サイバーセキュリティのリーダーと実務者のためのアイデンティティ・セキュリティVodcast
アイデンティティは今やサイバーセキュリティの最前線であり、企業は脅威、コンプライアンスの圧力、認証の課題を先取りする必要があります。RSA Identity Unmaskedは、RSAのエキスパートと業界リーダーがホストを務める月1回のVodcastで、今日のアイデンティティ セキュリティを形成する真の問題を取り上げます。.
今すぐ“今すぐ申し込む”「新しいエピソードが配信された際にお知らせし、以下のようなトピックに関する実用的な洞察を得ることができます。 モダン認証, アイデンティティガバナンス, ゼロ・トラスト, リスクベース・アクセス, ヘルプデスク検証, 業界課題, 技術動向, 分野別ホットトピック, などなど。
エピソード1 - 量子コンピューティング
インゴ・シューベルト(RSA)とデイヴィッド・レロ(バーニング・ツリー)が、量子暗号、リスクへのタイムライン、そして組織がポスト量子IDレジリエンスに備える方法について議論を続ける。この第1回目のエピソードでは、その全貌に迫ります。ポップコーンをどうぞ!いい話です!
ビデオ録画
インゴ・シューベルト:RSA Identity Unmasked へようこそ。この Vodcast では、ID セキュリティの未来を形作る勢力を解説します。ホストのインゴ・シューベルトです。今日は、業界全体が熱を帯びているトピック、量子コンピューティングに飛び込みます。今日はBurning TreeのDavid Lelloと一緒にお送りします。さっそく本題に入りましょう。今日は、量子コンピューティング、誇大広告、脅威、機会、あるいはその3つすべて。昨年9月にブレッチリー・パークで始まった議論を、バーニング・ツリーのデヴィッド・リロと私、インゴ・シューベルトとで再び行っています。では、さっそく始めましょう。デイビッド、このエピソードにようこそ。.
DAVID LELLO:ありがとう。
インゴ・シュバート:聴衆の皆さんのために、量子コンピューターとはどういうものか、2、3語で説明していただけませんか?
デビッド・レロ:量子コンピュータの基本的な見方から始めようと思う。.
インゴ・シュベルト:うん
DAVID LELLO:量子コンピューターは、従来のコンピューターとは異なる方法で動作します。量子コンピューターでは、コンピューターは異なる方法で処理を行います。量子力学を利用しているので、量子力学の多次元の世界では、データを見て、データを見る。データを同じように読み取ることはなく、その結果、仮説を立てたり、複数の構成要素を同時に見ることができる。本を読むとき、従来のコンピューターは最初から最後まで読みますが、量子コンピューターは本を読み、データを見ます。そのため、量子コンピューターははるかに速く情報を処理することができる。また、問題を解決する際にも、一連の問題を解決しようとするのではなく、すべての問題を同時に解決するようなものです。.
インゴ・シュバート:ええ、もちろんアルゴリズムはかなり違います。だから、多くの人が、私もそうですが、実際にどうやってプログラミングするのかということに頭を悩ませているのだと思います。伝統的なITのバックグラウンドを持つ私にとって、これは本当に別物なんだ、ということを理解するのに役立つことがある。Nビットあれば、N個のデータを保存できる。ゼロか1か?量子では、Nの2乗、つまり、即座に、昔の瞬間的な計算が働けば、同じ量の量子ビットで、より多くのデータを保存できるんだ。だから、記憶と処理は別次元なんだ。というわけで、この話はこの辺にしておきましょう。基本的なことを説明しただけです。.
そこで、次のトピックとして、量子コンピューティングの現状はどうなっているのか?私たちは今どこにいるのでしょうか?というのも、おそらく、そしてブレッチリー・パークで私たちをご覧になった方もいらっしゃるかもしれませんが、私たちの現在地や将来について、私たちは異なる意見を持っていると思うからです。では、あなたから始めましょう。量子コンピュータの現状はどうですか?
デビッド・レロ:量子コンピューターはまだ初期段階にあると思う。多くの量子コンピューターが存在し、実際に量子コンピューターで時間を雇ってデータを見ることができます。しかし、量子コンピュータが開発されるには、さまざまな問題があると思います。量子コンピュータの中には、温度などの面で多くの制御を必要とするものもあります。量子コンピューターは絶対零度、つまり摂氏マイナス270度で動作するわけですが、これは本当に低温です。そのためには大きな施設と設備、そして大きなエネルギーが必要です。そうでなければ、結合力が失われ、プラットフォームの安定性が損なわれてしまいます。.
