耐量子暗号化とは

コンピューター上で行うほとんどすべての操作には暗号化が使用されています。そのため、ほとんどの場合、侵入者はあなたのEメールを読んだり、医療記録にアクセスしたり、あなたのソーシャル・メディア・アカウントから投稿したり、遠隔で車を停止したり、街の配電網を混乱させたりすることはできません。

現代の暗号技術は非常に優れているため、安全なデータやシステムの侵害が発生した場合、暗号化自体を誰かに破られたことが原因であることはほとんどありません。侵入のほとんどは人為的なミスによるもので、誰かが誤ってパスワードを公開したり、安全なシステムへのバックドアを残してしまったりしたことが原因です。2048ビットの公開鍵などの最新の暗号化メソッドは、最も頑丈な保管庫のようなものと考えることができます。誰かが鍵を外に置き忘れた場合を除いて、破ることはほぼ不可能です。

しかし、量子コンピューティングの時代によって状況が一変するでしょう。将来、十分な処理能力を持つ量子コンピューターを攻撃者が悪用すれば、2048ビットのデータ保管庫をすべてロック解除し、保護されているデータにアクセスする可能性があります。

量子システムが2048ビットの暗号を解読できるほど強力になるのがいつなのか正確にはわかりませんが、一部の専門家はこれまでにわかっていることに基づいてタイムラインを描いています。

米国国立標準技術研究所（NIST）のポスト量子暗号化に関する報告書によると、最初の侵害は早ければ2030年に発生する可能性があります。¹

ウォータールー大学の専門家Michele Mosca博士は「今日私たちが依拠している基本的な公開鍵暗号ツールの一部が2026年までに破られる確率は7分の1、2031年までに50%の確率で破られると推定しています」と記しています。²

耐量子暗号は暗号ボールトを再構築して、量子攻撃や従来の攻撃から防御を行います。

耐量子暗号をポスト量子コンピューティング（PQC）または耐量子コンピューティングと呼ぶ人もいることに注目すべきでしょう。NISTによると、この種のITセキュリティは、量子コンピュータと古典コンピュータの両方に対して安全で、既存の通信プロトコルやネットワークと相互運用できる暗号システムの開発を「目指して」いる。³

物理学の自然法則に依存して安全な暗号システムを生成する量子暗号技術と混同しないために、耐量子暗号アルゴリズムは、さまざまな異なる種類の暗号技術を使用して、耐量子セキュリティーを生み出します。

当社のビデオ「クリプト・アジリティーで耐量子安全になるための3つのステップ」をご覧になり、組織を耐量子暗号に移行すると同時にクリプト・アジリティーを構築するためのシンプルな3ステップのフレームワークを学びましょう。

コンピューティングにおける暗号技術の主なユースケースとしては、暗号化と認証という2つがあります。暗号化はデータを覗き見から保護し、認証は悪意のある者が他人になりすますことを防ぎます。

現在、コンピュータが使用している暗号化アーキテクチャのほとんどは、非対称鍵または公開鍵です。これらのシステムでは、暗号化には公開鍵、復号化には秘密鍵を使用します。

公開鍵は、データの暗号化や誰かの認証の確認にのみ役立ちます。公開鍵を使用してメッセージを解読したり、他の人になりすましたりすることはできません。 それができるのは2番目の秘密鍵だけです。

ほとんどのWebサイトの場合、パスワードを入力するときは、秘密鍵使用して本人確認の認証をします。このWebサイトは、ユーザーを受け入れる前に、秘密鍵と公開鍵が一致することを確認するためにいくつかの計算を行い、秘密鍵自体のコピーを実際に作成することはありません。携帯電話にパスコードを入力するときは、同様のことを行っていることになります。秘密鍵を入力すると、公開鍵を使用して暗号化された携帯電話のデータのロックが解除されます。

これらのコードと鍵、暗号化スキームと認証の方式は単なる数学の問題であり、従来のコンピューターにはなかなか解けないように特別に設計されています。公開鍵アルゴリズムがうまく機能するのは、これらすべての数学の問題は、従来のコンピューターを使って解くのが難しいためですが、その解は簡単に確認できます。

広く使われているRSA暗号化を例にとってみましょう。公開鍵は2048ビットの整数で、非常に大きな数字です。 秘密鍵はその数の素数です。 ポケット電卓でさえ、秘密鍵と公開鍵を照合するのは簡単で、因数を掛け合わせるだけです。 しかし、最も強力な従来型スーパーコンピューターが2048ビット整数をそのコンポーネント要素に分解し、エンコードされたメッセージを読み取る前に、この宇宙で燃え尽きた、あるいは燃え尽きるすべての恒星は燃料を使い果たして消滅するでしょう。

Standard 方法は、RSAやディフィー・ヘルマン（DH）など、安全な鍵交換で使用されるStandard 方法は、人類がこれらの形式の暗号化を解読するツールを持っていなかったため、数十年にわたってうまく機能してきました。これは、楕円曲線理論に基づいた公開鍵暗号化技術である楕円曲線暗号（ECC）にも同様であり、RSAやDHよりも高速で、小さく、効率的な鍵サイズを作成します。

しかし、従来のコンピューターには限界があります。企業が知っている特定のアルゴリズムだけが、バイナリー・プロセッサ上で適切に動作します。時が経つにつれて、私たちは、1と0を使って解決できない問題はまったく解決できないという仮定に基づいて社会を設計するようになりました。

