はじめに
量子コンピューターの技術革新が進む一方で、米国NISTでは「2030年までに暗号鍵長2048ビットの公開鍵暗号は破られる可能性」があると指摘されています。私たちが引き続き、安全な暗号通信を利用するためにも、耐量子計算機暗号(PQC)への移行の一歩目として、組織内で使われている暗号情報可視化が必要です。日本においても、金融庁が2024年に「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書」を公開し、組織内で使用している暗号アルゴリズムを可視化する具体的な取り組みとして、利用している暗号情報を台帳化するクリプト・インベントリの作成が挙げています。
本記事では、クリプト・インベントリ作成における暗号情報可視化ツールの動向をまとめました。
クリプト・インベントリについて
クリプト・インベントリとは組織で利用されている暗号情報を台帳化したものです。
クリプト・インベントリの作成方法としては、図のように暗号情報の収集・管理を手動で行うかツールで行うかによって、大きく4パターンに分類されます。
また、ツールで収集する場合でも、アプリケーション層はツールで収集するが、ネットワーク層は管理台帳や設計書から手動で収集するといったハイブリッドになるパターンが想定され、既に導入されている製品との兼ね合いやリソース等、組織の実態に合わせた方法で収集されます。
各ベンダーの暗号情報可視化ツール
ここでは、暗号情報を管理する暗号情報可視化ツールの動向をまとめていきます。
IBM GCM (Guardium Cryptography Manager)
- GCMでは、ネットワークやアプリケーションなどのスキャンデータやCMDB、CBOMなどから暗号情報を集約し統合的に可視化することができる
- 可視化だけでなく、リスク評価も実施可能
2025年11月26日利用開始
Palo Aloto Networks
- Palo Alto NetworksとIBMから共同で、2026年初頭を目処に企業内で使用されている暗号情報を可視化するソリューションが発表予定
- 企業全体の暗号情報とその使用状況に関する項目を自動的に台帳化する
まとめ
PQC移行への具体的な一歩目として取り組むクリプト・インベントリにおいて、暗号情報可視化ツールの動向をまとめました。直近のクリプト・インベントリ作成はシステムの管理台帳や設計書から手動で台帳化することが想定されますが、一度作成したクリプト・インベントリを更新する際に手動で行うか、ツールで行うかは大きなターニングポイントになりそうです。