CIOとCISO 量子サイバーセキュリティに関するあらゆる疑問にお答え

お客さまとの会話では、頻繁にセキュリティに関する話題が上がります。そう言われると真っ先に想起されるものとして、量子コンピュータがあります。量子コンピュータの最も重要なアプリケーションの1つは、機密情報のほとんどを保護している暗号化方式を解読することです。

量子コンピュータが開発されるにあたり、企業秘密、機密文書、顧客データ、金融・医療記録、個人のメール、iMessageなど、暗号化によって保護されているあらゆる情報が漏洩するリスクが度々問題視されています。仮に軍事、通信、金融などの重要なシステムがハッキングされた場合、言わずもがな大混乱を引き起こし、莫大な損害が出る可能性もあります。 

このような脅威を考えると、量子攻撃に耐えるポスト量子暗号(PQC)方式の開発や、その実装に向けた取り組みをすることは急務だと言えます。というのも、量子コンピュータが既存の暗号方式を超えるほどのインパクトを持つ日が、従来予想されていた日よりもずっと早く来る可能性があるからです。 

このブログでは、お客さまからよくいただくセキュリティ関連の質問にZapataの視点でご回答します。量子コンピュータが持つセキュリティリスクや機密データを保護するためにできることをご紹介していますので、ぜひご一読ください。

量子コンピュータのセキュリティリスクとは? 

何十年もの間、機密データの暗号化に使われてきた暗号化スキームはほんの一握りでした。また、それらの暗号のほとんどはRSA暗号のような、大きな整数の素因数を求める難しさ、あるいはそれ同等の数学的問題に基づく、非常に難解なものでした。

こういった問題を効率的に解決できる古典アルゴリズムは、現在も解明されておりません。実際、2048ビットのRSA暗号鍵を解読するには、世界最速の古典的スーパーコンピュータでも5億9000万年かかると言われているほどです。すなわちこのアルゴリズムは半永久的に安全なものだと思われていたのです。

しかし、1994年に発表された「ショアのアルゴリズム」(開発者のピーター・ショアにちなんで名付けられました。)によって、その認識が覆されました。研究者たちは、十分なスペックの耐障害性量子コンピュータ(FTQC)さえあれば、ショアのアルゴリズムによって2048ビットの整数をわずか8時間で因数分解できてしまうことを証明しました。これはつまり、RSAやその他の因数分解に依存する暗号化方式が半永久的に安全なものではなくなり、セキュリティリスクにさらされる可能性が高まったことを示しているのです。

量子コンピュータによるセキュリティリスクを軽減するために、どんな取り組みがなされていますか?

「ポスト量子暗号アルゴリズム」とは、量子コンピュータによる攻撃に耐えられるように設計された古典的な暗号アルゴリズムのことです。

量子コンピュータによるセキュリティリスクを軽減するために、現在多くの研究者がPQCアルゴリズム開発に取り組んでいる分野です。これらのアルゴリズムは、整数の因数分解をベースとしておらず、量子コンピュータを持ってしても効率的な解読方法が知られていない他の数学的問題をベースにしています。 

しかし、現在暗号化されているすべてのシステムをPQCに対応させるには、膨大な時間と資金が必要で、中には全く移行できないシステムも出てくると予想されています。

世界経済フォーラムは、PQCを組み込むためには、全世界で200億台以上のデジタルデバイスをアップグレード、もしくは最新のデバイスに交換する必要があると予測しており、この移行を完了させるためには10年以上かかる可能性があると試算しています。 

このため、2016年に米国立標準技術研究所(NIST)はPQCの候補アルゴリズムの適合性を評価する標準化プロセスを開始しました。過去にNISTは、アメリカ政府を含む、多くの組織で使用されている暗号の標準を定義しました。この標準化プロセスにより、数々のPQCスキームの安全性と実用性の双方が評価の対象となる予定です。

そしてこの評価が完了したのち、2022年から2024年にかけて、NISTは現在使用されている暗号化アルゴリズムに代わる新たなPQCアルゴリズムを、標準アルゴリズムとして定義する予定です。この標準の定義が速やかに行われるよう、議会ですでにさまざまな行動がとられ始めています。

その一例が2022年4月に提出された「量子コンピューティング・サイバーセキュリティ準備法」(Quantum Computing Cybersecurity Preparedness Act.)です。この法律は、連邦政府機関がPQCの新しいNIST標準の実施を保証するものです。また、米国国土安全保障省も、PQCを採用するための独自のロードマップを発表しています。

量子コンピュータによる暗号解読の心配はいつから必要でしょうか?

