご紹介をします。
QSEは、自社開発のアプリケーションに対するコードスキャンを行えるツールです。
お客様は多数のアプリケーションを使用されてビジネスを行っておられますが、自社開発のアプリケーションの暗号化がどのように使われているのか、脆弱性があるのかを把握しきれていないという課題がございます。こうした課題に対応すべく、QSEは、ISEツールのプラグインにより、ソースコードとオブジェクト・コードをスキャンして、暗号に関連するすべてのアーティファクトを表示し、その場所を特定し、依存関係を明らかにすることができます。また、暗号化アーティファクトをカタログ化したコール・グラフを生成し、暗号の部品表(CBOM)を作成します。主に開発者の方々はCI/CDパイプラインとの統合ができる他、SecOpsチームやCISOチームといった管理者の方々が、QSEで調べたそれぞれの結果を統合して管理することができるポートフォリオ・ビューもご用意しております。
次に、QSRはアプリケーションに変更を加えることなく、アプリケーションとクライアントとの間でアダプティブプロキシーとして機能するツールです。
ビジネスリスクが高いがPQCを実装できないシステムやPQCアルゴリズムを使用した場合のシステムパフォーマンス上の懸念などがある場合など、PQC移行の一つの対処策としてご利用いただけるようになっています。
まとめ
量子コンピューターの実用化による暗号の危殆化の時期は決まっているわけではありません。そのため、他の緊急度の高い対応が優先されることが現在のところ多いかと思います。しかし、いざ対応が必要になった場合に、すぐに対応できるものでもありません。このブログをご覧になられた皆様には、暗号の危殆化による対応が必要になること、それに備えて今からでも少しずつ動き出していただければ幸いです。
IBMは量子コンピューターの研究開発や、NIST耐量子暗号標準など、この分野において牽引する存在です。お客様とぜひ一緒に備えていければと思います。
参考文献