NECは今般、「PQC(耐量子計算機暗号)」について説明するサイバーセキュリティ勉強会を開催した。本稿では、セキュリティ分野で注目されている「PQC移行に関する動向」「PQC移行のポイント」などをレポートする。

勉強会には、NEC サイバーセキュリティ事業統括部 コンサルティンググループの伊東真理氏が登壇した。

なぜ、PQC移行が注目されているのか?

最初に伊東氏は「いまPQC移行が『経営の最優先事項』となっている」と述べ、その理由として、「数学的破綻」「時間的猶予の無さ」「フェーズの転換」を挙げた。

まず「数学的破綻」については、現代のデジタル経済を支えているRSAや楕円曲線暗号(ECC)の数学的な前提が、量子コンピュータ(上で動くアルゴリズムにより)が成り立たなくなっているという課題があるという。

また、大規模組織の完全移行には12~15年を要すると言われているが、量子コンピュータによる解読(Q-Day)は、2029年~2030年代初頭と予測されており、期間的なリミットが近付いている。

さらに、耐量子暗号(PQC)が研究テーマから「即時の運用的緊急課題」へと移行という「フェーズの転換」が起きていることも、PQC移行が経営の最優先事項と位置づけられる理由となっている。

  • なぜ今、PQC移行が「経営の最優先事項」なのか

    なぜ今、PQC移行が「経営の最優先事項」なのか

例えば、「2035年に向けたロードマップ」として、アメリカでは連邦機関に対して、20235年までのPQC移行を義務付けている。

一方の日本政府は2025年6月に関係省庁連絡会議を開催、2025年末までに政府全体の移行ロードマップを策定した。そして、国際基準に合わせて、2035年頃の移行完了を目指しているという。

業界別の動向を見ると、金融(BFSI)が先行する形で、製造・エネルギー分野はレガシー機器を守るための「PQCゲートウェイ」技術に注力しているのが現状だ。

  • 世界と日本の動向:2035年に向けたロードマップ

    世界と日本の動向:2035年に向けたロードマップ

PQCは「未来への社会的責任」

伊東氏は「PQCに移行する際、どこから手を付けるべきか?」という疑問に対し、リスクベースの優先順位を付けて、「クリプト・アジリティ(暗号の俊敏性)の確立」を目標に、Priority1~3に分けて対応していくことを解として示した。

Priority1では、10年以上秘密にする必要があり、HNDL攻撃の対象となるデータに、また、Priority2では、ブランドの信頼を担保する公開WebサーバやPKI(なりすまし防止)に対応する。Priority3では遠隔地にあり、更新サイクルが長い機器(衛星、海底ケーブル、埋め込みセンサ)に対応する。

  • Priority1~3に分けて対応していく

    Priority1~3に分けて対応していく

NECはPQC移行を単なるIT更新ではなく、「社会インフラの強靭化」として捉えており、自社のシステム、顧客のために提供している多数の製品・システム・サービスなどの防御を実践する「自らを守る経験」からアプローチしているという。

さらに長年の研究実績だけでなく、自社の大規模ネットワーク構築・運用で得た知見を活用している。「移行プロセス」の作成・展開も支援する。

具体的には、「現状評価・棚卸し(Inventory)」「リスク分析(Risk Analysis)」「技術選定・PoC」「ロードマップ策定(Roadmap)」の4つのステップに分けて、PQC移行を支援する。

  • NEC PQC移行支援フレームワーク

    NEC PQC移行支援フレームワーク

最後に伊東氏は「PQCは『未来への社会的責任』」であると述べた上で、「セキュリティは『完了』するものではなく、常に進化するプロセスである」ことを説明した。さらに「攻撃者がすでに動き出している今、『様子見(Wait and See)』は最大の脆弱性である」と続けた。

今後NECは、政府・標準化団体・技術パートナーとの連携により、デジタル社会の「見えない酸素」である暗号の信頼性を次世代に継承していきたい構え。