1．迫りくる耐量子暗号時代〜Quantum Safe（耐量子安全性）の必要性〜

2024年8月13日，米国商務省の国立標準技術研究所（National Institute of Standards and Technology, NIST）は3つの耐量子計算機暗号標準（Post-Quantum Cryptography Standards）を発表した[1]．米国で耐量子暗号標準が発表されたことは，量子コンピューティングの技術開発が急速に進む中，現在のデジタル社会における信用基盤となっている公開鍵暗号がその信頼を失うリスクが現実のものとして近づいてきていることを示している．これは世界のシステムの耐量子暗号対応の推進を促す大きなメッセージであると捉えられるが，システム・リスクとして捉えるのではなくビジネス・リスクと捉え経営者視点で対応することが必要となる．

昨今は特定の企業をターゲットにしたサイバー攻撃によりシステムへのダメージにとどまらず，ビジネスが停止してしまう事例が世界中で後を絶たない．攻撃者視点では，量子コンピューターはこれまで解読できなかった暗号化された重要データの窃取や改ざん，成りすましによる不正利用を可能にするブレークスルーとなり，これまで以上に深刻かつ重大な脅威となる可能性がある．

一方で，量子コンピューターにより現在の公開鍵暗号が破られるのは避けられないとはいえ，本当の危機はいつくるのか？　そして，いつから耐量子暗号対応を開始すれば間に合うのか？ということが，経営者視点での次の関心事である．公開鍵暗号の解読が可能な量子コンピューター（Cryptographically Relevant Quantum Computer, CRQC）の実現には，量子アルゴリズム（Shorのアルゴリズムの改良），量子ビット数，量子回路規模，誤り訂正技術等の技術革新を継続することが必要となり，量子コンピューティングによる脅威が顕在化する日（Q-Day）を正確に予測することは不可能ではあるが，米国の取り組み等から2030年代前半が移行期限の1つの目安となる[2]．移行には過去の実績からも相応の時間がかかると予想され，Q-Dayよりも前に移行を完了させることが必須であることを考えると，リスクベースの観点からまだ対応を開始していない企業・組織は今すぐ取り組むべきである．

2．Quantum Safe（耐量子安全性）に向けて必要な対応

耐量子暗号対応はシステムで使われている暗号技術を洗い出し，暗号インベントリーを作成するところから始まる．暗号技術が使われている個所を特定することで，リスクの大きさの可視化や耐量子暗号への置き換えの要否の判断が可能となる．ここで，暗号インベントリー作成に加えて考慮が必要なのは，暗号化されているデータやシステムが「保護しなければいけないビジネス的に価値のあるものかどうか」である．さらに，「数年〜十数年後にもビジネス的な価値が損なわれず保護すべきかどうか」を考慮する必要があるのが，耐量子暗号対応の最も特徴的な点である．Harvest Now, Decrypt Later と言われる「量子コンピューターが実用化される前に取得された暗号化データが，量子コンピューターが実用化されてから解読される」リスクに対応するには，継続的に高い価値があるデータの保護から実施することが合理的である．たとえば，将来変更のない個人情報（生体情報やこれまでの活動履歴等）や，法律等で長期の保管が義務付けられている情報（金融機関での取引履歴等）が対象として挙げられる．耐量子暗号対応のコストと必要時間を短縮し，迅速なシステム移行を実現するにあたって，継続的価値の高いデータの暗号化対応を最優先で進めることを推奨する．

また，耐量子暗号のアルゴリズムであっても将来的に脆弱性やシステム実装時の課題が発見される可能性があり，段階的な移行や柔軟に暗号切り替え可能な技術の実装を考慮すること（クリプト・アジリティを向上させること）も重要である．

