量子コンピューターによってどのような脅威がもたらされるか、脅威に対してどのように備えるか、耐量子計算機暗号対応に向けた移行のポイントについて解説します。米国国立標準技術研究所(NIST)による耐量子計算機暗号(Post-Quantum Cryptography、以降PQCと記載)の標準化を背景に、日本国内では金融庁より『預金取扱金融機関の耐量子計算機暗号への対応に関する検討会 報告書』発行され[
1] 、国内においても量子コンピューターによる脅威への備えが必要であると考え、国内外の動向を含めて解説します。
量子コンピューターの時代の到来
量子コンピューターの実用化に向けた開発は、従来の予測を上回るスピードで進んでおり、その大きな計算能力を活かして社会に大きな利益をもたらすことが期待されます。一方で桁数の大きい素数を用いた素因数分解も量子計算の得意領域とされており、素因数分解や離散対数問題といった計算量的安全性に依拠する公開鍵暗号アルゴリズムが将来的には解読されると言われています。今日の量子コンピューターの性能ではまだ暗号を解読することはできないとされていますが、量子アルゴリズム(ショアのアルゴリズム)の改良・量子ビット数の増加・量子回路規模の増加・誤り訂正等の技術革新を通じて、暗号解読をできるような性能を持つ量子コンピューター(Cryptographically Relevant Quantum Computer、以降CRQCと記載)が今後実用化される可能性があります。
量子コンピューターによって引き起こされる脅威と対策
RSA暗号をはじめとした公開鍵暗号は、通信の暗号や認証、デジタル署名などセキュリティー対策の基礎として幅広く用いられています。そのため、CRQCによって公開鍵暗号が解読され、暗号技術を利用したセキュリティー対策の一部が無効化し、機密情報の窃取やなりすましなどの攻撃が起こる恐れがあります。例えば、経済安全保障上重要な情報を窃取する、なりすましによって重要インフラへ不正アクセスするといった脅威も想定されます。また新たな攻撃方法として、「Harvest Now Decrypt Later(以降HNDLと記載)」攻撃が危惧されています。HNDL攻撃とは、公開鍵暗号で暗号化された通信パケット・蓄積データを今から収集し、CRQCが登場した後に解読して機密情報の窃取・悪用につなげる攻撃です。
こうした脅威への対策として、CRQCを用いても解読することが困難な暗号アルゴリズムである、PQCへ移行することが直接的な対策となります。
PQCへの移行に向けた準備として、以下の3つが挙げられます。
- 暗号の棚卸し(クリプト・ インベントリーの作成)
- リスクの優先順位付け(リスク・ アセスメント)
- クリプト・アジリティ・アーキテクチャーの検討
準備1. 暗号の棚卸し(クリプト・ インベントリーの作成)
CRQCによる脅威を可視化するためには、組織において危殆化される暗号を棚卸しすることが有用です。アプリケーション暗号やネットワークの暗号通信、サーバー証明書などの暗号利用箇所を洗い出し、暗号に関する台帳(クリプト・インベントリー )を作成します。クリプト・インベントリー を作成する上で、2つのポイントがあります。
- クリプト・インベントリー の項目には、システムで使用する暗号アルゴリズムや鍵長、証明書に関する情報などが必要になります。従来の構成情報データベースやSBOM(Software Bill of Materials)においてこれまで収集・管理の対象ではなかった項目であるため、その情報を追加で収集する仕組みを考える必要があります。
- クリプト・インベントリー はアプリケーションやインフラ等の幅広いレイヤーの情報を効率的に集約管理・可視化する仕組みが必要であり、一過性ではなく継続的な取り組みが求められます。
1点目のクリプト・インベントリー の項目については、暗号の部品表(Cryptography Bill of Material、以降CBOMと記載)が業界共通のフォーマットとして定義されており[2]、CBOMをサポートするスキャナーを活用することで効率的に情報収集できます。自社で開発をしていない製品やクラウドサービスに暗号技術が実装されている場合には、委託先ベンダーやクラウドベンダーへCBOMの提供を依頼することで情報を収集します。
2点目のクリプト・インベントリー の集約管理・管理について、アプリケーションスキャナー・ネットワークスキャナー・証明書情報などを個々に収集すると、工数や負荷が高くなります。そのため、暗号に関する情報を集約管理して可視化するツールを導入することが効率的です(図1参照)。
図1. クリプト・インベントリー に関連するテクノロジー・ツール
上記のような仕組みを構築できることが望ましいと考えます。その一方で、新規ツールの検討・導入に時間を要し、クリプト・インベントリー の着手が遅れる事態は避けるべきです。クリプト・インベントリー の目的に応じて収集項目を絞り、現行のツールや文書・体制を活用して手動の収集プロセスを作り、早期に始めることが肝要です。初年度はシステム台帳や運用者への質問等を通じて手動で収集し、次年度はツールを活用してクリプト・インベントリー の項目の拡充や収集の自動化を図るようなアプローチが考えられます。