初期の量子コンピューターは、この問題のために常に燃え尽きていた。そのため、この問題を解決し、対処する必要がある。もう1つの問題は、量子コンピューターは同時にデータを見るため、多くのノイズが発生するということです。もし聖書のようなものを、最初から最後まで読むのではなく、瞬時に読まなければならないとしたら、理解できない物語が頭の中にできてしまうでしょう。そして、メッセージを咀嚼し、理解し、抽出することは非常に難しくなる。.
そのため、システム内のノイズが大きな問題を引き起こしていた。オックスフォードでは、エラー評価とシステム内のノイズを大幅に減らすことに成功しました。しかし、現在のところ、おそらく最も大きな問題は、一度にエンタングルできるキュービットの量です。つまり、情報を処理するために一度にエンタングルできる量子ビットの量は限られている。つまり、マシンの処理能力や能力には限界があるということだ。.
つまり、まだ暗号学的に適切な量子コンピューティングと呼べるようなものではない、ということが大きな問題なのだが、実証された段階にある。機能する。科学者が言うとおりのことができる。ただ、それを次のレベルに引き上げ、さらに投資していく必要がある。数カ月に一度、さらなる進歩が起こったり、多額の投資が行われたりしており、私たちは進歩を目の当たりにし始めている。.
インゴ・シュバート:ええ、その通りです。量子コンピュータを比較するとき、その写真を見ればわかるでしょう?5年前と現在を比べると、私は今でも部分的には物理実験と呼んでいますが、5年前の方がはるかに物理的な実験でしたよね?その物理的なセットアップを見ればわかるでしょ?
しかし、従来のコンピューターよりもはるかに速く問題を解決できるのは事実だ。その理由のひとつが、あなたがおっしゃった「結束力」です。ええ、基本的な結束力というのは、ある一定の時間だけシステムを安定させることができるかどうかということです。どのチップかにもよるけど、通常は最大で秒単位、ミリ秒単位で計測されるんだ。そして、それは多くの場合、有用な時間からかなり離れている。しかし、理にかなった使用例もあります。量子コプロセッサのようなものだ。しかし、私が問題視しているのは、多くの使用例において、NvidiaのGPU数個で同じように問題を解決できるかどうか疑問だということだ。
量子コンピューティングの分野でも多くの宣伝が行われています。AIの誇大広告とも少し重なると思います。誇大広告であっても、それが現実であるとも言えるでしょう。しかし重要なのは、多くの誇大広告と多額の資金が出回っているということです。その資金の一部は、出口戦略のようなものを探しているのだと思います。量子コンピューターは魅力的でしょう?そのため、彼らは多くのものをそこに投入しています。そして、根本的に見ると、過大評価され、また、何を約束するかという点で、過大評価されている企業が存在します。ブレッチリー・パークでは、グーグルのウィロー・チップを例に挙げましたが、グーグルは実際にこの新しいチップに関するプレスリリースを発表しました。宇宙は25歳の10の何乗かしかないんだから、とんでもないことだ、という感じだ。また、大小を問わず、さまざまな企業のプレスリリースを見ると、達成したことを誇張する傾向がある。.
残念なことに、量子コンピューティングがここ数年で成し遂げた真の進歩のいくつかがかき消されてしまうのです。量子コンピューティングの脅威が、実際よりもずっと現実味を帯びてきているのです。でも、もし量子コンピューターが突然現れたら、なぜ世界は終わるのか、という話に入る前に、あなたが考えている量子コンピューターの利点は何でしょうか?量子コンピューターは、他のどんなものよりもずっと優れたことができるのでしょうか?
デビッド・レロ:量子コンピュータの現状について、あなたがおっしゃったことにもお答えします。量子コンピュータに問題があることには同意しますが、量子コンピュータの安定性の実現は、言われているよりもずっと近いところにあると思います。振り返ってみると、未来を見るための最良の方法のひとつは歴史を見ることだと思います。私が銀行で働いていた若い頃、メインフレームがあって、それは旧式のIBMのメインフレームだった。メインフレームは一部屋を占めていた。大きな部屋だった。小さな部屋ではなかった。かなり大きな部屋だった。メインフレームは部屋を埋め尽くしていた。このメインフレームにはバルブがあった。水冷タンクが3つあった。この銀行の地下にはプールがあった。これは巨大だった。そのわずか数年前に、そのメインフレームからパンチカードシステムを入れ替えたんだ。.
