Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。
本文の内容は、2025年11月25日に Crystal Morin が投稿したブログ(https://www.sysdig.com/blog/quantum-and-the-cloud-science-fiction-turned-security-strategy)を元に日本語に翻訳・再構成した内容となっております。
誰かが部屋に入ってきて「量子コンピューティング」と言うと、他の全員が「は?」となります。単純に理解しにくい概念だからです。しかし、インターネット、コンテナ、クラウドコンピューティングもかつては理解が難しいものでした。量子コンピューティングは情報を処理する別の方法ですが、「通常の」あるいは古典的なコンピュータよりも指数関数的に高速に動作します。
古典的なビットが0と1を独立して使用するのに対し、量子ビット(キュービット)は0、1、またはその両方を同時に使用します! それは、ライトスイッチと調光スイッチのようなものです。
量子セキュリティに関する懸念
近い将来、量子コンピュータが十分に強力かつ安定したものになれば、現在、保存時や転送時のデータを保護するために使用されている暗号方式のいくつかは、量子コンピュータによって数秒で破られる、あるいは解読されてしまうと広く考えられています。これには、一般的に使用されている RSA や楕円曲線暗号(ECC)が含まれます。しかし、同じく広く使われている Advanced Encryption Standard(AES)方式は弱体化はするものの、破られることはないだろうと考えられています。
2022年に ChatGPT を通じて AI ツールがより広く利用可能になり、大規模言語モデル(LLM)が本格的に一般化した頃を思い出してみてください。過去3年間で、この技術は私たちが普段使うモバイルアプリケーション、Webブラウザ、仕事の機能に統合され、学校でも使用方法が教えられています。私たちは AI インフラに対する攻撃や AI を利用した攻撃を予想していましたが、過去1年で確認報告の数が増加しているのを見てきました。量子脅威や脆弱な量子コンピュータに対しても、同様の脅威状況になるでしょう。
量子ソフトウェアとハードウェアは急速に開発されていますが、量子セキュリティはまだ進行中の作業です。もし、量子コンピュータが現在の暗号アルゴリズムを破れるほど強力になる「Q-Day」が予想より早く到来し、移行作業が完了していなければ、サプライチェーン攻撃における新たな脅威ベクトルの発生を許すことになり、脅威アクターはすでにそれを悪用する準備を整えている可能性があります。現在、クラウドサービスプロバイダーが提供する Quantum-as-a-Service(QaaS)により、脅威アクターは攻撃を試したり、従来の暗号方式を破る実験を行ったりできる可能性があります。
セキュリティコミュニティでは、「今収集して後で解読する(harvest now, decrypt later)」という理論が名付けられています。これは、脅威アクターが暗号化されたデータを盗み、量子コンピュータへのアクセスを得て解読できるようになるまで保持しておくという考え方です。この時期やアクセスは、一般的なサイバー犯罪グループやスクリプトキディよりも、APT の方が早く訪れる可能性が高いでしょう。暗号化されたデータを狙う脅威アクターについて報道で目にすることはないかもしれませんが、これはすでに現在進行中の脅威と考え、機密データを脅威アクターから保護したり、これらの暗号方式の置き換えを検討したりすることを優先すべきです。あなたの暗号化データはすでに盗まれていて、誰かがそれを破る時を待っているだけかもしれません。
プロアクティブセキュリティ/ポスト量子レジリエンス
では、完全には理解されていないセキュリティ上の脅威を予測するにはどうすればよいのでしょうか。さまざまな種類の脅威について、このプレイブックをこれまで何度か実行したことがあるでしょう。まず、現在脆弱な暗号化方法を使用しているすべての組織資産のインベントリを作成し、資産が変更されてもインベントリを最新の状態に保ちます。残念ながら、データのクラス分けは、複雑で大規模なクラウド環境にも引き継がれてきた従来の問題であり、依然として課題となっています。だからこそ、私たちは現在、データセキュリティポスチャーマネジメント (DSPM) ソリューションを市場に出しているのです。Q-Dayの前に安全な暗号化移行を成功させるには、データの分類とインベントリが不可欠です。
完全なインベントリを作成したら、米国国立標準技術研究所(NIST)が提案しているような、ポスト量子標準化アルゴリズムへと脆弱な暗号化アルゴリズムからこれらの資産を安全に移行する計画を立ててください。NIST はサイバーセキュリティ標準で世界的に有名であり、ポスト量子暗号ソリューションの標準とガイダンスを確立する取り組みを主導しています。2025年3月の時点で、NIST は標準化すべき 5 つのアルゴリズムを特定しています。
- FIPS 203、204、205
- ML-KEM
- HQC
また、予防的なセキュリティ対策として耐量子暗号化を適用する必要がある機密データを特定するのに役立つリスク分析ツールもあります。これは、医療、金融、政府機関にとって特に重要です。これらの部門では、名前、生年月日、社会保障番号、その他の政府発行の ID 番号など、長期間変更されないデータが保存されることが多いためです。