準備2. リスクの優先順位付け(リスク・アセスメント)
限られたリソースの中でPQC対応を推進するためには、CRQCによるリスクを評価した上で、優先度の高い順にPQCアルゴリズムへの移行を実施することが有用です。このリスク・アセスメント は従来のサイバーリスク向けの手法と少し違った観点が必要であり、モスカの定理[3]が標準的な手法として採用されています。モスカの定理では、以下の3つの変数を用いて評価します。
- X:データの寿命・保護期間
- Y:PQCへの移行にかかる期間
- Z:CRQCの脅威が発現するまでの期間
X+Y>Zとなる場合にはCRQCによるリスクが高いと判断し、優先度を上げて対応することが求められます(図2参照)。
図2. モスカの定理の概念図
モスカの定理を日本企業に適用する場合、以下の2点について工夫が必要となります。
- データの寿命・保護期間(X)やPQCへの移行にかかる期間(Y)の定義:データの寿命・保護期間(X)に関して、法規制対象のデータの場合は明確ですが、それ以外のデータについて日本企業では定義されていないことが多いです。またPQCへの移行にかかる期間(Y)は、システムがレガシーか否か、外部との依存関係度が高いか、などに基づき移行難易度から算出しますが、標準的なリスク・アセスメント には含まれない評価指標のため、定義・適用について検討が必要です。
-
CRQCが発現するまでの期間(Z)を考慮した、組織としてPQC対応期日の設定:現在主流のRSA-2048がCRQCによって危殆化する時期については、業界で様々な見解があり一意に定められていません。例えば専門家のアンケート結果(Quantum Threat Timeline Report 2024)では、24時間以内にRSA-2048を解読可能な量子コンピューターが、10年後には19〜34%、15年後には39〜62%程度の可能性で出現するとされています[4]。
NISTが公開鍵暗号の暗号アルゴリズムや鍵長の強度に基づき2030年までにDeprecated(利用可能だがリスクがある状態)、2035年までにDisallowed(基本的に使用禁止の状態)としています[5]。またNCSC(National Cyber Security Centre、英国の国家サイバーセキュリティーセンター)が、2031年までに優先度の高いシステムのPQC対応を、2035年までに全てのシステムのPQC対応完了を求めています[6]。こうした業界動向を踏まえ、日本企業は経営判断としていつまでにPQC対応を完了するか設定することが求められます。
準備3. クリプト・アジリティー・アーキテクチャーの検討
暗号アルゴリズムの移行におけるポイントとして、既存の機能・構成に大きな影響を与えずに移行できること、将来的に別の暗号アルゴリズムへ切り替えることを見据えた暗号の俊敏性(クリプト・アジリティー )を有するアーキテクチャーであることが挙げられます。
ネットワーク領域におけるクリプト・アジリティー ・アーキテクチャーの例として、クライアントとサーバー間に暗号アルゴリズムの差異を吸収できるようなプロキシー(Quantum Safe Reverse Proxy)を導入する構成が提起されています。PQCの移行期におけるB2Cのシステムにおいては、多様なクライアント環境とサーバーとの相互接続性を確保すること、複数の暗号アルゴリズムが併存できることが肝要です。また大規模なシステムの場合には、TLSのバージョンアップ等の更改が容易ではなく、計画からテストまで長期間を要します。もしクライアントがブラウザのバージョンアップ等でPQCアルゴリズムを早期にサポートしたとしても、サーバーがレガシーな暗号アルゴリズム(例:TLS 1.2)しかサポートできない期間が発生することが想定されます。この解決策として、クライアントとサーバーの間にある一定期間プロキシーを介在し、PQCアルゴリズムを用いたクライアントからのリクエストをプロキシーが終端し、レガシーな暗号アルゴリズムで再暗号化してサーバーに送信することで、PQCの利用と相互接続性を実現することが可能となります(図3参照)。このように、ある暗号方式を別の暗号方式に容易に移行できるように設計すること、またPQC対応の暗号方式に欠陥が発見されたり新たな暗号アルゴリズムが登場したりした場合に迅速に暗号方式を切り替えることを想定した、俊敏性(クリプト・アジリティー )の高いアーキテクチャーを構想することが重要となります。
図3. ネットワーク領域におけるクリプト・アジリティー ・アーキテクチャー例
日本企業の現状とPQC対応に関する疑問
PQCへの移行に向けて今からできる備えとして、クリプト・インベントリー、 リスク・アセスメント 、クリプト・アジリティー ・アーキテクチャーを解説してきました。しかしながら、欧米がクリプト・インベントリー の推進やPQCソリューションの技術実証を進めていることに対して、日本国内では機運が高まっているとは言い難いと筆者は感じています。実際、お客様から頂いた疑問に回答する形式で、解説を行います。
- なぜ今から取り組む必要があるか?