おそらく我々が想像しているよりも早く、その時が来ると考えられています。従来の見解では、ショアのアルゴリズムを実行できるほど強力な量子コンピュータが生まれるまで、つまりはあと10年から20年は暗号が解読される心配をしなくても良いとされて来ました。

ショアのアルゴリズムは、数千万個の量子ビットを要すると考えられています。ちなみに、2023年に発売が予定されているIBMの業界最先端の量子プロセッサ「Condor」でも、その個数が1121量子ビット。ショアのアルゴリズムがいかに多くの量子ビットを要するか、お分かりいただけでしょう。

2020年時点で専門家の半数以上が、50%以上の確率で15年以内に量子コンピュータによる公開鍵暗号の解読が実現してしまうと予測 

しかし現在では、「Q-Day」(量子コンピュータがRSAや一般的な暗号化方式を侵害できるようになる時期)は、ショアのアルゴリズムを実行できる耐障害性量子コンピュータの完成よりもずっと早く訪れると考えられています。

というのも、ショアのアルゴリズムだけが現在の暗号システムに対する唯一の、かつ最大の脅威ではないからです。現在使用可能なNISQ量子デバイスと、古典コンピュータを活用したヒューリスティック解法(heuristic algorithms)を用いた場合、ショアのアルゴリズムが実現するよりも早く暗号を解読できてしまうとされています。

もし各社が提示する量子ハードウェア開発のロードマップが正確であれば、ヒューリスティック解法による暗号解読の脅威が2030年までに到来してしまう可能性は十分にありえます。

ヒューリスティック解法の一例として、Variational Quantum Factoring(VQF)があります。2018年、Zapataの研究により、VQFは当時利用可能だった量子ハードウェアを使用して6桁の数字を因数分解できることが示されました。

この研究をより大きな鍵の構造に当てはめて推定した場合、わずか6000個の量子ビットでも2048ビットのRSA暗号鍵を因数分解できることが証明され、Q-Dayの訪れを大きく加速させました。そしてそれ以来、さらなるヒューリスティック解法が研究・開発されています。

例えば、近年発表された論文で提唱されたヒューリスティック解法を持ってすれば、NISTが最新の標準として検討しているPQCアルゴリズムでさえも、セキュリティリスクに晒される可能性が既に危惧されています。

また、こういった発見により、NISTが取り組んでいるアプローチに問題があることが明確になってきました。つまり、NISTは現在、数学的問題に依存する暗号アルゴリズムかつ、その問題を解読できる古典アルゴリズムや、量子アルゴリズムが存在しないとされているものに限定し、検討しているのです。

ヒューリスティック解法は通常、その効率性が理論的に証明されていないため、NISTの検討対象からは除外されています。しかし、これらによりPQC方式のセキュリティを損なう可能性は依然としてあり、それを防ぐためには、より幅広くヒューリスティック解法も含めて検討する必要があるのです。

もしNISTの新基準が信頼できない場合、どのように機密データを保護すればよいでしょうか?

まず、最初にすべきことは再暗号化の優先順位を決められるよう、組織で最も機密性の高いデータを特定し、把握することです。また、組織のデジタルインフラ全体を精査してカタログ化し、どのような暗号アルゴリズムとプロトコルが現在使用されているのか、あらゆるユースケースで評価する必要があります。着手すべきデータが膨大な量になるため、これを全て手作業で行うことは不可能であり、ある程度自動化したとしても数ヶ月の期間が必要になるでしょう。こういった現状把握を終えたのちに、PQCによる再暗号化に取り掛かるとなると、全ての完了までにはかなり多くの時間を割く必要があります。

NISTの新たな規格が信頼できるかどうか、またはどのPQCスキームが最良の選択肢となるかを語るにはまだ時期尚早です。重要なのは、対象が新しいヒューリスティック解法であれ、ショアのアルゴリズムであれ、データの機密性をいかに守るかという心配は避けられないという事実です。要するに、新しい規格ができると、ハッカーはそれを悪用する方法を探すため、絶えずリスクに備える必要があるのです。

そのため、新しい暗号システムへの移行を計画する際は、柔軟性と俊敏性を優先させる必要があります。移行には多大な資金と何年もの作業が必要になるため、新しいアルゴリズムが登場して新しい暗号が破られ、再びデータが機密性の低い状態になることは避けなければなりません。

このような事態を起こさないために、最初から正しい方法で移行を行う必要があります。つまり、暗号化方式を簡単に入れ替えたり、暗号化方式を重ねたりできる柔軟性を備えたセキュリティ・プラットフォームの導入に投資をすることが必要なのです。 

既存のデータをポスト量子暗号方式で再暗号化する必要がありますか?

