- @IT
- セキュリティ
- Security & Trust
- PQC(耐量子計算機暗号)への移行は進むのか Goog...
PQC(耐量子計算機暗号)への移行は進むのか Googleの「Cloud KMS」で量子安全なデジタル署名のプレビュー版が利用可能:2024年公開のNIST PQC標準に対応
Google Cloudは「Cloud Key Management Service」で、ソフトウェアベースの鍵に対する量子安全な(量子コンピュータを用いるサイバーセキュリティ攻撃に対して安全な)デジタル署名のプレビュー版を利用できるようにした。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Google Cloudは2025年2月21日(米国時間)、Google Cloudで暗号鍵を管理できるサービス「Cloud Key Management Service」(Cloud KMS)で、ソフトウェアベースの鍵に対する量子安全な(量子コンピュータを用いるサイバーセキュリティ攻撃に対して安全な)デジタル署名のプレビュー版を利用できるようにしたと発表した。
また、Google Cloudの暗号化製品(Cloud KMSや、クラウドベースのハードウェアセキュリティモジュール〈HSM〉サービスであるCloud HSMなど)で量子耐性(量子コンピュータを用いるサイバーセキュリティ攻撃に対する安全性)を確保する戦略の概要も紹介した。
量子時代の安全性を確保 PQC(耐量子計算機暗号)への移行は進むのか
米国国立標準技術研究所(NIST)は、既存のハードウェアとソフトウェアを使用して量子コンピュータの進展に伴う暗号解読のリスク軽減方法を提供する耐量子計算機暗号(PQC:Post-Quantum Cryptography。「耐量子コンピュータ暗号」や「ポスト量子暗号」などとも呼ばれる)の新標準を策定し、2024年8月からFIPS(米国連邦情報処理標準)203~205として公開している。
世界のテクノロジーベンダーがPQCへの移行に向けた取り組みを開始しており、Googleは、2016年にChromeでPQCのテストを開始し、2022年からは社内通信の保護にPQCを使用している。また、Google ChromeやGoogleのデータセンターサーバに加え、Chrome DesktopとGoogle製品(GmailやCloud Consoleなど)間の接続実験においても、量子耐性対策を追加で講じている。今回発表した量子安全なデジタル署名は、FIPS 204とFIPS 205に対応している。
量子安全なCloud KMS
Google Cloudは、Cloud KMSを量子安全にするため、積極的に取り組んでいる。量子耐性の確保に向けたGoogle Cloudの包括的なアプローチには、以下が含まれる。
- 標準化された量子安全なアルゴリズムをソフトウェアとハードウェアでサポートする
- 既存の鍵、プロトコル、顧客ワークロードがPQCを導入するための移行パスをサポートする
- Googleのコアインフラを量子安全にする
- PQCアルゴリズムおよび実装のセキュリティとパフォーマンスを分析する
- 標準化団体や政府機関におけるPQC推進活動に対する技術的なコメントを提供する
Google Cloudは、Cloud KMSのPQCロードマップの一環として、NISTのPQC標準(FIPS 203、204、205、将来の標準)をソフトウェア(Cloud KMS)とハードウェア(Cloud HSM)でサポートしていく。これにより、ユーザーは量子安全な鍵のインポートと交換、暗号化および復号操作、デジタル署名を作成する。
Cloud KMSクライアント向けのこれらの標準のソフトウェア実装は、オープンソースソフトウェアとして実現される。またそれらは、Googleが作成したオープンソース暗号ライブラリである「BoringCrypto」および「Tink」の一部としてメンテナンスされる。そのため、アルゴリズムの実装について、ユーザーや広範なセキュリティコミュニティーに対して完全な透明性とコードの監査可能性が確保される。
さらにGoogle Cloudは、HSMベンダーおよび「Cloud External Key Manager」(EKM)パートナーと協力し、量子安全な暗号化を実現する戦略を構築、実行している。Google Cloudサービスの一つであるCloud EKMは、ユーザーがGoogle Cloudの外部で自身の鍵を使用、管理することを可能にする。
量子安全なデジタル署名の意義