古いメインフレームを搬出する際には、フォークリフトや非常に重たい機械が必要だった。そして、以前よりも飛躍的に巨大なラックとメインフレームコンピュータに置き換えた。コンピュータの進歩は年々加速している。ほんの30年前、いや40年前にさかのぼったとしても、私たちが目にする変化の量は膨大なものです。.
インゴ・シュバート:そう。.
冷却システムや大型装置、それに付随するあらゆるものが必要だからです。それには莫大な費用がかかる。莫大な投資が必要なんだ。そして、これらの問題は解決されるだろう。そして、私たちが考えるよりも早く解決されるかもしれない。現在のところ、月ごとに見られる進歩は、私たちが結束に近づいていることを示唆している。だから、もう少しなのかもしれない。.
というのも、量子コンピューターができることは、データを非常に高速に処理できることであり、一部の人々が主張するほど高速ではないが、データを非常に高速に処理できるため、これまで解決できなかった問題に目を向け、解決できることを意味するからだ。.
理論物理学ではシュレディンガーの猫という概念がある。腐敗しているのか?それは何なのか?猫の状態は?量子コンピューターは、あらゆる可能性の猫を実際に見て、見ることができる。.
タンパク質の折り畳みなど、医学の分野では、量子コンピュータは従来のコンピュータよりも優位に立つと思います。他にも、単純に大量のデータを処理する必要があるもの、天気予報もそうですし、地質学的なデータなど、コンピュータの恩恵を受けるユースケースはたくさんあります。.
というのも、トランジスタで過去に起こったことがまた起こるというのは、一筋縄ではいかないからです。宝くじと同じで、前回当たったからといって、次回も当たらないとは限りません、数百量子ビット、あるいは数千量子ビットで万能の量子コンピュータができるとしたら、例えば、暗号技術にとって脅威となる「ショーのアルゴリズム」を実行することができる。数十万量子ビットの話ですよね?それに到達する過程で、どこかで壁にぶつかるかもしれないだろ?そのような問題を解決できる保証はない。そうかもしれないし、実際そうかもしれないけど、保証はないんだ。それと同時に、量子コンピューターは、GPUのおかげで世界的に計算能力が大幅に向上している環境の中で、商業的に生き残らなければなりません。AIのおかげで。 以前はビットコインの流行でしたが、今はAIです。つまり、チップ設計の根本的な進歩がなければ、このようなことは起こりません。つまり、チップは小型化されるのです。私たちは計算能力を大幅に向上させました。つまり電力です。.
そのような環境では、量子コンピューターは生き残らなければならない。特に鍵の解読については、政府によってはそうするところもあるでしょう。そう、それでいいんだ。彼らは十分なお金を持っている。彼らはそんなこと気にしない。まあ、気にする必要はあるかもしれない。私たちの税金なんだから。.
完全に機能する普遍的な量子コンピューターに至るまでには、実用的な量子コンピューターのユースケースがある。それは議論の余地がないと思う。そうでないとは言っていない。そして、そのための良いユースケースもある。例えば、製薬研究におけるタンパク質の折り畳みとかね。
しかし、脅威について話しましょう。消費電力のような話ではなく、伝統的なユニットにはそれがあるからね。つまり、特にITセキュリティに対する脅威、そしてセキュリティなんだ。ショールのアルゴリズムについて触れましたが、これが何なのか、セキュリティにどのような影響を与えるのかを簡単に説明しましょう。.
量子コンピューターは、情報やデータをより速く処理することができるので、暗号鍵をリバースエンジニアリングするためにショーのアルゴリズムを使うことができる。.
インゴ・シュバート:そう。.
デービッド・レロ:したがって、私たちが消費し、使用し、アクセスする最も多くのデータが、攻撃に対して脆弱になる。.
インゴ・シュバート:ええ。何十万もの量子ビットが凝集し、何時間も動作する必要があるからです。何十万もの量子ビットを結合させ、ある程度の時間をかけて動作させる必要があるからだ。つまり、RSAアルゴリズムは、ある意味で本質的に破られるか、無効化されることになる。つまり、ここ数十年間使われてきた一般的なものは、基本的にすべて破られてしまうということですね。量子コンピューターがあれば壊れてしまう。もちろん、伝統的なコンピューターはこれまで通り苦戦を強いられるでしょう。.
