はじめに

量子コンピューティングは、世界各国で研究が進んでいます。
まだまだ実用には遠いと考えられていますが、科学計算や最適化問題など一部分野では応用が進んでいるなど、移行プロセスはすでに始まっていると考えられます。
現実的な状況としては、『いつ来てもおかしくない』段階にある可能性が高いです。

参考
「実用的な量子コンピューティングは間近に迫っているのか?」という疑問に専門家が回答

この記事では、情報セキュリティの分野における量子コンピューティングについて説明します。

量子コンピューティングの影響とは

量子コンピューティングは、いくつかの応用が考えられています。

特にセキュリティ分野においては、現行 CPU が苦手とするいくつかの計算問題を、量子コンピューティングは量子の重ね合わせを用いて高速で解くことが問題となります。

量子コンピューティングは、AIと同様、正しい活用もあれば、悪用されることも考えられます。

特にセキュリティ分野においては、現行 CPU が苦手とする素因数分解や離散対数問題などの計算問題を、量子コンピューティングは量子の重ね合わせを用いて高速で解くことができることが、逆に問題となります。

具体的に言うと、いくつかの暗号化が無意味になると考えられています。
次の節で詳細にみてみます。

これらのアルゴリズムは、今すぐに影響を受けるものではありませんが、安全性の担保とする数値計算が量子コンピューティングで計算可能となることで、安全性が崩壊します。

鍵交換アルゴリズム

鍵交換アルゴリズムは、盗聴の可能性のある通信路で、安全に鍵を共有するアルゴリズムです。

DH (Diffie-Hellman) 鍵交換アルゴリズムが有名です。
HTTPS などの事前鍵共有に用いられています。

DH 鍵交換アルゴリズムは、量子コンピューティングによって劇的に解読が早くなると考えられています。

非対称暗号

非対称暗号は、暗号化の鍵と復号化の鍵が異なる暗号化方式を指します。

具体的なアルゴリズムで言えば、RSA (Rivest-Shamir-Adleman) 暗号や、ECDSA (Elliptic Curve Digital Signature Algorithm) 暗号などが一般的に利用されるアルゴリズムです。

アプリケーションとしては、電子署名や、データ暗号鍵の安全な暗号化などに用いられています。

RSA 暗号や ECDSA 暗号は、量子コンピューティングによって劇的に解読が早くなると考えられています。

一方向暗号

いわゆるハッシュアルゴリズムで、パスワードなどを、復元不可能な別の文字列に1方向で暗号化します。

具体的なアルゴリズムで言えば SHA (Secure Hash Algorithm) などが有名です。
パスワードの暗号化、電子署名、完全性の担保などで利用されています。

公開鍵暗号ほど劇的な影響は受けないと考えられていますが、量子コンピューティングによって安全性の強度が実質的に半減します。

そのため、従来よりも長いハッシュ(SHA-512など)や、量子耐性が高いとされるアルゴリズムの使用が推奨されるようになります。

量子コンピューティング時代にどう備えるべきか?

量子コンピューティング時代に移行するにあたり、どのように備えるべきか、具体的な対応策をみてみます。

安全性を担保する期間の具体化

多くのエンジニアが十分に理解していない可能性のある点として、データの安全性を担保する期間を明文化しておく必要があります。

まず、既存のアルゴリズムであっても、計算リソースと時間をかければ復号化は可能です。
暗号化とは、複雑な計算を用いて解読までの猶予を伸ばす仕組みであるという理解が必要です。

今までは、おもに計算機の能力向上が、アルゴリズム選定のためのパラメーターでした。

量子コンピューティングはこのパラメーターに対して量子コンピューティングの実用化というパラメータを追加したと考えることができます。

おそらく、今後 10年の安全性担保が求められる分野に、量子コンピューティングによる解読に対して安全でないアルゴリズムを選定することは不適切だと考えられます。

HNDL (Harvest Now, Decrypt Later) という攻撃が存在してます。

堅牢な暗号化で守られた顧客情報を今収集し、10年後の未来に量子コンピューティングで解読することは、攻撃として十分に価値があることです。

HNDL 攻撃に備えるためにも、軍事機密や長期的な個人情報など、10年後、20年後も秘密である必要があるデータは、今この瞬間から耐量子暗号での保護を検討すべきです。

そのため、暗号化を検討する際に、安全性を具体化するパラメータを検討してください。

耐量子暗号アルゴリズムの選定

ポスト量子暗号 (PQC / Post-Quantum Cryptography) という技術が、量子コンピューティングと併せて研究されています。

これは、量子コンピューティングが実用化されたとしても安全性が担保されるアルゴリズムを研究するものです。

この中で、『格子暗号』や『多変数暗号』など、耐量子安全な暗号方式が作成されています。
これらの研究は、NIST (米国国立標準技術研究所) で盛んで、PQC 標準が存在しています。

参考
Post-Quantum Cryptography

Google Cloud などでも Cloud KMS における耐量子デジタル署名の発表 にあるように PQC の利用が始まっています。

量子コンピューティングが実用化されても安全を担保できる、このようなサービスを利用することも重要な点の一つです。

格子暗号ベースの ML-KEM (鍵交換用) や ML-DSA (デジタル署名用) といった、NIST が標準化したアルゴリズムの採用を検討することが、今後のグローバルスタンダードとなります。

データの再暗号化を検証する

量子コンピューティングによる既存の暗号技術の破壊は、ゆっくり訪れるものではなく、AI 技術のようにある特定の特異点をもって急激に広がると考えます。

そのため、運用者に求められることは、その「ある時点」においても安全なアルゴリズムに移行することとも捉えることが可能です。

大規模データの暗号鍵の変更は非常に大きなコストとなります。
そのため、実運用上では KEK (Key Encryption Key) と DEK (Data Encryption Key) を分けて保管し、DEK の再暗号化のみを行い、データ自体は再暗号化しないことが一般的です。

しかし、暗号鍵の漏洩や、アルゴリズムの破綻の際はこれらの方法は適用できません。

新しい暗号鍵で、データを全て再度暗号化する『再暗号化 (Re-Encryption) 』という方法が必要とされます。

暗号アジリティとは、特定のアルゴリズムに依存せず、特定の暗号アルゴリズムが危険と判明した際に迅速に切り替えられる柔軟な設計思想を指します。

暗号アジリティとして、サービスを停止することなく裏側の暗号アルゴリズムを置換することも、ビジネス継続を考えるうえでは必要とされています。

まとめ

量子コンピューティングというと、遠い未来の話をしているように見えます。
しかし、技術開発は進んでおり、移行プロセスは確実に始まっています。

自身のアプリケーションで量子コンピューティングを採用するかどうかはビジネスの判断となりますが、量子コンピューティングによる攻撃の脅威に対して無防備にされないように備えることは、サービス運用上必須です。

HNDL に備えるために機密情報の保持期間の明確化や、PQC アルゴリズムを利用できるサービスの選定、暗号アジリティを担保するための技術選定など。
今からできるセキュリティ対策を行ってください。