暗号を解読する量子コンピューターの登場迫る！ 新たなセキュリティ問題に企業はどう対応すべき？ 《出遅れると情報資産が盗まれるおそれも》

PQCの選定にはデジサートもメンバーとして参加してきた。

「提案されたPQCアルゴリズムに対し、攻撃安全性、実装の効率性、研究に裏付けられた信頼性などが検証されてきました。現在、新たにHQCを加えた5つの暗号アルゴリズムが選定されていますが、これらは安全性が不確実になれば見直されます」（林氏）

NISTが選定したPQC（出所：デジサート）

PQCへの移行は「CTrO」の設置など体制づくりも必要

量子コンピューターのリスクに対して、企業はいつまでに何をすべきか。そのステップは、まず企業のどこにどのような暗号が使われているのかを把握すること、そしてそれらの暗号がさらされているリスクの度合いを評価し移行の優先度を決定すること、優先度の高い場所にある暗号から移行計画を策定し、検証を行ったうえで移行していく流れとなる。

「いずれはサプライチェーンの上流の企業から対応が求められることになると思いますが、まずは今できることから着手していくべきでしょう。そのポイントは、社内システムの機器がPQCアルゴリズムに対応できるかの検証や、移行に備えた予算を確保しておくことです」（林氏）

暗号資産は企業の至る所に存在しており、それらは各部門が独自の予算で導入しているケースも多く、把握することは難しい。PQC移行に関わるのはITだけではないため、全社での足並みを揃えた対応が必要となる。仕組みを理解している人が、部署を横断して旗振りをすることが望ましい。

「現在、CTrO（Chief Trust Officer）という役職が海外を中心に増えていて、日本企業でもすでに散見されつつあります。CTrOは企業の信頼に関わる案件の決定や予算を統括します。技術的な変化を理解しつつ、経営の視点をもって業務やシステムの変更を決定することで企業の信頼を守る必要があるのです」（林氏）