未来のセキュリティ技術として注目を集める量子暗号や量子鍵配送
では、守り側は完全にお手上げになってしまうのかというと、決してそうではない。先ほどAIを悪用し攻撃にはAIで対応する意義を述べたとおり、量子コンピューターを悪用した攻撃には量子技術で対抗すればよいのである。
「たとえば、今実用化に向けて進められている量子技術に、量子暗号PQC(Quantum-safe Encryption)や、量子鍵配送(QKD)などがあります。量子暗号は究極の暗号と言われており、現時点では解読は絶対にできないと言われています。一方の量子鍵配送は、暗号化された情報を第三者がなんらかの方法で復号するための鍵を盗み出そうとすると、その鍵自体が無効になる仕組みです。どんなに離れた場所にあっても、一方の粒子の状態が変化すると、それに応じてもう一方の粒子の状態も瞬時に変化する量子エンタングルメント(量子もつれ)という特性を活かして、安全な鍵配送を実現します」(小林氏)
なお、量子技術の応用系として、「量子テレポーテーション」と呼ばれる技術の研究も進められている。量子もつれ状態にある複数の量子間で量子状態が同時に伝搬する現象を応用したもので、この技術が実用化すれば暗号鍵を瞬時に届けるだけでなく、安全にデータを転送することが可能になるという。
急がれる各国のセキュリティガイドラインや法規制への対応
ここまで述べてきたように、AIや量子コンピューターといったテクノロジーの進化と実用化にともない、新たなサイバーリスクが台頭してくるのはもはや不可避であり、これに対抗するためにセキュリティ対策のパラダイムシフトが加速していくことになる。
また、そのための備えとして、各国の政府や省庁、業界団体などがセキュリティ対策の底上げを目的とした様々なガイドライン、法規制などを発表している。
欧米をはじめとする諸外国と比べて取り組みの遅れが目立った日本も、各国と同程度までセキュリティ水準を高めるため、NIST(米国立標準技術研究所)のサイバーセキュリティフレームワークなどを意識したガイドラインの策定・展開を進めている。
当然、各企業としてもこの動きに対応した準備を怠ることはできない。
「2024年5月に施行された経済安全保障推進法に続き、たとえば金融庁も新たなセキュリティガイドラインを策定し、ゼロトラストモデルを金融分野にも取り入れるように指導しています。重要なことは、今やれることから確実にやっておかなければ、AIや量子コンピューターを悪用した新たなサイバー攻撃のリスクにも対応できないことです。セキュリティ対策のあるべき姿は、一足飛びには実現できません」(小林氏)
現実問題として、サイバーセキュリティに関する主要なガイドラインや法規制への対応の遅れは、経営リスクに直結することを忘れてはならない。
「現在のサプライチェーンは国内だけでなくグローバルに広がっており、当該国のガイドラインや法規制に対応しているかどうかが、ビジネスの取引条件となります。たとえば、EUのサイバーレジリエンス法(EU Cyber Resilience Act) など新しい法令に対応できていないと、EUと取引のある製造業などでは製品や部材を輸出できないといった問題も懸念されています」(小林氏)
サイバーセキュリティのガイドラインや法規制への対応は、いまやサプライチェーンにおいて当たり前のルールとしてグローバルに浸透しており、各国のビジネスへの「参加資格」や「パスポート」となりつつあるのだ。企業としては新たなセキュリティの脅威に備えるだけではなく、ビジネス継続の観点からも各国や地域の動向をアンテナ高く注視し、適切な対応を進めていかなければならない。
