暗号を解読する量子コンピューターの登場迫る！ 新たなセキュリティ問題に企業はどう対応すべき？ 《出遅れると情報資産が盗まれるおそれも》

これから取り組む企業はPQC移行をプロジェクト化し、関連する部署の人間と経営層を加えたチームで対応することが現実的といえる。ただし、企業の信頼性は今後さらに重視されると考えられるので、CTrOの設置も視野に入れておくべきであろう。

「注意する必要があるのは、セキュリティ対策とは異なる要素も多いことです。PKI（公開鍵基盤）などは社内業務に複雑に入り込んでいるので、何らかのソリューションを導入すればPQC対応を完了できるというものではありません」（林氏）

デジサートでは知見をドキュメント化して情報を公開するほか、「DigiCert PQC Labs」としてPQC証明書をダウンロードして試すことができるサービスを無償で提供している。実際にPQCを使用した証明書を使うことで、社内で利用しているソフト、サーバー、ネットワーク機器が処理できるかどうかを確認できる。ログインは不要で誰でも利用可能だ。

PQCへの移行に残された時間は4年もない

量子コンピューターが一般化する時期は、アメリカのセキュリティカンファレンスであるBlack HatやDEFCONでは29年という声が多く聞かれたという。つまり、あと4年もない。そのため、企業は一刻も早くPQCへの移行を始める必要がある。そのステップを考えると必要なコストも想定されるので、予算の確保は重要なポイントとなるだろう。

NSA（米国家安全保障局）によるPQC移行スケジュール（出所：デジサート）

林氏は、「今はもう、真剣に取り組む時期に入っているということを認識していただくこと、そして組織のビジネスの優先順位はどこにあり、どこに投資をしていくのか。検証と検討を進めていただきたいと思います」と言う。

移行までのステップを考えると、予算の確保や体制の構築など対応すべきことはたくさんある。将来の経営リスクを避けるためにも、PQCへの移行に着手すべき時期といえる。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、吉澤 亨史さんの最新記事をメールでお知らせします。