量子コンピューターは、亜原子粒子の研究である量子力学を利用しています。これらの次世代コンピューティング・マシンは、量子ビットを使用して作成される複雑な計算空間にバイナリー・ビットを割り当て、かつては不可能と思われていた問題を解決する、まったく新しい計算パラダイムです。

ほとんどの場合、これは良いことです。IBMは、世界で最も重要な問題を解決するために量子コンピューターを構築しています。（量子コンピューティングの仕組みについては、トピックページ「量子コンピューティングとは？」をご覧ください。）

しかし、かつては不可能だった問題の1つは素因数分解です。数学者のPeter Shorは1994年に、十分に強力な量子コンピューターがあれば、従来型コンピューターよりもはるかに簡単に整数の素因数を見つけることができることを示しました。Shorのアルゴリズムは、量子用に開発された最初のアルゴリズムであり、将来的には使用されているすべての主要な公開鍵quantum暗号化システムの終焉を意味することになるでしょう。

対称暗号化は、従来の攻撃に対する安全性は低いですが、特定の目的（クレジット・カード取引など）には引き続き使用されており、脅威にもさらされています。Advanced Encryption Standard（AES）は、最も広く使用されている対称暗号化アルゴリズムおよびブロック暗号です。暗号化と復号化に対称鍵を使用して、固定サイズのデータ・ブロックで動作します。

Groverの検索アルゴリズム（量子検索アルゴリズムとしても知られている）は、Shorの非対称暗号の合鍵とはまったく異なりますが、総当たり攻撃を助長し、対称暗号化の安全性を大幅に低下させる可能性があります。

耐量子暗号規格について理解すべき最も重要なことは、量子コンピューターが簡単に解ける数学の問題を、従来型コンピューターと量子コンピューターの両方で解くのが難しい数学の問題に置き換えていることです。

2016年、NISTは標準化プロセスの一環として提案募集を開始しました。彼らの目標は、新しい暗号化の標準となる最適な耐量子アルゴリズムと方式を見つけることに焦点を当てていました。世界中の組織が開発し、送信した方式は合計69です。⁴

6年後、NISTは世界最初の3つのポスト量子暗号標準を正式に発表しました。IBMの研究者は、複数の業種および教育機関向けパートナーと協力して、ML-KEM（旧称：CRYSTALS-Kyber）とML-DSA（旧称CRYSTALS-Dilithium）の2つのポスト量子暗号アルゴリズムを開発しました。3番目に公開されたデジタル署名スキームであるSLH-DSA（当初はSPHINCS+として送信）は、IBMに入社した研究者により共同開発されました。さらに、NISTは、将来の標準化のために、IBMが開発した4番目のデジタル署名アルゴリズムであるFN-DSA（当初はFALCON）を選択しました。

以前の形式の暗号化は、大きな数の因数分解に依存していましたが、これらの新しい標準は格子問題に依存しています。格子問題とは何かを理解するには、数学者が1,000個の大きな数のリストを見せたと想像してみてください。さて、ある数学者がさらに大きな数字を見せて、リストから500個の数字を足して作ったと言ったとしましょう。どの500個の数字を使っているか尋ねられたら、従来型コンピューターと量子コンピューターでは答えを見つけるのにあまり役に立たないでしょう。しかし、数学者がどの500個の数字を使ったかを教えてくれれば、それらが真実を語っているかどうかを簡単に確認できます。そのため、格子問題は暗号の素因数分解問題の代わりとして適しています。

幸いなことに、耐量子暗号はすでに存在します。当社はこれらの新しい規格に非常に自信を持っているため、すでにIBM z16クラウド・システムに組み込んでおり、お客様と協力してセキュリティー・インフラストラクチャーへの統合に取り組んでいます。

歴史的に、サイバーセキュリティーインフラストラクチャのアップグレードには長い時間がかかり、無駄にする時間はありません。

量子コンピューターは急速に進歩しています。 量子のメリットは今後5年以内に初めて実証されると私たちは考えています。 世論調査では、2048ビットの暗号を解読できる量子コンピューターが2030年代後半までに登場する可能性が高いということで、ほとんどの専門家が同意しました。

10年から15年というのは決して長い時間ではありません。政府や業界のサイバーセキュリティー・インフラストラクチャーの多くの重要な部分は、何十年も変わっていません。すでに使用されている、または間もなく使用される多くのコンピュータは、今後数十年間は最小限の変更で機能する必要があります。車のマイクロチップやパスポートを保護する暗号化方式を考えてみましょう。未知の悪意のある攻撃者が大量の暗号化データを盗んだケースがすでにあります。それらのデータは保存されて、将来のテクノロジーを使って後々復号化されるおそれがあります。

データ侵害は発見されないことがあります。現在、耐量子規格を使って暗号化されていないデータは、すでに失われていると考えるべきです。

IBMは数十年にわたって暗号化のリーダーであり、現在では耐量子暗号化と責任ある量子コンピューティングの両方の世界的リーダーとなっています。当社は、暗号と量子に関する深い専門知識を活用して、お客様が未来の量子を活用し、安全にナビゲートできるようにお手伝いします。

個別化されたIBM Quantum Safe™プログラムは、お客様が既存のサイバーセキュリティを計画し、量子コンピューティング時代に合わせてアップグレードできるようサポートします。そのマッピングだけでも重要な作業になります。ほとんどの組織は、どのようなデータを保持しているのか、最も脆弱な場所はどこなのか、どのように保護されているのかを完全には把握していません。このプロセスを経た組織は、サイバーセキュリティ・システムをより適切に制御できるようになり、サイバーセキュリティ・システムの柔軟性が向上します。これにより、将来のイベントにより迅速に適応できるようになります。