EYのグローバル・ネクスト・フロンティア・テクノロジー&AIリーダー、ロドリゴ・マダネス氏。
量子コンピューティングは、かつては遠い未来のものと思われていた。興味深く、未来的だが、近い将来にビジネスやデータに影響を与えるものではないと。しかし、その状況は急速に変化している。
現在最大のリスクは、「今収集し、後で解読する」(HNDL)脅威として知られるものだ。攻撃者は今日、量子コンピュータでデータを解読する必要はない。単に収集し、保存して待つだけでよい。量子コンピュータが十分な性能を持つようになれば、暗号化されたデータは読み取り可能になる。
企業にとって、これは何年も前に収集された情報—機密契約書、財務記録、顧客詳細—が予告なく暴露される可能性があることを意味する。IBMは2023年の時点で、データ侵害の83%に暗号化された記録が含まれていたと報告しており、これはペタバイト規模の暗号化データがすでに盗まれ、リスクにさらされていることを意味する。
しかし規制上のリスクを超えて、真に危機に瀕しているのは信頼だ。暗号化データがもはやプライバシーを保証できなくなれば、組織は顧客、パートナー、そして一般大衆からの信頼を失うことになる。
2029年へのカウントダウン
私を含む専門家の多くが同意するのは、100万物理量子ビット(約1,700〜4,000の論理的なエラー訂正量子ビットに相当)を持ち、5日間エラーなく動作できる量子コンピュータがあれば、RSA暗号を破ることができるということだ。
現在のシステムは約150論理量子ビットで動作している。これは遠い先のように聞こえるかもしれないが、信頼できる予測によれば、2032年またはそれ以前、例えば2029年にこの重要な閾値に達する可能性がある。インフラ全体の修復が必要であることを考えると、その重要な日付から5年以内(つまり2027年、あるいは2025年までに!)にデータが収集されるのを防ぐためには、時間があまりない。
NISTは、高リスクシステムを2029年までに量子セキュアにするよう勧告するガイダンスを発表した。これはまだ法的義務ではないが、将来の規制基準に影響を与える可能性が高い。今行動しない組織は、限られた時間とリソースで新しい要件を満たすよう圧力を受ける可能性がある。
静かに進行するコンプライアンス危機
脆弱性の規模は驚異的だ。私が見てきた限り、ウェブトラフィックの90%〜99%は依然として古典的な暗号化手法で保護されている。つまり、インターネットを流れるデータのほぼすべてが、理論上はリスクにさらされているということだ。しかし本当の危険は、データの量だけではない。それはデータの価値の長期性と、それに結びついた法的義務だ。
多くの業界は、新興の量子コンピューティングの脅威から保護するために、ポスト量子暗号(PQC)への移行を緊急に義務付けられている。
• 医療提供者はHIPAAに準拠する必要があり、NISTのPQCタイムラインに従うことが期待され、進化するサイバーリスクの中で患者データの機密性を確保する。
• 金融サービスはGDPRや国際決済銀行のロードマップなどの枠組みに準拠し、取引、データの完全性、エコシステムの信頼を保護するために2035年までに段階的なPQC採用を義務付けている。
• エネルギー部門と重要インフラの運営者は、運用の回復力のために暗号アジリティとハイブリッドソリューションを組み込むという同様の要請に直面している。
• 米国SECの暗号資産タスクフォースは、「今収集し、後で解読する」攻撃によるシステミックな崩壊を防ぐために、ビットコインなどのデジタル資産における早期のPQC採用の必要性を強調している。
セクター全体で、NIST、NSA、英国のNCSCなどからの国際標準が、暗号インベントリ管理、リスクベースの優先順位付け、緊急移行計画において組織を導いている。
量子解読が2029年までに実現可能になれば、今日収集された5〜10年間安全でなければならないデータはすでに露出している。組織はデータを暗号化しなかったからではなく、目的に適さなくなった暗号化手法に依存したために、規制上の義務違反に陥る可能性がある。その結果は深刻なものとなりうる。罰金、訴訟、認証の喪失、評判の損害がすべて考えられる。
量子解読の影響はブロックチェーンビジネスエコシステムにも及ぶ。主要なブロックチェーンを保護するコンセンサスメカニズムは比較的量子攻撃に耐性があるが、エンドユーザーが使用する暗号システムについては同じことが言えない:ほとんどのウォレット、秘密鍵、取引署名は依然として古典的な暗号化に依存しており、量子による侵害に対して脆弱だ。
とはいえ、ブロックチェーン業界はポスト量子の世界に備えて最も積極的なセクターの一つだ。ビットコインやイーサリアムなどの主要ネットワークや、主要なカストディおよびウォレットプロバイダーのほとんどが、ポスト量子暗号(PQC)研究プログラムと移行ロードマップを確立している。
信頼こそが真の通貨
量子解読の財務上およびコンプライアンス上のリスクは深刻だが、より深いコストは信頼のそれだ。信頼はすべての顧客関係、すべての投資家の決断、すべての従業員契約の基盤となる。そしてひとたび破られると、再構築はほぼ不可能だ。
企業のアーカイブされたメール、契約書、または人事ファイルが、収集されてから何年も後に解読され、漏洩するシナリオを想像してみよう。当初の侵害が当時は見えなかったとしても、その余波は即時かつ深刻なものとなるだろう。これは個々の企業だけの問題ではない。これはシステミックなリスクだ。量子解読が広まれば、グローバル商取引を支えるデジタル信頼の基盤を侵食する可能性がある。
量子の脅威に対する認識が高まっているにもかかわらず、ほとんどの組織は準備ができていない。DigiCertによる2025年の調査によれば、組織の69%が量子コンピューティングが現在の暗号化標準にもたらすリスクを認識しているが、量子安全暗号化を実装しているのはわずか5%だ。
良いニュースは、このリスクに対処するためのツールがすでに存在することだ。2024年、NISTは量子攻撃に耐えるように設計された4つのポスト量子暗号アルゴリズムを最終決定した。
量子レジリエンスを獲得するには、一晩で全面的な変更を行う必要はない。計画的かつ段階的なアプローチが必要だ。組織は最も機密性が高く、長期間保存されるデータを特定することから始めるべきだ。特に外部に面したシステムで古典的な暗号化がどこで使用されているかを評価し、非重要環境でポスト量子アルゴリズムのテストを開始すべきだ。
今行動する組織は、データを守るだけでなく、評判、関係性、そして未来を守ることになる。
この記事に反映されている見解は著者の見解であり、必ずしもグローバルEY組織またはそのメンバーファームの見解を反映するものではない。
