PQC 準備 // CHIMERASCOPE
量子コンピューティングの脅威に対する貴社の暗号インフラストラクチャの定量的評価 — CRA、NIS2、及び BSI TR-02102-1 のコンプライアンス義務にマッピングされています。
量子コンピューティング研究の最近の進展により、広く展開されている公開鍵暗号を破るために必要とされるリソースの見積もりが大幅に削減されました。機密データ(財務記録、医療情報、知的財産、営業秘密)を取り扱う組織は、規制当局がすでに対応を始めている具体的な時間的プレッシャーに直面しています。
核心的な脅威は単純です:今日傍受された暗号化ネットワークトラフィックは保存され、量子コンピュータが十分な能力に達した時点で復号可能になります。この「今すぐ収集し、後で復号する」戦略により、ポスト量子への移行は将来の課題ではなく、現在のリスク管理の優先事項となります。現在の見積もりでは、傍受から復号可能になるまでの期間は3年から10年とされています。
NISTは2024年8月に、鍵カプセル化用のML-KEM(FIPS 203)、デジタル署名用のML-DSA(FIPS 204)、ハッシュベース署名用のSLH-DSA(FIPS 205)の3つのポスト量子暗号標準を最終化しました。主要なインフラプロバイダーはすでに導入を開始しています — しかし、圧倒的多数の組織は自社の準備状況を評価していません。
当社の評価は、貴社インフラストラクチャの外部から観測可能なすべてのエンドポイントにわたって暗号の量子対応性を評価します。内部システムへのアクセスは不要です。
標準化されたポスト量子ハイブリッドおよび純粋アルゴリズムに基づくTLS鍵交換設定を評価します。エンドポイントが量子耐性の鍵交換を交渉できるか、あるいは傍受に対して脆弱なままであるかを判定します。主要ドメイン、サブドメイン、追加のサービスポートを対象とします。
証明書アルゴリズムの分析(署名方式の評価と移行準備スコアリングを含む)を行います。発行機関、オートメーションレベル、ピンニング制約に基づき、貴社の証明書インフラが運用上の中断なしに量子安全アルゴリズムへ移行できるかを評価します。
貴社のMXインフラ全体にわたるSTARTTLSのポスト量子対応機能を検証します。メール転送は最も見落とされがちな量子脆弱チャネルの一つであり、現在のデータでは世界のメールサーバの1%未満が量子安全な転送暗号化に対応しています。
新しい保護が利用可能でも、攻撃者が接続を古い量子脆弱なプロトコルバージョンに強制的にダウングレードさせる脆弱性を検出します。すべての公開管理インターフェースに対するSSH鍵交換の近代化評価も含まれます。
CDNを考慮した分析により、ネットワークエッジで提供される量子保護と、オリジンインフラ固有の保護を区別します。これは現在の公開スコアリングツールが行っていない重要な区別です。コンテンツ配信ネットワークに依存する組織は、エッジ層のみが量子対応であるにもかかわらず、全体が保護されていると誤認しがちです。
欧州の産業、金融、テクノロジー組織に対する当社の評価では、一貫したパターンが明らかになっています。
ポスト量子暗号の準備は理論的な懸念ではなく、欧州の組織に適用される複数の規制フレームワークにおいて新たなコンプライアンス要件として浮上しています。
CRAは、デジタル要素を含む製品に対し、最新の技術水準を反映した暗号保護の実装を求めています。第10条は、製造業者が「適切なメカニズムとプロトコル」によって機密性を確保することを義務付けており、NIST標準が成熟するにつれてポスト量子対応がますます含まれる表現となっています。脆弱性報告は2026年9月から義務化され、2027年12月までに完全なコンプライアンスが求められます。
第21条は、重要かつ重要度の高い事業者に対し、リスクに比例した「最新」のセキュリティ対策の実装を求めています。ポスト量子暗号標準が成熟する中で、評価や移行計画を行わないことは、NIS2が要求するリスク管理措置に明確なギャップを生じさせます。セクター別のガイダンスでは、PQC移行スケジュールが明示的に参照されることが期待されています。