Cloud KMSで量子安全なデジタル署名のプレビュー版が利用可能になったため、ユーザーは既存のAPIを使用してデータを暗号的に署名し、Cloud KMSに保存された鍵ペアを使用してNIST標準の量子安全な暗号化方式で署名を検証できる。これにより、これらの署名スキームのテストと既存ワークフローへの統合という重要な作業が可能になる。
また将来、暗号関連の量子コンピュータを使って実行される可能性を有する攻撃に耐性のあるデジタル署名の生成も可能になる。「Harvest Now, Decrypt Later」(HNDL)の脅威モデルが、将来にわたって安全な鍵交換プロトコルの緊急性を高めているように、量子安全なデジタル署名アルゴリズム(DSA)への移行は、将来の偽造や改ざんを防ぐために不可欠であり、暗号関連の量子コンピュータが実用化された世界で安全なソフトウェア更新を可能にするために極めて重要だ。
そうした将来が到来するのはまだ何年も先かもしれないが、重要なインフラを管理するデバイスのルートオブトラスト(信頼の基点)や署名ファームウェアを長期にわたって展開する企業は、こうした脅威の緩和策を今すぐ検討する必要があると、Google Cloudは述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
NIST、3つのポスト量子暗号(PQC)標準(FIPS 203~205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
空間コンピューティングに神経拡張など、AI以外も続々登場――2025年の戦略的テクノロジートレンドトップ10をGartnerが発表Security & Trust 險倅コ九Λ繝ウ繧ュ繝ウ繧ー
- AIを守るセキュリティの最新情報を参照できるポータルサイトをKDDIが公開 専門家でも苦労する情報と知識の体系化をどう実現した?
- 「RPKI」「DNSSEC」「DMARC」のガイドライン策定に込められた思い、内容のポイントとは 作成した有識者らが解説
- AIを包括的に保護するツール群「Cloudflare for AI」発表 何をどう守るのか、4つの機能にまとめて紹介
- Windows 11、Microsoft Officeなどが対象 早急な適用が必要な更新プログラムをMicrosoftが公開
- ゼロトラストアーキテクチャへの変革におけるモダナイゼーションの重要性、移行への実践的なアプローチ
- ドメイン名まで確認する人でも引っ掛かる? チェック・ポイントが新たなフィッシング詐欺の注意喚起
- TLPT(脅威ベースペネトレーションテスト)とは、ペネトレーションテストとの違いとは
- Kubernetesセキュリティの標準的ツールが確定? KubescapeをCNCFインキュベーションプロジェクトに採用
- 生成AI活用におけるデータベース管理はどうあるべきか――PostgreSQLをけん引するEnterpriseDBに聞く
- 「わが社は潜在的な脆弱性や脅威を完全に可視化している」 自信たっぷりの企業が取り組んでいる「プラットフォーム化」とは?
- 日本企業の約8割が「VPN利用を継続」。一方、ゼロトラスト導入済み企業は2割を超える NRIセキュア
- ドメイン名まで確認する人でも引っ掛かる? チェック・ポイントが新たなフィッシング詐欺の注意喚起
- Windows 11、Microsoft Officeなどが対象 早急な適用が必要な更新プログラムをMicrosoftが公開
- 2025年のサイバーセキュリティは何が“熱い”? ガートナーがトップトレンド6選を発表
- TLPT(脅威ベースペネトレーションテスト)とは、ペネトレーションテストとの違いとは
- 「わが社は潜在的な脆弱性や脅威を完全に可視化している」 自信たっぷりの企業が取り組んでいる「プラットフォーム化」とは?
- ニセ従業員など新たな手口をふくめ、AIを悪用する詐欺をESETがまとめて指摘 どう対策すればいいのか?
- 「サービスアカウント」「ロール」「API」「アクセスキー」などの“非人間アイデンティティー(NHI)”に潜むセキュリティリスクTOP 10 OWASPが発表
- 「RPKI」「DNSSEC」「DMARC」のガイドライン策定に込められた思い、内容のポイントとは 作成した有識者らが解説
- 「透明性向上が狙い」 Mozilla、「Firefox」に利用規約を導入した理由を説明
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。