セキュリティリーダーは今、量子準備状況について話し合うべきです。暗号化を移行するためのアジリティ能力はどのようになっていますか?それともすでに移行したことがありますか?特に機密情報を扱うセクターで働いている場合は、Q-Dayの準備ができていないことにはリスクが伴います。
また、多くのセキュリティリーダーの関心事は、コンプライアンスです。今のところ、拘束力のあるポスト量子法規制は存在しませんが、ポスト量子暗号のセキュリティ戦略の多くが、似たようなスケジュールで準備されています。
さらに、ほぼすべての技術先進国が、すでに量子技術に関するデュアルユースリスク管理と輸出規制を実施しています。これは、医療や科学などの民間用途だけでなく、暗号解読や化学兵器の設計などの軍事および情報目的にも使用できるためです。このため、一部の国や研究機関の間では、特定の技術や情報に対する制限があります。量子コンピューティングの情報共有には、ライセンスが必要なものもあります。
米国連邦政府は数年前からポスト量子暗号を優先しており、定期的に戦略を更新しています。そして 行政命令 2025年6月から、NSAとOMBの長官は、2025年12月1日までに政府機関向けの暗号移行要件を準備する必要があると定めています。また、移行は2030年1月2日までに行われなければならないとも述べています。
英国国家サイバーセキュリティセンターは 2025年3月に移行タイムラインを発表し、まず暗号技術に基づく完全なインベントリ評価を完了し、そのうえで 2028年までに移行目標を定義するため、今すぐ開始することを強く推奨しています。
欧州委員会も最近、EU 加盟国向けのロードマップを公開しました。ポスト量子暗号方式は 2030年までに導入されるべきであり、移行は 2026年末に開始される見込みです。
日本政府は 2024年10月、東芝や NEC などの企業と 2025年から協力し、2030年までに量子暗号技術を開発すると発表しました。
クラウドにおける量子技術
AWS、Google、Microsoftなどのクラウドサービスプロバイダーは、標準化されたアルゴリズムを導入することで、ポストクォンタムの未来を守るための対策をすでに講じています。これらの企業は暗号コミュニティで活発に活動しており、顧客が使用できるツールやリソースに加えて、それぞれが独自の移行を継続的に行っています。また、IBMは量子安全暗号化に移行し、ユーザーが暗号の使用状況を監視し、暗号の脆弱性を発見できるようにしています。
Quantum-as-a-Service(QaaS)へのアクセスを提供するこれら4つのクラウドサービスプロバイダーが、脆弱なハードウェアにアクセスしなくても量子ソフトウェア市場における研究開発を加速し、迅速なイノベーションを可能にしたことはすでにわかっています。このオープンアクセスは、量子時代に向けた人材の教育にも役立ち、量子コンピューティング後の移行を促しました。
量子コンピューティングは情報処理の速度を加速させるため、場合によってはリソース消費量を大幅に削減できます。したがって、将来的には、量子と古典のハイブリッドワークフローがより一般的になるかもしれません。リソースを大量に消費するワークロードをクラウド経由で量子プロセッサにオフロードし、完成した結果を後処理、統合、またはさらなるアクションのためにクラシックシステムに返すことができるようになります。量子コンピューターは従来のシステムに取って代わるものではなく、強化するものです。
つまり、量子はクラウドでホストされるAIモデルを強化することも期待されています。これはエージェンシー AI に最も大きな影響を及ぼし、自己学習アルゴリズムはより速く学習できるようになります。情報処理が高速になるということは、次のことを意味します。
- モデルトレーニングプログラムの高速化
- モデル最適化を大幅に改善
- モデルは、指数関数的に複雑なデータ (およびそれ以上のデータ) を処理
準備は今日から始まります
量子コンピューティングは遠い「いつか」の技術ではありません。対象分野の専門家は警告に耳を傾け、政府は期限を提案しています。それは間近に迫っており、すでにセキュリティを再構築し始めています。AI の脅威の状況に備え、常に先を行こうとしているのと同じように、今こそポスト量子時代における混乱を回避し、レジリエンスを確保するために行動すべき時です。
では、今日は何ができますか?
- 対象分野の専門家またはアナリストに、経営幹部やセキュリティチームに説明してもらう 量子コンピューティングがビジネスとセキュリティ戦略にとってどのような意味を持つかについて
- フルインベントリを実施 データ資産と現在の暗号化方法について機密データや長期間有効なデータに優先順位を付ける。
- 移行計画を立てる これには、脆弱な暗号化アルゴリズムに依存しているシステムや、推奨標準への移行の適切なスケジュールに焦点を当てることが含まれます。
- ビジネスへの影響を予測 脅威モデルを実施して、お客様の環境、サプライチェーン、顧客の信頼に対する運用上およびコンプライアンス上の影響を理解します。
量子脅威はまだ抽象的に感じられるかもしれませんが、行動を起こすのを待つことに伴うリスクは今や現実のものです。準備が整っている組織は、その時が来たら混乱に陥るのではなく、自信を持ってQ-Dayに直面するでしょう。