- 量子コンピューターが暗号解読をできるような性能にまで発展しなければ、対策が無駄になるのではないか?
- 2030年暗号移行問題(RSA-2048の終息)に対応すれば十分ではないか?
1点目に関して、以下の理由より、PQC移行に向けた準備や具体的な取り組みはまさに今すぐ取り組むべきだと考えています。
- 経営の観点では、PQC移行に伴い多額のIT投資が見込まれる中で、ヒト・モノ・カネを最適化することが重要であり、そのためには新規の案件としてPQC対応を進めるのではなく、可能な限りシステム更改に合わせて実施することで投資の最適化が可能です。今から中長期的なロードマップを策定し、システム更改時期に併せて、PQC移行を計画することが有効です。
- IT部門の観点では、公開鍵暗号の利用範囲の広さとステークホルダー(接続先システムや委託先ベンダー等)の多さから、PQCの移行完了には相応の期間を要すると言われており、2030年代半ばまでの移行を考えた際に、今から始めないと間に合わない可能性があります。暗号の2010年問題の時(80ビットセキュリティーから112ビットセキュリティーへの移行)にも長期間を要したため、そうした過去の教訓を踏まえた対応が望ましいです。
- セキュリティーの観点では、HNDLの脅威を考慮した場合、機密情報の漏洩リスクが現在でも想定されており、早期のPQC移行によってHNDLリスクを軽減できます。
2点目について、暗号鍵の状況を可視化して、暗号や脆弱性管理の能力を向上すること自体が、セキュリティーレベルの向上となるため、投資が無駄になることはありません。例えば、暗号の棚卸しを通じて電子証明書の期限切れリスクの未然防止や、脆弱とされる暗号アルゴリズムを特定することができます。これらを可視化して改善していくことは一般的なセキュリティー対策としても有用であり、業界標準や法規制へ準拠する(例:PCI DSS v4.0.1では、暗号スイートおよびプロトコルの最新のインベントリが年次で見直されることが要件となっている)ことにもつながります。
3点目について、RSA-2048が2031年以降の使用を推奨されていない問題を解決したとしても、PQCアルゴリズムに切り替えない限り、CRQCによる危殆化は免れません。日本国内においては現在、TLS 1.2、公開鍵暗号アルゴリズムはRSA-2048が主流です。短期的にはバージョンをTLS 1.3へ上げることで、RSA暗号が排除され、前方秘匿性を担保した暗号通信(例:ECDHE)が可能になります。また鍵長をRSA-2048からRSA-3072に伸ばすことで、112ビットセキュリティーから128ビットセキュリティーへ強度が上がり、暗号学的安全性が高くなります。しかしながら、こうした対応は延命策としては有用なものですが、CRQCのリスクへの根本的な対応にはならないことを留意すべきです。
総括
本稿では、量子コンピューターによってもたらされる脅威に対して、どのように技術的に備えるか説明しました。また、PQC対応に関する疑問への回答をしながら、今からPQC対応を始めるべき理由を解説しました。本稿がPQC対応の必要性と喫緊性の理解を深め、皆様の具体的な取り組みへの一助となれば幸いです。
参考文献
[1]金融庁:預金取扱金融機関の耐量子計算機暗号への対応に関する検討会 報告書, https://www.fsa.go.jp/singi/pqc/houkokusyo.pdf
[2]OWASP:Authoritative Guide to CBOM, https://cyclonedx.org/guides/OWASP_CycloneDX-Authoritative-Guide-to-CBOM-en.pdf
[3] Michele Mosca:Cybersecurity in an era with quantum computers: will we be ready?, https://eprint.iacr.org/2015/1075.pdf
[4]GLOBAL RISK INSTITUTE:QUANTUM THREAT TIMELINE REPORT 2024, https://globalriskinstitute.org/publication/2024-quantum-threat-timeline-report/
[5]NIST:NIST IR 8547 (Initial Public Draft) Transition to Post-Quantum Cryptography Standards, https://nvlpubs.nist.gov/nistpubs/ir/2024/NIST.IR.8547.ipd.pdf
[6]National Cyber Security Centre:Timelines for migration to post-quantum cryptography, https://www.ncsc.gov.uk/guidance/pqc-migration-timelines
IBM、IBM ロゴは、米国やその他の国における International Business Machines Corporation の商標または登録商標です。
他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リスト
については、https://www.ibm.com/legal/copyright-trademark をご覧ください。
ProVision 一覧はこちらから