量子リスクはすでに現実のものとなっている:「Q-Day」に先立ち、サードパーティの暗号技術への対応状況を評価するための企業バイヤー向けガイド、第1部―現状と戦略的指針
Quantum Risk Is Already Here: An Enterprise Buyer's Guide to Assessing Third-Party Cryptographic Readiness Before Q-Day, Part 1 - Situation and Strategic Guidance- 発行
- IDC
- 発行日
- ページ情報
- 英文 11 Pages
- 納期
-
即納可能
営業時間内にお支払方法などの確認が取れ次第、Eメールにて納品となります。営業時間: 9:00am - 6:00pm (土日祝除く)。
- 商品コード
- 2086868
- 翻訳ツール提供対象 PDF対応AI翻訳ツールの無料貸し出しサービスのご利用が可能です
- 通信/IT関連専門 通信/IT関連専門を専門とする市場調査会社です。
当IDCパースペクティブでは、サードパーティによるポスト量子対応の必要性について論じています。企業データのセキュリティに対する量子脅威は、将来的なリスクではなく、サードパーティベンダーのポートフォリオ全体で増大しつつある現在の課題です。「Harvest now, decrypt later(HNDL)」攻撃では、ベンダーが現在暗号化しているデータを収集し、量子コンピュータが実用化された後に遡及的に復号化しようとしています。また、IDCがHNDLに対応する認証層の脅威として提唱した「Trust now, forge later(TNFL)」とは、攻撃者が現在署名済みのベンダー成果物を収集し、将来的に、組織や規制当局が本物と見分けがつかないような出所記録を遡及的に偽造することを指します。NISTが2024年8月に3つのPQC規格を最終決定し、CISAが2026年1月に連邦調達ガイダンスを発行し、NIST IR 8547が2030年以降に量子攻撃に脆弱な非対称アルゴリズムの使用を非推奨とし、2035年以降は使用を禁止することを提案していることから、規制状況の変化により、PQCへの移行は単なる計画段階から、ベンダーに委ねることはできないサードパーティへのコンプライアンス義務へと転換しました。
本書は、企業の購買担当者向けに作成された2部構成の「IDC Perspective」シリーズの第1部です。本稿では、サードパーティベンダーのポートフォリオ全体にPQC準備状況評価プログラムを展開するための戦略的および脅威の文脈を確立しています。これには、HNDLおよびTNFLという脅威の次元、モスカの不等式に基づくベンダー優先順位付けフレームワーク、新たに台頭している量子セキュリティ態勢管理(QSPM)および量子TRiSCM運用モデル、さらに成熟した購買プログラムが採用している5つの量子ガバナンスの次元と信頼性KPIが含まれます。量子リスクはすでに現実のものとなっている:「Q-Day」に先立ち、サードパーティの暗号技術への対応準備を実証するためのプロバイダー向けガイド、パート2 - 評価フレームワークと導入ガイド(IDC #、近日公開予定)では、48の質問からなるサードパーティの量子暗号化準備状況評価フレームワークが提供されています。暗号化と認証の両方において、信頼できる移行体制を実証できないベンダーは、貴社のサードパーティ・ポートフォリオにおいて、定量化できない重大なリスクとなります。これは、正式な規制が導入される前に、規制当局や取締役会から説明を求められることがますます増えるであろうリスクです。
「貴社のサードパーティ・ベンダー・ポートフォリオでは、2つの時計が同時に動いています。1つ目は「HNDLの時計」です。ベンダーが現在、量子攻撃に脆弱なアルゴリズムで暗号化しているデータは、10年以内に読み取られる可能性があり、事後的に再暗号化することはできません。2つ目は「TNFLの時計」です。ベンダーが現在、量子攻撃に脆弱な鍵で署名しているすべてのデータは、量子コンピューティングが暗号技術の分野で実用化された際に、攻撃者が悪用する攻撃対象領域を拡大させてしまいます。どちらの時計も止めることはできず、また、これらはベンダーだけの問題でもありません。なぜなら、リスクにさらされているのは御社のデータであり、規制当局に対する説明責任を負うのも御社だからです。「唯一の合理的な対応策は、サードパーティによるPQC評価を将来のプログラムとしてではなく、ベンダーリスク管理フレームワークに追加すべき最も緊急性の高い要素として扱い、規制当局から『なぜ対応しなかったのか』と説明を求められる前に、ガバナンス、評価インフラ、および継続的なモニタリングの基盤を構築することです」と、Philip D. Harris氏(CISSP、CCSK、IDCのガバナンス・リスク・コンプライアンス・ソリューション部門リサーチディレクター)は述べています。
エグゼクティブスナップショット
- 主なポイント
- 推奨される対応策
状況の概要
- 現状:サードパーティリスク管理における量子暗号化への対応状況
テクノロジーバイヤーへのアドバイス
- サードパーティの量子暗号化対応状況評価プログラムの導入
- 導入前に理解しておくべきこと
参考資料
- 関連調査
- 要約
- 発行日
- 発行
- IDC
- ページ情報
- 英文 11 Pages
- 納期
- 即納可能