BLOG POST

耐量子暗号の標準化進展と金融業界での導入論議

/

昨今の国家間の対立を背景に、米国政府内では、暗号化技術を量子コンピュータでも解読が困難な耐量子暗号(PQC)へレベルアップする論議が始まりましたが、2024年に技術標準が制定されることを背景に、金融機関での導入論議も始まっています。

■ 暗号解読の懸念と耐量子暗号の導入

公開鍵を用いる暗号化技術(RSA暗号)は、1990年代に普及が始まり、現在まで破られることなく有効な技術として広く利用されている。量子コンピュータが普及すれば公開鍵による暗号化アルゴリズムが短時間(24時間以内)に解読される可能性もあると考えられているが、それはまだ10-20年先だろうとの見方が多い。

ただ、ここ数年、国家間の対立が強まり、他国の政府関連機関から連邦政府各省庁や国防関連組織、諜報機関などに対するサイバー攻撃が増加していることから、米国政府は危機感を強めており、連邦政府機関が利用しているRSA暗号を耐量子暗号(Post-Quantum Cryptography:PQC)に置き換える方針を打ち出し始めた。

■ 米国政府の動き

技術面の動きでは、NIST(国立標準技術研究所)が2016年から進めていたPQC技術の評価結果を2022年7月に発表した(日経新聞等でも報道された:4種の技術を推奨)。更に2023年8月には、PQCの技術標準を定めるべくそのドラフト版を公表した(今回は、2022年に推奨した4種のうち3種(CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+)が対象で、FALCONは来年度ドラフト版公表予定としている)。11月22日までのパブリック・コメントを踏まえ、その後、正式な技術標準として発表される予定だ。

その他、2022年8月にはサイバーセキュリティ・インフラ・セキュリティ庁(CISA)が、連邦政府各省庁に対し、現在使っている暗号化手順を近い将来PQCへ置き換えるべく移行準備を始めるよう勧告、2022年11月には、OMB(米国行政予算管理局)が各省庁に対し、PQCへの移行計画(数年は必要になると考えられている)を立案して提出するよう求めた。2024年にNISTが技術標準を制定すれば、導入の動きも活発化すると思われる。

■  金融業界での動き

これまで米国でのPQC導入論議は、連邦政府機関内が先行していたが、2023年に入り金融業界での論議もはじまった。3月にFS-ISAC(金融業界のサイバーセキュリティに関する連携組織)が「 Preparing for a Post Quantum World by Managing Cryptographic Risk」と題するレポートを発表、金融機関がPQCを導入するビジネスケースや導入までの手順を示した。

更に2023年6月から8月にかけて、米連邦預金保険公社 (FDIC) 、米通貨監督庁 (OCC)、 連邦準備理事会 (FRB)が、それぞれのサイバーセキュリティ・レジリエンシーに関するレポートの中で、いずれも量子コンピュータ技術が実用化されて暗号が短時間で解読できるようになれば、金融システムが重大なリスクに晒されるとの趣旨に言及した。

CISAやFS-ISACが示した導入ロードマップの第一歩は、いずれも「現在、どこに暗号化技術が使われているかの洗い出し」である。政府機関以外でも、PQC導入が「やるかどうか」ではなく「いつやるか」の課題になってきたように思われるがどうだろう。