はじめに
コミュニティーのみなさま、こんにちは。
テクニカル・セールスの瀧石です。
本日は2024年11月に新しくGuardiumファミリーに加わったIBM Guardium Quantum Safeをご紹介します。
セキュリティーとして新しい分野の話ですので、以下キーワードを設定し、キーワードのお話をしつつ対応の必要性や製品のことを知っていただければと思います。
本日のキーワード
量子コンピューター
実用化
暗号の危殆化
攻撃者
暗号技術の可視化
IBM Guardium Quantum Safe
まとめ
量子コンピューター
みなさまの中にもニュースなどでご存知な方も多いのではないでしょうか。製品名に「Quantum」が入っているように、「量子コンピューター」が一つ目のキーワードです。
現在量子コンピューターの研究・開発はどんどん進められており、IBMも注力している分野の一つです。
https://www.ibm.com/jp-ja/quantum
量子コンピューターに関して詳しいことはここでは割愛させていただきますが、量子コンピューターが実用化されるとさまざまなテクノロジーの発展に寄与すると言われています。
実用化
この「実用化」がキーワードの二つ目です。量子コンピューターが将来実用化されるようになると素晴らしいことが待っているだけではありません。このコミュニティーにご参加いただいている方々や検索で来られた方ならピン!と来る方も多いのではないでしょうか。私たちセキュリティーに携わる者としては、実用化されること=攻撃者も利用する可能性があることを考えておかねばなりません。では、何が懸念なのか、何を守るべきでしょうか。
暗号の危殆化
3つ目は「暗号の危殆化」です。量子コンピューターの実用化により何が懸念されているのか、私たちが守るべき対象を指しています。
私たちは普段様々な暗号技術を意識せずとも利用しています。公開鍵暗号であるRSA暗号は素因数分解を利用し、従来のコンピューターでは暗号解読に数百万年かかると言われてきたことから安全だとされている技術です。しかし、量子コンピューターでショアのアルゴリズムを使用し、数時間で解読されるようになると言われています。つまり、暗号の危殆化が生じる可能性があります。
ここで注意すべきはすべての暗号技術が危殆化するということではない点です。公開鍵暗号や楕円曲線暗号が危殆化する可能性がある暗号技術です。これらに関連するデジタル署名(DSA, ECDSA)や鍵共有アルゴリズム(DH)も含まれます。一方、共通鍵暗号(AES-128)やハッシュ関数(SHA-256)は危殆化するとまでは言われていません。しかし、強度が低下する可能性があるため、鍵長を長くするなどの対応が必要だろうと予測されています。ただし、暗号技術と組み合わされて使われている場合(例えばAES暗号鍵の伝達に公開鍵暗号を使用)もありますので、注意が必要です。
守るべき対象は使用されている「暗号技術」であり、まずはその中でも「公開暗号鍵」がどこで使われているのかを把握すべきということになります。
攻撃者
少し視点を変えてみましょう。4つ目のキーワードは「攻撃者」です。攻撃者の考えは時系列で整理すると、量子コンピューターが実用化されて暗号解読に利用できる前と後の大きく二つに分けられます。よくHarvest now, decrypt later攻撃とも言われています。
量子コンピューターが実用化されて暗号解読に利用できる前、つまり「現在」において、攻撃者は将来の暗号解読できるタイミングを見据えてお客様の情報を収集している段階です。仮に現在保存されているデータが数年後でも機密情報である可能性があるのであれば、できるだけ早く暗号の危殆化への対応の必要があると言えます。
まだ実際の攻撃が起こる前から「暗号の解読」という攻撃手法がわかっているのはセキュリティー対策としては珍しいですよね。
暗号技術の可視化
5つ目のキーワード「暗号技術の可視化」です。暗号技術の可視化、どんな暗号技術が使われているかを把握するために使われるフォーマットとしては、SBOMの拡張の一つとしてCBOM(Cryptography Bill of Materials)というものがあります。IBMはこのCBOMを公開しています(https://github.com/IBM/CBOM)。
また、ネットワークスキャナーでも検出結果の情報の一つとして使われている暗号化技術がわかるような製品もあります。
これらを使いながら一つずつ自社で使われている暗号技術を紐解いていかねばなりません。
しかし、管理するには一つのツールで使うことが望ましいですよね。そこで、自社のシステムでどんな暗号技術が使われているのか。暗号技術の管理に役立つIBM Guardium Quantum Safeをご紹介します。
IBM Guardium Quantum Safe
IBM Guardium Quantum Safe(GQS)は既存のお客様環境からの情報を集約し、暗号リスクやリスク優先順位を把握、可視化することで、量子時代における暗号リスクを管理するための知見を提供する Quantum Safe Posture Management ソリューションです。
GQSはIBM Guardium Data Security Center上で提供されるモジュールの一つで現在はオンプレミスのみでのご提供となります(2025.2.26時点)。
メリットは企業の暗号化の状況の可視化、コンプライアンス対応の迅速化、脆弱性を優先順位付けして修復対応の迅速化ができる点です。
GQSでは、ネットワークやアプリケーションなどのスキャンデータやCMDB、CBOMなどから暗号情報を集約し統合的に可視化することができます。また、画像にもあるようにカスタマイズ可能なダッシュボードが用意されています。そのため、セキュリティー・アナリストが状態の確認、追跡、調査を行うことができるようになっています。
- 社内および規制ポリシーを適用することで、コンプライアンスの迅速化を支援
業界や政府の規制に基づいてポリシーを定義し、ポリシー違反の調査などドリルダウンして詳細を調べることができるようになっています。下画像の棒グラフではポリシー違反件数などが時系列に表示されています。また、企業全体の脆弱性と暗号化の使用に関するレポートを生成して、関係者と共有するためにエクスポートできます。
ネットワークスキャンツールやCMDBなどのソースからのメタデータと統合できることから、ビジネスへの影響やコンプライアンス違反などの要因に基づいて、脆弱性を優先順位付けします。また、ITチケットシステムと統合することにより、お客様の修復・対応にかかる時間を短縮することができます。
まとめ
量子コンピューターの実用化による暗号の危殆化の時期は決まっているわけではありません。そのため、他の緊急度の高い対応が優先されることが現在のところ多いかと思います。しかし、いざ対応が必要になった場合に、すぐに対応できるものでもありません。このブログをご覧になられた皆様には、暗号の危殆化による対応が必要になること、それに備えて今からでも少しずつ動き出していただければ幸いです。
IBMは量子コンピューターの研究開発や、NIST耐量子暗号標準など、この分野において牽引する存在です。お客様とぜひ一緒に備えていければと思います。
トップに戻る