ポスト・クォンタムのセキュリティ:耐量子暗号化の導入は5%に過ぎない – DigiCert 調査

Just 5% of Enterprises Have Deployed Quantum-Safe Encryption

2025/05/08 InfoSecurity — DigiCert によると、米国/英国/オーストラリアの企業の大多数は、量子コンピューティングにより5年以内に、現在の暗号化が破られると考えているようだが、現時点では耐量子暗号 (PQC:post-quantum cryptography) の導入には至っていないようだ。

TLS/SSL認証局 (CA) が実施した調査は、この3カ国の多様な規模の組織に所属する、約 1,000人の Senior/C-Level サイバー・セキュリティ管理者を対象としたものだ。なお、調査対象となった組織の半数近くは、従業員数が 1,000人を超えている。

すでに耐量子暗号化を導入していると回答したのは、わずか 5% だった。しかし、今後の暗号関連量子コンピュータ (CRQC:cryptographically relevant quantum computers) の脅威に対して、38% は適切に準備していると答え、19% は極めて順調に準備ができていると答えた。したがって、この合計は、半数以上となる。

それらの量子マシンは、現代の非対称暗号化が依拠している、数学的な問題を解くことが可能であるため、電子メールや金融取引から Web ブラウジングや VPN などにいたるまでの、あらゆるセキュリティに侵害の可能性が生じる。

DigiCert の調査における回答者の約 69% は、これらのマシンが、わずか5年以内に登場してくるだろうと回答した。

しかし、すでに現在でも、理論的には量子脅威が存在する可能性があり、ユーロポールなどの団体は、SNDL (store now decrypt later) 攻撃について警告している。SNDL 攻撃とは、大量の暗号化データを収集する攻撃者が、将来において CRQC が登場したときに、それらのデータを解読しようとするものだ。

実際のところ、5年というタイムラインは、やや楽観的かもしれない。昨日に、National Cyber Security Centre (NCSC) の CTO である Ollie Whitehouse は、英国の組織が PQC (post-quantum cryptography) に適応するには、10年間にわたる国家規模の技術革新が必要だと述べている。

しかし、この課題の規模と複雑さを考えると、インフラ業界の大企業は、すでに量子安全性への移行を計画しなければならない。英国の金融団体である UK Finance も、2023年の時点で同様の警告を発していた。

NCSC の Ollie Whitehouse は、この課題の重大性と規模を認めている。彼は CYBERUK の参加者に対して、ミレニアム・バグの修正が簡単に見えるほど、複雑な変更プログラムが必要になると述べている。

量子セキュリティへの4つのステップ

DigiCert の製品管理担当シニア・ディレクターである Kevin Hilscher は、PQC への移行は、企業セキュリティにおける “転換点” であると主張している

彼は、「ユーザー組織は、資産の発見/リスク評価/暗号アジリティといった、量子セキュリティへの対応計画の初期段階に、すでに着手しているはずだ。現時点で築かれている基盤こそが、量子コンピューティングが現実のものとなる際に、どの組織が信頼とレジリエンスを維持できるかを決定づけるだろう」と述べている。

これを踏まえ、DigiCert は PQC への移行を支援するために、以下の4つのステップを推奨している:

  1. 暗号アジャイルを実現する。つまり、資産の可視性を高め、暗号化技術の導入方法を確立し、セキュリティ問題の発生時に迅速に対応する。
  2. 証明書やアルゴリズムなどの暗号資産をインベントリ化し、重要度をベースにした優先順位付けを行い、アップグレードまたは置き換えが必要なものを決定する。
  3. 信頼のルートや長寿命 IoT デバイスのファームウェアなどの、長期にわたって信頼される必要のある、暗号化アルゴリズムの置き換えを優先する。
  4. PQC アルゴリズムを組み込む方法を検討して、テストする。暗号ライブラリやセキュリティ・ソフトウェアの実装者は、今すぐに、これらのアルゴリズムを製品に統合し始める必要がある。

量子コンピュータの進展により、従来の暗号技術が将来的に破られるリスクが高まっていますが、量子暗号 (PQC:post-quantum cryptography) への移行を完了した企業はわずか5%に留まっているという、興味深い記事です。よろしければ、Cryptography で検索も、ご参照ください。