量子コンピューティングが今後もたらす脅威から機密データを保護
IBM® Zの耐量子セキュリティーは、今後の量子コンピューターの脅威からデータを保護できるように設計された暗号化手法を採用しています。
全方位型暗号化は、保存データと転送データの両方を幅広く暗号化するための包括的なソリューションを提供し、耐量子暗号化をきわめてシンプルに導入できるようにします。
全方位型暗号化のフレームワークに統合されている耐量子暗号化によって、暗号化フレームワークのセキュリティーが強化されます。現在と今後の脅威からデータを保護しましょう。この手法を取り入れることで、データ保護に関連するコストを削減できるだけでなく、今後の量子の脅威に伴うリスクを大きく軽減できます。
機能
新しい耐量子標準の採用に向けた準備には、いくつかの重要な段階があります。それぞれの手順については、IBM® Redbooksの『Transitioning to Quantum-Safe Cryptography on IBM Z』の第2章に説明があります。
最初にデータの価値を分類し、コンプライアンス要件を把握します。これはデータ・インベントリーの作成に役立ちます。
データを分類できたら、データを暗号化する方法と、暗号のその他の用途を特定し、移行の計画立案の助けとなる暗号インベントリーを作成します。暗号インベントリーには、暗号化プロトコル、対称アルゴリズムと非対称アルゴリズム、鍵の長さ、暗号プロバイダーなどの情報が含まれます。
耐量子標準への移行は複数年にわたる取り組みとなります。その間に標準は進化し、ベンダーは耐量子テクノロジーの採用を進めていきます。柔軟なアプローチを取り入れ、置き換えに備えておきましょう。従来型と耐量子の両方の暗号アルゴリズムを利用して、業界の専門家が推奨するハイブリッドのアプローチを導入します。こうして、現在の標準へのコンプライアンスを維持しながら、耐量子の保護を追加できます。
脆弱な暗号に代えて、耐量子暗号を採用します。従来型のコンピューターと量子コンピューターの両方の攻撃から組織を守り、大規模な量子コンピューティング時代においても情報資産を常に保護できるようにします。
IBM z16は、アプリケーションで暗号がどのように使われているかを発見するための複数のツールを備えており、移行やモダナイゼーションの計画に役立ちます。
暗号インベントリーの作成にあたって、IBM z16では、CP Assist for Cryptographic Functions(CPACF)の暗号命令の実行を追跡するための新たな手段を使用できます。
CPACFは、暗号化や復号化などの暗号処理をメイン・プロセッサーからオフロードして、その実行を高速化します。これはシステム上でのデータ・セキュリティー・タスクの高速化と効率化に役立ちます。
ADDIでは、暗号がアプリケーションのどの部分でどのように使用されているかを特定できます。ADDIでアプリケーションの評価とモダナイズを行い、高度な暗号化手法をサポートすることによって、耐量子への備えが強化されます。ADDIを利用して、更新が必要なアプリケーションの特定、互換性の分析、今後のリスクの精査を行うことで、耐量子テクノロジーのスムーズな統合と戦略的なモダナイゼーションが進めやすくなります。こうして、来たるべきセキュリティー課題に効果的に対処するためのシステムの準備が整います。
UKO for IBM Zは、高度な暗号化標準をサポートする一元的かつ効率的な鍵管理によって、耐量子への備えを強化します。IBM Z環境全体で耐量子暗号化鍵の導入と管理がシンプルになり、コンプライアンスに準拠した堅牢なデータ保護を実現しやすくなります。UKOを活用した鍵のオペレーションの効率化と耐量子アルゴリズムの統合によって、組織は将来を見据えたセキュリティー対策へとスムーズに移行できます。
IBM z/OSの機能の1つで、耐量子暗号化標準への移行を支援するためのツールと機能を提供し、耐量子への備えを強化します。この機能を利用して、最新のデータ暗号化の仕組みを導入し、今後の量子の脅威に取り組む態勢を整えることで、高度な暗号ソリューションをz/OS環境にシームレスに統合しやすくなり、組織は来たるべきセキュリティー課題に備えることができます。
IBM z/OSのソフトウェア・コンポーネントの1つで、来たるべき量子の脅威からデータを守るうえで欠かせない高度な暗号サービスを提供し、耐量子への備えを強化します。CEX8Sを利用した耐量子アルゴリズムと鍵管理をサポートし、組織は新しい暗号化標準にシームレスに移行できます。セキュリティー要件が変化する中でも、ICSFの堅牢な機能のもとで、データ保護手法や暗号化手法のレジリエンスとコンプライアンスが維持されます。
サービス契約を通じて利用できる有償のオプション機能で、IBM UKOの一部です。企業のIBM Zで暗号関連の最新情報を監視するために開発されました。セキュリティー関連情報を収集して、暗号インベントリーの構築を支援するほか、グラフィカル・クライアントでセキュリティー情報を簡単に分析できます。
認証では、IDや作成元を検証し、データ、ソフトウェア、ファームウェアの完全性を確保できます。コード署名などの手法を利用して、ベンダーが提供した正規のコードのみが実行されるよう保証できます。認証はIBM PCIe Cryptographic Coprocessor(CEX8SのHSM)とICSFで強化できます。これらはIBM Zシステムとシームレスに統合し、堅牢でセキュアなデータ保護を実現します。
耐量子アルゴリズムが業界標準に組み込まれ、セキュリティーが強化されることは、中心的な金融取引アプリケーションにメリットをもたらします。例えば、PINを用いるPOS取引やPINブロックの保護において、現在ではAES暗号化がサポートされています。IBM Zは、Integrated Cryptographic Service FacilityとIBM 4770 Cryptographic Coprocessorを使用して、PIN変換、PIN検証、一意の鍵管理などの必須タスクを処理できるため、コンプライアンスに準拠したセキュアな決済処理を実現できます。