3．技術的な対応を進めていく上での耐量子計算機暗号にかかわる重要事項

3.1　耐量子システムへのモダナイゼーション

システムのセキュリティー対策において，境界防御というセキュリティー・モデルがある．すなわち，自社のシステムと外部ネットワークの境目となる境界領域を設定して，その領域においてセキュリティー対策を施すものである．このセキュリティー・モデルでは，境界領域より内部のシステムは安全であるという前提のもと，境界領域だけで通信の暗号化や認証などの対策を実施する．このモデルに基づく耐量子暗号対応としては，耐量子暗号を適用した境界領域を設定するという方法が考えられる．これは，既存のシステムに影響が少なく，最初に導入しやすい方法であると考えられるが，一方で，システムの耐量子暗号対応としては十分とは言えない．現在でも境界領域が攻撃されデータが流出する事例は多数あり，多くの原因は暗号技術そのものではないため，耐量子暗号を導入した境界防御でも内部のシステムが攻撃を受けるリスクは変わらない．そのため，境界領域の内部にあるシステムそのものを更新（モダナイズ）して既存の暗号技術を耐量子暗号に置き換え，量子コンピューターの普及後にも長く重要なデータを保護できる仕組みにする必要がある．ビジネスを支える基幹システムのモダナイゼーションは数年単位での時間を要するため，システム更改のタイミングと合わせた耐量子化の検討を早急に開始するべきであると考える．

3.2　サードパーティー・ソフトウェアやクラウド・サービスの選択

現在の企業システムは，他社のクラウド・サービスやSaaSサービスを利用して構築されているのが一般的である．オンプレミスであってもサード・パーティーのソフトウェアやライブラリー，さらにはオープンソースのソフトウェアも広く使われている．システムの耐量子暗号対応のためのモダナイゼーションを検討するには，利用サービス等の耐量子暗号対応状況も考慮する必要がある．

3.3　ビジネス・パートナーにおける対応状況

耐量子暗号対応に限らず，一般的にセキュリティー対策で難しい点の1つは，ビジネス・パートナーまで含めた接続可能性のあるすべてのエンティティーに対して同等の対策が必要となる点である．セキュリティーは最も弱い鎖から破られることを考えれば，企業ごとの個別対策ではなくビジネス・パートナーと足並みをそろえた対策を進めることが非常に重要である．特に，将来のために今のデータを守るための対策をするのであれば，検討の初期段階からの協業が必要となる．また，今後のビジネス・パートナーの選択においては，パートナー企業における耐量子暗号対応の有無が選択指標の1つになってくると考えられる．企業の個別対応に限らず，業界全体で耐量子暗号対応の進め方やガイダンスを作り一斉に進めることで，量子時代に求められる企業の信頼を底上げする，といった動きを広げていくことが重要である．

3.4　デジタル署名の耐量子暗号対応

システムの耐量子暗号対応では，データの暗号化だけではなく，認証やそれに使われているデジタル署名についても対応が必要となる．現在のデジタル署名は公開鍵暗号技術を基にしており，署名者の公開鍵は誰でも平易に入手できることを前提としている．一方で秘密鍵は署名者のみが保持していることで本人署名であることを担保するが，将来量子コンピューターにより公開鍵から秘密鍵を算出できるようになると，証明書チェーン全体の信頼性が崩壊することになる．公開鍵は誰でも入手できるため，量子コンピューターの性能が上がり暗号解読が可能になった瞬間からデジタル署名の脅威が現実化する．現在では公開鍵署名はあらゆるところで使われており，たとえばIoT機器間の自動連携などでは安全な連携をするための基盤となる．署名が信頼できなくなった場合，連携して動作している一連の機器の安全性が保証されなくなり，特に自動車や工場などで使われている組込み機器に対する大規模な攻撃となる可能性もある．企業活動の基盤として使われる大規模なシステムに限らず，IoT機器連携など境界防御において最も脆弱と考えられる末端の機器においても対策を検討する必要がある．特に，長期的に保護されるべき価値のあるデータを扱っている機器から早急な対応を要すると考える．

耐量子暗号対応にあたって考慮すべき点として上記4つの項目を挙げたが，システムの耐量子暗号対応は既存のシステムのセキュリティー対策での考慮点と共通するものも多い．耐量子暗号対応を進めていけば，既存のセキュリティー攻撃のリスクを下げることにもつながるため，量子コンピューターによる危機が現実となる時期まで対策を先延ばしするのではなく，今から取り組むことを強く推奨したい．個社だけで対応できる問題ではないため，ビジネス・パートナーを含めた議論を活性化するためにも，今後は政府や業界が主導する企業横断的な取り組みが広がることを期待する．