機密性の高いデータは、信頼できるオプションが利用可能になった時点で、PQC方式で再暗号化する必要があります。しかし、すでにハッカーによって通信が特定され、保存されているデータに関してはもはや機密性がないものと同じであり、いつか量子コンピュータを使って解読されるかもしれません。数十年にわたる暗号化データは現在、こうした”Store now; decrypt later”(SNDL)攻撃*に対して脆弱な状態になっています。

つまり、信頼性の高いPQC方式で安全に暗号化できるようになった際は、必然的に私たちは皆、システムのパスワードを変更する必要があるのです。しかし、顧客データや企業秘密などの情報がすでに流出した場合、量子暗号の解読から逃れることはできません。要するに、量子暗号解読アルゴリズムの利用が開始されるということは、過去の情報の漏えいや強奪といった被害が横行することになります。これにより、現在までの全ての機密情報が明るみに出てしまいかねません。

とはいえ、暗号化されたデータや通信がすでに特定され、暗号が保存されているかどうかを知ることは不可能です。最善の対応策は、機密データがまだ特定されていないと仮定し、それに応じて積極的にPQCで再暗号化することだと考えられます。

量子コンピュータは、主にセキュリティ上のリスクであるように思われます。資産にもなり得るのでしょうか?

古典的な暗号を破ることができる量子コンピュータは、ハッカーに対する防御的な抑制としても、反撃の手段としても価値があります。また、データの身代金を支払うまでデータを暗号化するランサムウェア*対策としても利用できます。量子コンピュータは、ハッカーの暗号を解読し、ランサムウェアの攻撃を無力化することができます。一方で、量子コンピュータが古典的な暗号を解読できるようになるまでは、まだ数年かかる見込みです。当面はPQC方式の導入に注力し、将来の量子攻撃から機密情報を保護するのがよいでしょう。 

ポスト量子暗号をサポートするために、Zapataはどんな対策をしているのですか?

Zapataは、量子コンピュータによるセキュリティの脅威を定量化し、既存の暗号化方式を破るために必要な量子コンピュータリソースの評価に取り組んでいます。ハッカーは、ショアのアルゴリズムを実行できるFTQCの登場を待たず、近い将来、古典、量子、または量子インスパイアードアルゴリズムで暗号を破る方法を探し、それを利用しようと試みるでしょう。そのため、私たちはVQFのようなヒューリスティック解法の研究を続け、既存の暗号化方式と、これからのPQC方式の両方を解読する可能性の評価を継続して行っていきます。これは、多くの組織がセキュリティの脆弱性を特定するために行っているペネトレーションテストに相当するものと考えていただければと思います。 

近い将来において、最大の脅威となるであろうヒューリスティック解法には、その効率性に関する数学的証明(理論的保証)がないため、これらのアルゴリズムが暗号を破るために必要とする古典および量子コンピュータリソースを正確に定量化するベンチマークテストも行っています。Zapataの量子ソフトウェアプラットフォームOrquestra®は、さまざまな量子デバイスで大規模なベンチマークの実行に適しています。またこれは、現在当社が最も得意とするところだと自負しています。 

Zapataは2022年初め、Orquestraを利用したアルゴリズムレベルとアプリケーションレベルの両方における量子コンピューティングのベンチマークに対して、国防高等研究計画局(DARPA)から、賞を受賞しました。この賞は、量子コンピュータ上で動作するソフトウェアのハードウェア固有のリソース推定を行うソフトウェアツールの開発に資金を提供するもので、この開発にヒューリスティック解法や、その他の量子コンピュータによるセキュリティへの脅威の測定が含まれる予定です。この研究により、既存の暗号スキームがいつ危険にさらされるかをより正確に予測することができるようになる想定です。

我々にとって最も重要なことは、Orquestra 上で実行されるワークフローは、ハッカーが量子コンピュータを用いた暗号解読の脅威から守られているという確信をお客さまに提供することです。この一環として、私たちは量子セキュリティソリューションを提供するベンダーとのパートナーシップを模索し、それらをOrquestraに統合しています。

Orquestra の最大の利点の 1 つは、そのモジュール性です。モジュールは通常、ハードウェアバックエンドやソフトウェアコンポーネントの交換という文脈で語られますが、セキュリティに対する脅威の状況変化に応じて異なるPQCスキームを交換するためにも利用できます。PQC方式への移行に必要な投資規模を考えると、将来的に脆弱になる可能性のある暗号システムに縛られることは避けねばなりません。私たちはお客さまがOrquestraによって将来のセキュリティに対しての脅威に素早く、柔軟に適応できるように設計することを心がけています。

量子サイバーセキュリティに関する考察と、その準備のために今対策できることについてより詳しい情報を知りたい方は、是非お問い合わせください。

*”Store now; decrypt later”(SNDL)攻撃:高度な計算技術や新たな数理アルゴリズム、量子計算アルゴリズムを手にした時点で、保存していた暗号化データを解読すること。

*ランサムウェア:ソフトウェアを悪用し、データの身代金を要求するマルウェア

ZAPATA AUTHOR

Christopher Savoie , Ph.D., JD

CEO & Founder

VIEW BIO →

ZAPATA AUTHOR

VIEW BIO →

SHARE BLOG POST

量子に関して、より多くのZapataの知見をご紹介しています。
(英語ページへ)

最も計算量の多い複雑な問題に対する産業向け生成AIソリューション

ブリーフィングを予約する