1.量子コンピューターと暗号化技術の危機
強力な新型コンピューターの登場により、暗号化技術が脅威にさらされている現在、組織は量子サイバーセキュリティを強化し、ビジネス損失や風評被害、さらには規制による罰則を未然に防ぐ必要があります。
現代社会は、電子メールやパスワード、財務記録、医療記録、工場、学校、エネルギー網、通信ネットワークなど、あらゆる分野がデータによって支えられています。これらのデータは暗号化によって保護され、犯罪者やハッカーなどの悪意ある第三者による不正アクセスを防いでいます。
従来のコンピューターでは、暗号方式にもよりますが、暗号化されたデータを解読するのに数十億年かかるとされています。しかし、量子コンピューターの登場により、これらの暗号が数時間で解読される可能性が出てきました。暗号化されたデータはすでに盗まれている可能性があり、今後10年以内に量子コンピューターがそれらを復号できるようになると予測されています。これは、医療記録や財務情報、防衛設計、自律システム、決済システム、通信、エネルギー供給など、長期的に安全性が求められる重要インフラにとって深刻な懸念材料です。
データの悪用は、現実の人々に直接的な影響を及ぼします。ハッカーが個人のIDを盗み、住宅の頭金や給与などの支払いを不正に操作したり、クレジットカードやパスポート、政府の給付金を不正に申請したりすることが可能になれば、金融システム全体に数兆ドル規模の影響を与える可能性があります。企業もフィッシングやマルウェア攻撃の標的となり、業務の中断や身代金の支払い、企業イメージの悪化などのリスクにさらされます。
これは将来の話ではなく、すでに差し迫った課題です。一方で、多くの政府、企業、研究機関が量子コンピューターの大規模化を競っており、テクノロジー企業はエラー訂正機能を備えた量子コンピューターの実現に向けたロードマップを策定しています。同時に、これらの組織は量子耐性を持つ暗号技術の開発にも取り組んでおり、暗号解読を困難にする新たな手法を模索しています。
技術的な脅威だけでなく、規制面での対応も求められています。調達要件が更新されるにつれ、暗号化基準を満たさない組織は罰則を受けたり、防衛、国家安全保障、医療、政府関連の契約から排除されたりする可能性があります。
たとえば、米国では「量子コンピューティングサイバーセキュリティ準備法」により、連邦政府機関は量子コンピューターによる攻撃から保護する技術の導入が義務付けられています。オーストラリア信号局(ASD)も暗号化と情報セキュリティに関するガイドラインを更新しました。また、2025年2月にはユーロポールが「Quantum Safe Financial Forum(QSFF)」を開催し、金融機関や政策立案者に対して量子耐性暗号への移行を優先するよう呼びかけました。これに続き、欧州委員会は重要インフラに関する移行タイムラインを2026年に開始し、2030年までに完了する予定です。
量子コンピューティングの進化とサイバー脅威の増加に伴い、今後は業界ごとのフレームワーク、規制、ベストプラクティスのガイドラインがさらに整備されていくと予想されます。
2.量子レジリエンスを備えた組織の構築
暗号化は通常、社内のITチームやクラウドサービス、ソフトウェアプロバイダによって実装されます。しかし、多くの組織では、暗号化がどのように、どこで使用されているかについて十分に把握していないのが現状です。これは、暗号化に大きく依存しているにもかかわらず、量子回復性の課題をさらに複雑にしています。そのため、独自の暗号化の実装だけでなく、関連するすべての依存システムについても理解する必要があります。
量子サイバーリスクから組織を守るには、強力な量子コンピューターによる処理に耐えられる「ポスト量子暗号(PQC)」アルゴリズムの導入が不可欠です。米国国立標準技術研究所(NIST)は、すでにこうしたアルゴリズムを公開しています。PQCへの移行は数年にわたる大規模な取組みであり、IT部門だけでなく、企業全体の関与が求められます。そのため、組織全体を統括する暗号化の責任者が監督することが推奨されます。
PQCアルゴリズムは、鍵管理ライブラリ、デジタル署名、認証など、さまざまなソフトウェアソリューションに実装する必要があります。この作業の規模を考えると、複数年にわたる移行プロジェクトの一環として、サイバーセキュリティの専門知識を強化し、予算を計画し、リスク管理体制を整えることが重要です。
組織は、どの暗号化技術がどこで使われているかを把握するために、「暗号化部品表(CBOM)」の作成を目指すべきです。CBOMには、社内およびサプライチェーン全体で使用されているすべての暗号化資産(SaaSを含むソフトウェア、サービス、インフラ)が一覧化されます。また、各資産のリスクレベルを評価し、価値の高いデータに優先順位を付けることも重要です。重要なデータは業種によって異なります。たとえば、消費者向け企業では顧客データが最も重要であり、ライフサイエンス分野では知的財産が特に重要です。財務情報、業務情報、従業員情報の保護に重点を置く組織もあります。
これらの取組みは、量子回復性への移行に向けた検出、評価、管理、修復、監視、そして継続的なリスク対応のためのロードマップの策定を支援します。これには、IT資産全体での調整が必要です。暗号化には多くの関係者が関与するため、サードパーティとの契約においては、適切な量子サイバーセキュリティのレベルを明示し、PQCへの移行方法を明確にする必要があります。また、デバイスやソフトウェアの調達戦略も、量子耐性技術を含むように見直す必要があります。これにより、導入されたIT資産がそのライフサイクルの間にPQC要件を満たすことが可能になります。
さらに、既存のデータ保持ポリシーを見直し、機密データの保存期間を短縮し、必要なデータのみを保持し、不要なデータは確実に削除することが重要です。運用の継続性を確保するためには、組織のリスクプロファイルに応じてセキュリティ制御を強化し、PQCを統合する必要があります。また、完全な展開の前に、量子耐性を備えた柔軟な暗号化ソリューションをITインフラ上で選定・テストすることが求められます。
3.量子コンピューティングへの備えのために
私たちはまだ完全な量子コンピューティングの時代には突入していませんが、その到来は目前です。ポスト量子暗号(PQC)の導入を進めるにあたり、ITリーダーは、これが一時的なプロジェクトではなく、従来の技術から新しいビジネス環境への本格的な移行であることを認識する必要があります。
この移行には数年を要し、企業全体に影響を及ぼすため、社内外の多くのステークホルダーが積極的に連携し、協力体制を築くことが求められます。悪意ある攻撃者は常に暗号を突破する手段を模索しているため、組織は防御体制を継続的に見直し、強化していく必要があります。
今すぐ、慎重に管理されたPQC移行計画を立てて実行に移すことで、セキュリティが確保されたデータ環境を維持し、先手を打って回復力と業務継続性を高めることが可能になります。
本稿は、KPMGオーストラリアが発信した「Data safety in the quantum computing age」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文を優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
KPMGコンサルティング
ビジネストランスフォーメーション(事業変革)、テクノロジートランスフォーメーション、リスク&コンプライアンスの3分野から企業を支援します。戦略策定、組織・人事マネジメント、デジタルトランスフォーメーション、ガバナンス、リスクマネジメントなどの専門知識と豊富な経験から、幅広いコンサルティングサービスを提供しています。
