CISAがポスト量子暗号製品カテゴリを発表、移行を加速

CISAがポスト量子暗号製品カテゴリを発表、連邦機関の移行を支援

サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、**ポスト量子暗号（PQC）**標準を採用したハードウェアおよびソフトウェア製品カテゴリの包括的なリストを発表し、定期的に更新する予定です。この取り組みは、2025年6月6日に発令された大統領令（EO 14306）「国家のサイバーセキュリティ強化に向けた特定の取り組みの維持および大統領令13694ならびに大統領令14144の改正」に対応するものです。

主要ポイント

CISAのリソースは、連邦機関におけるPQCの導入を加速することを目的としており、新たな暗号標準に準拠した技術を特定するための構造化されたフレームワークを提供します。このリストでは、製品をハードウェアとソフトウェアのセグメントに分類し、調達および実装の取り組みを支援するための典型例を示しています。詳細については、CISAの公式リソースページで確認できますが、これらのカテゴリは、組織がRSAやECCなどの量子脆弱な暗号アルゴリズムから移行するためのガイダンスとして設計されています。

技術的背景

ポスト量子暗号とは、従来のコンピュータと量子コンピュータの両方による攻撃に耐性があると考えられている暗号アルゴリズムを指します。**国立標準技術研究所（NIST）**が2024年にPQC標準化プロセスを完了したことを受け、連邦機関は現在、PQC準拠のソリューションを優先することが義務付けられています。CISAの製品カテゴリは、NISTが承認した以下のアルゴリズムに準拠しています：

• CRYSTALS-Kyber（鍵カプセル化）
• CRYSTALS-Dilithium（デジタル署名）
• SPHINCS+（ハッシュベース署名）

影響と次のステップ

これらの製品カテゴリの発表は、連邦機関および重要インフラ事業者にとってのPQC移行の緊急性を強調するものです。組織は以下の対策を講じることが推奨されます：

1. 現在の暗号依存関係を評価し、量子脆弱なアルゴリズムに依存するシステムを特定する。
2. CISAの製品カテゴリを確認し、ハードウェアおよびソフトウェアのPQC準拠代替品を評価する。
3. NISTのガイドラインおよび連邦要件に沿った段階的な移行計画を策定する。
4. CISAの製品リストの更新を監視し、進化する標準や市場の動向に基づいてカテゴリが改善されることに留意する。

CISAのリソースは、量子耐性暗号への複雑な移行を進める機関にとって重要なツールであり、EO 14306への準拠を確保しつつ、長期的なサイバーセキュリティリスクを軽減します。