量子コンピュータの脅威にどう対応する?

2024年も年初から、生成AIの話題がIT業界のニュースを席巻している。1月15日には、Microsoftが個人向けの生成AIサービスとして、プレミアムなサブスクリプションの「Copilot Pro」を発表した。また1月23日から、生成AIが学習するのに記事や画像データなどを無断利用することが著作権侵害にあたる場合もあるため、文化庁が「AIと著作権に関する考え方」の素案を公表しパブリックコメントの募集も始まっている。生成AIが今後のIT業界はもちろん社会や人々の生活にも大きな影響を与えるのは、間違いないだろう。

ここ1年ほどは生成AIの影に隠れているが、もう1つの大きなインパクトを及ぼしそうなIT技術が量子コンピュータだ。数年以内に量子コンピュータが実用化されれば、オンライン通信のプライバシーと安全性を確保などで盛んに使われている暗号化を容易に解読できるようになると言われている。

何ら対策もせずにQ-Dayを迎えてしまう

量子コンピューターが進化しそれを実現できるようになる日のことを「Q-Day」と呼ぶ。何ら対策もせずにQ-Dayを迎えれば、社会や人々の生活に関わるさまざまなインフラの安全性、セキュリティ性、さらには国防なの側面にも、新たな脅威が訪れる可能性がある。

総合セキュリティサービスプロバイダのデジサート・ジャパン合同会社が行ったグローバル調査によると、量子コンピュータのセキュリティ上の影響への対応の整備に61％の組織が懸念を抱えている。また、組織の74％が量子コンピュータを用いた暗号解読攻撃を危惧しており、アジア太平洋地域で見ると準備期間が5年未満と回答したIT管理職が39％に上る。量子コンピュータがセキュリティに与える影響を組織の経営層などではあまり認識していない現状が、この調査の回答から明らかになっている。

量子コンピュータが実用化すれば、さまざまなシーンで利用されている既存の暗号は、容易に解読されてしまう。つまり暗号化することで守ってきたさまざまな情報が、量子コンピュータの実現で脅威や攻撃から守れなくなる可能性は高い。この新たなセキュリティの脅威に対応して将来に向け安全性を確保するために、企業や組織はどのように備えているのか。

量子コンピュータは、量子力学の法則を利用して従来のコンピュータでは解決できない複雑な問題にも対応できる。しかしながら、量子コンピュータを使えば既存の暗号の解読ははるかに容易となり、データやユーザーのセキュリティ確保に大きな脅威をもたらす。デジサートの調査では、74％の組織が悪意のある攻撃者が暗号化されたデータをあらかじめ収集、保存しておき、将来それを復号して悪用する「Harvest now, decrypt later」攻撃を危惧している。

デジサートのCEO アミット・シンハは、「量子コンピュータ暗号（PQC）は暗号技術に極めて大きなインパクトを与えるため、IT管理の担当者は今すぐ準備を始める必要があります」と言う。暗号アルゴリズムを早い段階でアップデートする必要がある。そのような取り組みを率先してきた企業であれば、2024年に最終的な量子暗号アルゴリズムの標準が発表される際にも、安全なアルゴリズムへスムーズに移行できるだろうとも言う。

ところが現実は、多くの組織が暗号鍵の用途と場所を把握していない。現在、使用している暗号鍵の種類とその用途を把握しているのは、回答者の半数強（52%）に止まる。さらに暗号資産の優先順位を規定している組織は、39％しかない。データと暗号化された資産がオンプレミスまたはクラウドのどちらに保存するかを規定しているとの回答は36％だった。

日本の企業で、耐量子暗号に積極的に取り組んでいる企業はまだまだ少ないのが現実だろう。とはいえ、通信キャリアなどでは、いち早く耐量子に対する動きを見せているところもある。NIST（米国国立標準技術研究所）は、2024年にポスト量子暗号標準を発表する予定だ。自社組織で現状どのように暗号化技術を使って情報を守っているのかを棚卸しして、今後の耐量子暗号の動向も注視しながら、適切なタイミングで対応することが求められるだろう。