つまり、これらのアルゴリズムはあらゆるところで使われているんだ。従来のTLS、ウェブサーバー通信、クライアントからウェブサーバー、VPN、電子メールの署名、送信されるファイルの暗号化など、これらはすべてRSA、ECC、Diffie-Hellmanに基づいていることが多いんだ。つまり、これは破滅的と言えるかもしれません。.
デービッド・レロ:絶対にそうなる。完全に壊滅的でしょう。調べれば調べるほど、そして実際に使用すればするほど、より多くのシステムが故障することになるでしょう。これは世界的な問題です。認証や金融システムへの認証のようにね。ビットコインのようなものでさえ危険にさらされる。楕円曲線暗号を使っていて、それが漏洩してしまう。その結果、金融システムが完全に崩壊してしまうのです。.
そう、大惨事になりかねないのです。IoTやOTについて話し始めて、医療機器や医療機器について考え始めると、それを危険にさらす可能性があることがわかります。例えば、インスリンポンプを装着している人がいるとします。.
もし私がインスリンポンプの暗号化を危うくできれば、誰かを殺すことができる。.
インゴ・シュバート:そう。.
DAVID LELLO:つまり、突然、こうしたことの背後にある犯罪性が指数関数的に大きくなる可能性があるということです。そして、『マイノリティ・リポート』や『ターミネーター』のような使用例を目にするようになるのです。.
インゴ・シュバート:今、あなたは話している。面白くなってきたよ。.
でも、量子コンピューターは一朝一夕にできるものではありません。例えば、誰かが20万キュービットの量子コンピュータを手に入れたとしましょう。通常は100万個くらいだ。10万キュービットくらいあればいいという研究もある。突然、誰もが量子コンピューターを持つようになるわけではありません。量子コンピューターにアクセスできるのは、一部の政府や研究施設だけです。すべてのサイバー犯罪者が量子コンピュータにアクセスできるわけでもない。.
しかし、脅威は現実だ。2000年問題に似ていると思う。だから、我々はしばらく前からそのような事態になることを予見していたが、それを軽減するためにいろいろなことをやったが、結局は何の役にも立たなかった。.
デービッド・レロ:でもそれは、僕らが何かをしたからだよ。.
インゴ・シュバート:その通り。私たちが何かをしたからでしょう?もし何もしていなかったら、おそらく大きな問題になっていただろう。そして、おそらく今回のケースと似たようなことになると思います。.
ええ、ですから、私たちの寿命がどれくらいかは意見が分かれるかもしれませんね。MITREの報告書では、アメリカの政府出資の研究機関として、2040年代初頭、おそらく2050年代あたりに、このショールのアルゴリズムを発表しています。奇跡でも起きない限り、その可能性は極めて低いと思う。では、この量子の黙示録に備えるために、今日できることは何でしょうか?
DAVID LELLO:2050年よりずっと早くなるのは間違いないと思う。なぜなら、それは不可能なことだからだ。私たちには超自然的な精神がないのだから。.
インゴ・シュバート:では、2055年に会いましょう。同じ時間にね。もし僕がまだ中にいたらね。.
デビッド・レロ:もちろんだ。そうしよう。同じ時間、同じ場所で。そうしよう。でも、もしもっと早く実現するのであれば、そのイベントをどのように祝うか考えましょう。技術の進歩には必ずブレークスルーがあり、それはある時点で起こります。来週かもしれないし、10年後かもしれない。10年後に起こるかもしれない。わからない。しかし、科学がそこにある以上、それは必ず起こる。信憑性がある。現実だ。ひまわり畑は今、凝集力を維持している。常温で、畑で、周囲で起こっているあらゆることがあっても、安定性がある。下を走り回る動物、汚染、その他もろもろ。ひまわり畑は凝集力を持つことができる。.
インゴ・シュバート:その通りだ。.
DAVID LELLO:科学者たちがなぜそんなことをするのか?
インゴ・シュキュベール:ええ、でも進化には数百万年かかるでしょう? それが私の言いたいことだ。でも、彼らには少し先があるよね?
ブレッチリー・パークでも少し触れましたが、暗号鍵の管理に関する慣行やグッドプラクティスと呼ばれるものに関して、私たちが現在抱えている問題のひとつは、多くの企業が失敗しているということです。数年前にSSLの脆弱性が発覚し、誰もが慌てて鍵の交換を検討しました。その結果、組織はTLSキーのローテーションをより機敏に行うようになりました。これで問題のかなりの部分が解決したことになる。TLSキーに俊敏性があるということは、キーを変更できるということだ。TLSキーに俊敏性があるということは、キーを変更できるということだ。.
