英国は、タイムラインを設定します

から

3月 20, 2025

インサイダーブリーフ

英国の国立サイバーセキュリティセンター（NCSC）は、Quantum後の暗号化（PQC）の移行のロードマップを概説し、2035年までに組織の移行を支援し、量子コンピューターが電流暗号化を破壊するリスクを軽減するために重要なマイルストーンを設定しました。
組織は、2028年までに発見段階を完了し、2031年までにPQC移行活動を優先し、2035年までに完全な移行を完了し、暗号化のセキュリティが将来の脅威に対して堅調なままであることを保証する必要があります。
NCSCは、PQCの移行は避けられないと警告しており、ビジネスに早期に計画し、ベンダーと調整し、テストプロトコルを実装してスムーズで安全な移行を確保するよう促しています。

英国の国立サイバーセキュリティセンター（NCSC）が概説しましたカントゥム後の暗号化（PQC）に移動するためのロードマップ、組織がリスクを評価し、戦略を定義し、2035年までに完全に移行するためのターゲットの日付を設定します。この動きは、将来の量子コンピューターによってもたらされる迫り来る脅威を緩和するように設計されています。

NCSCの最新のガイダンスは、PQCの移行は、重要な計画と投資を必要とする複雑な複数年のプロセスであることを認めています。ドキュメントは特定のマイルストーンを提供します。

2028年までに： 組織は、完全な発見段階を完了し、どのシステムとサービスが暗号化に依存し、アップグレードする必要があるかを特定する必要があります。移行計画を起草する必要があります。
2031年までに： 企業は、最高優先移民活動を完了し、計画を改善し、完全な移行のためにインフラストラクチャを準備する必要があります。
2035年までに： 移行は、すべてのシステム、サービス、および製品にわたって完了する必要があります。

NCSCは、これらのステップは量子の脅威に対処するためだけでなく、全体的なサイバー回復力を改善するためにも不可欠であることを強調しています。

「PQCへの移行は生態系全体の活動です」とガイダンスは述べており、組織に土壇場のセキュリティギャップを避けるために早期に計画するよう促しています。

アリ・エル・カファラニPQShieldの共同設立者兼CEOは、Quantum後の暗号化への移行のためのこれらのタイムラインにより、NCSCは英国のデジタルの将来を保護するために企業や機関に明確な指示を与えたと述べました。

「タイムラインは、2035年までに第四紀後の暗号化によって保護されているサイバーセキュリティサプライチェーンにすべての製品とサービスを持っているという米国のハードストップと一致しています」とエルカファラニは声明で述べました。「このような厳格な要件を満たすために、半導体やOEMなどのサプライチェーンのより高い層は、しばらくの間取り組んできた独自の移行ロードマップの実行をすでに開始しています。実際のポストカンティム対応デバイス/プロトコルを使用した遷移ロードマップ。」

暗号化に対する量子の脅威

量子コンピューターは、古典的なコンピューターとは根本的に異なって動作します。今日の暗号化は、古典的なマシンの解決が難しい問題に依存していますが、量子コンピューターは効率的に解決できます。これにより、RSAやECCなどの広く使用されている暗号化方法が廃止されます。

NCSCは、これが単なる理論的懸念ではないことを強調しています。

「将来の大規模で断層耐性の量子コンピューターからの暗号化に対する脅威は、今ではよく理解されています」と機関は述べています。「量子コンピューターは、今日のネットワークを保護するために、非対称公開キー暗号化（PKC）が依存している硬い数学的問題を効率的に解決できるようになります。」

このリスクに対抗するために、組織はPQCに移行する必要があります。これは、量子コンピューターでさえ効率的に解決できない数学的な問題に依存しています。

グローバルITシフト

PQCの移行は、英国固有の努力ではありません。米国国立標準技術研究所（NIST）は、2024年にML-KEM（FIPS 203）およびML-DSA（FIPS 204）を含む最初のPQC基準セットを公開しました。グローバルクラウドプロバイダー、ブラウザベンダー、および主要企業は、これらの標準をすでにセキュリティロードマップに統合しています。

ただし、養子縁組のタイムラインは異なります。 NCSCは、金融サービスや通信会社がより早いものに移行する可能性が高い一方で、産業制御システムとモノのインターネット（IoT）デバイスが遅延に直面する可能性があると指摘しています。

移行の課題に対処するための手順

ほとんどの組織では、PQCの移行は、あらゆるメジャーITアップグレードのパターンに従いますが、独自の課題があります。量子抵抗を念頭に置くことなく多くのシステムが構築され、複雑な暗号化依存性につながりました。重要なインフラストラクチャセクターでは、長い製品ライフサイクルと運用技術の交換（OT）の高いコストにより、移行は特に困難になります。 NCSCチームは、コンプライアンス計画の一部となるためのいくつかのステップを推奨しています。

最初のステップは発見と評価です。組織は、すべての暗号化依存関係をカタログ化し、保護が必要な長寿命のデータを特定し、サードパーティベンダーがPQCの準備ができているかどうかを判断する必要があります。この理解の構築には、システム、製品、ソフトウェアアプリケーション、ネットワーキングハードウェア、モバイルデバイスなどが含まれる必要があります。

戦略の選択も重要です。標準のITインフラストラクチャに依存している企業は、ベンダーからPQCアップデートを受け取る場合があります。その他は、インプレースの移行（脆弱な暗号化コンポーネントの交換）、再プラットフォーム（PQC互換システムへの切り替え）、またはレガシーテクノロジーの退職を選択する必要があります。一部のシステムはまったくアップグレードできない場合があり、リスク軽減戦略が必要です。

また、NCSCは、セキュリティニーズと規制要件の両方を考慮して、組織が移行目標を定義することを推奨しています。 PQCの移行は長期的な努力であるため、企業は将来の暗号化の進歩に適応する能力も評価する必要があります。

企業はすぐにベンダーとサプライヤーとの議論を開始して、PQCの準備に沿っていることを確認する必要があります。

NCSCは、組織にサプライヤーにニーズを伝えるように助言し、PQC移行へのコミットメントの概要を説明する意図の声明をリリースすることも検討する必要があります。これは、量子セキュア製品の需要を示すのに役立ち、業界全体の行動を促進するのに役立ちます、とアナリストは示唆しています。

テストと検証は、移行を通して重要になります。 PQCアルゴリズムが実装されていても、誤った暗号構成はセキュリティの脆弱性を生み出す可能性があります。組織は、システムが正しい暗号化プロトコルを使用しており、従来の暗号化のデフォルトではないことを確認する必要があります。