総務省は7月31日、「ICTサイバーセキュリティ政策の中期重点方針」(案)に対する意見募集の結果および「ICTサイバーセキュリティ政策の中期重点方針」を公表した。提出された意見とそれに対するICTサイバーセキュリティ政策分科会の考え方も公表している。
同重点方針は、総務省が中長期的に取り組むべきサイバーセキュリティ施策の方向性をまとめたもの。
背景となるサイバーセキュリティを巡る主な課題として「厳しさを増す国際情勢とサイバー攻撃リスクの高まり」「多様化・複雑化するサプライチェーンとアタックサーフェス(攻撃対象領域)の増加」「セキュリティ人材の確保」「生成AI等の新たな技術への対応 」を挙げている。
政府の主な動きと総務省としての対応の基本的な方向性には、「国家安全保障戦略」「重要インフラのサイバーセキュリティに係る行動計画の改定」「経済安全保障推進法の施行」「AI事業者ガイドラインの策定やAISIの設立」を挙げた。
ICTサイバーセキュリティ政策の中期重点方針では、重要インフラ分野等におけるサイバーセキュリティの確保として「通信」「放送」「自治体」「データ通信基盤」について現状と今後の取り組みの方向性を記載している。
新技術への対応では、「AIとセキュリティ」「耐量子計算機暗号等の暗号技術」を取り上げている。重点方針ではすでに多くの企業が取り組んでいるものもあるが、耐量子暗号(PQC)については温度感が低い印象がある。
重点方針ではPQCについて、「NICTにおける暗号安全性評価に関する研究開発の取組の充実」「現代暗号の安全性評価・監視」などを挙げているが、「PQC等への移行に向けて必要となる技術的検討及び情報発信を実施することが必要」「共通鍵暗号の性能向上技術やクリプト・アジリティ45技術等の研究開発を推進することが求められる」など、距離を感じる記述となっている。
量子コンピューターにより既存の暗号が容易に解かれてしまうことは広く知られているが、企業などの組織には暗号を使用するケースが膨大にあり、これらが一気に危殆化することはあまり知られていない。
その一つ一つをPQCに置き換える作業、つまりは暗号の棚卸が必要で、CBOM(暗号部品表)の重要性も叫ばれ始めている。移行期間を考えると、PQCに関する注意喚起も必要であろう。