ドイツ連邦情報セキュリティ局(BSI)は、推奨される暗号アルゴリズムに関する技術的ガイドラインを維持しています。TR-02102-1はML-KEMとML-DSAを推奨アルゴリズムとして分類しており、ドイツ市場で事業を行う、またはサービスを提供する組織に対し具体的な指針を示しています。BSIのガイダンスは、DACH地域の公共部門サプライヤーや規制産業に特に重要な影響を持ちます。
Commercial National Security Algorithm Suite 2.0(CNSA 2.0)は、国家安全保障システムにおける量子脆弱アルゴリズムの廃止スケジュールを定めています。米国中心の取り組みではありますが、CNSA 2.0のタイムラインはグローバルなサプライチェーン要件に影響を与え、防衛、航空宇宙、またはデュアルユース技術分野にサービスを提供する組織は、管轄に関係なく連鎖的なコンプライアンス義務に直面します。
各評価は、外部から観測可能なすべての暗号エンドポイントにおける実際の導入状況を反映した定量的な準備スコアを生成します。スコアは、トランスポート層の構成、証明書の姿勢、メールセキュリティ、プロトコルの回復力、インフラストラクチャのアーキテクチャを考慮します。
主要エンドポイント全体にポスト量子鍵交換が導入されています。証明書インフラはアルゴリズムの移行をサポートします。メールトランスポートには量子耐性の保護が含まれています。重大なプロトコルのダウングレードパスは検出されませんでした。
部分的なポスト量子導入が行われています — 通常は CDN エッジ保護を通じて実装され、オリジンレベルの実装がないか、メールまたは SSH トランスポートにギャップがあります。移行パスは存在しますが、特定のインフラ層に対する的確な対策が必要です。
限定的またはポスト量子保護が導入されていません。証明書インフラは移行をサポートする可能性がありますが、現在アクティブな移行は開始されていません。プロトコルのダウングレードパスが存在する可能性があります。推奨事項: 現行の予算サイクル内で移行計画を開始してください。
量子耐性の保護が検出されませんでした。レガシープロトコルのバージョンが受け入れられています。証明書管理が迅速な移行を妨げる可能性があります。推奨事項: 暗号インベントリと移行ロードマップを直ちに運用上の優先事項として位置付けてください。
非推奨アルゴリズムの使用、前方秘匿性の欠如、移行への構造的障壁など、重大な暗号リスクが存在します。直ちに評価と是正計画を実施する必要があります。
今です。NIST標準は確定し、主要なインフラプロバイダーは導入を進めており、規制フレームワークはポスト量子要件を組み込んでいます。本日評価を開始する組織は、コンプライアンス期限が到来する前に移行ロードマップを用意できます。
部分的です。主要な CDN プロバイダーはエッジでポスト量子鍵交換を展開していますが、実際のデータ処理はオリジンサーバーが行います。オリジンが量子安全な保護を備えていない場合、CDN とオリジン間のトラフィックは依然として脆弱です。当社の評価はまさにこのギャップを特定します。
いいえ。当評価は受動的観測と標準的な TLS ハンドシェイク分析を通じて暗号設定を評価します。エクスプロイトは行わず、認証試行もサービス妨害も行いません。標準評価範囲では認可は不要です。
メール転送はウェブインフラとは別に評価されます。当評価は、貴社の MX サーバーが量子安全な STARTTLS をサポートしているかを確認します。この機能は現在、全世界のメールサーバーの 1% 未満しか提供していません。
PQC 準備評価は単独のエンゲージメントとして、または包括的な外部攻撃面評価の統合レイヤーとして提供されます。組み合わせると、PQC の所見は全体のコンプライアンスマッピングおよび脅威スコアリングに組み込まれます。
アルゴリズム評価には NIST FIPS 203(ML-KEM)、FIPS 204(ML-DSA)、FIPS 205(SLH-DSA)を使用します。コンプライアンスマッピングには CRA 第10条、NIS2 第21条、BSI TR-02102-1、CNSA 2.0 を参照します。すべての参照は納品レポートに記載されています。
組織の主要ドメインをポスト量子暗号対応評価のために提出してください。評価は 48 時間以内に暗号化された PDF で提供されます。
組織の主要ドメインをご提供ください。評価は、外部から観測可能なすべての暗号エンドポイントを対象とします。