しかし、組織は今すぐにでも、認証局や鍵の発行方法、TLSレベルでの鍵の交換方法について考え始めることができる。それは構わない。しかし、ある組織に入ると、20~30、もしかすると40%もの鍵が、このような方法で管理されていないことが判明する。多くのハードウェアは、ハードウェア・インフラストラクチャの一部に鍵を埋め込んでいることが多い。.
特にモノリシック・ビルドの時代には、アプリケーション自体にキーが埋め込まれていた。そして、このようなことが起こらないように考えるようになった。.
インゴ・シュバート:それが私の言いたいことだ。量子コンピューターがどうであろうとなかろうと、あれは悪いやり方だ。.
デービッド・レロ:そうだね。Y2Kでは日付があったので簡単でしたが、Q-Dayでは日付がありません。Qデーには日付はありません。.
インゴ・シュバート:とてもいい指摘だ。.
DAVID LELLO:しかし、いずれそれが到来したとき、明日到来するかもしれないし、10年後に到来するかもしれない。データが危険にさらされ、大規模な問題が発生する。.
しかし、私たちが抱えているもうひとつの問題は、私がよく質問されるもので、『今すぐデータを採取し、後で復号化する』という脅威です。暗号化されたデータが盗まれるのは何年も前から見てきたことで、デービッド・キャメロンがこの国で、我々のデータはすべて中国に盗まれている。暗号化されているからね。数年前にさかのぼれば、そのような発言は今現在は正しいが、量子コンピュータのような技術を使えば、それは問題になる。もちろん、データは古くなります。.
インゴ・シュバート:しかし、そのデータの一部はまだ関連性があるだろう。すべてではないけれど、ある意味では。だから、それは同じだと思う。5年後に解読されたとしても、誰も気にしないでしょう?10年後でもいい。だから、認証のためのIDデータの多くは、5年後や10年後に解読されたとしても、その頃には時代遅れになっているから、それほど気にする必要はないという主張ができる。しかし、戦略的なデータには、何十年も先まで害を及ぼす可能性があるものがたくさんあるんだ。国家である必要もない。普通の企業でもいい。.
デビッド・レロ:その通り。.
インゴ・シュバート:それで、どうなんだ?
DAVID LELLO:つまり、レガシー・システムが存在する組織に行くことが多いんだ。実際、私は少し前まである組織にいました。彼らはそのアプリケーションをブラックボックスとして扱っていました。書いた人はとっくに亡くなっていて、触ってはいけない。もし倒れたら、答えは電源を入れるか切るか、もう一度電源を入れて祈るしかない。あなたにできることは何もない。そして、このシステムは店舗内のすべてのアクセスを管理していた。もし危険にさらされ、ダウンさせられたら、組織を崩壊させることになる。.
インゴ・シュバート:単一障害点。.
DAVID LELLO:単一障害点。シングル・ポイント・オブ・フェイル(単一障害点)が存在する組織の数は、並大抵のものではありません。組織は、IDおよびアクセス管理インフラをどのように近代化するかを考え始める必要があります。IDおよびアクセス管理について考え始めると、IDおよびアクセス管理はすべてに通じるルートである。私たちは、ドイツやここイギリス、イタリアなどで起きている最新のランサムウェア攻撃を見てきました。これらのランサムウェア攻撃は、アクセス・コントロール・システムを標的にしている。アクティブ・ディレクトリであれ、私が説明したようなシステムであれ、実際にアクセス権を侵害することができれば、組織を崩壊させ、コミュニケーションを停止させ、アクセス権を停止させることができるからです。このような状況下でIDアクセス管理を近代化することは、大きな優先事項のひとつになるでしょう。.
インゴ・シュバート:ああ、そうだね。それに反論するのは難しいですね。ベアボーン暗号の鍵管理に戻ると、多くの顧客は自分が何を持っているのかわかっていない。暗号化する場所、鍵の場所、電子署名する場所などをよく把握していない。このような概要を把握していないのです。それが問題の一部だと思います。なぜなら、存在を知らないものを修正することはできないからです。顧客の多くは、単に基本的なサイバー衛生に苦労している。残念なことに、これは私が常に目にしていることです。今朝も、20年前のRSAソフトウェアを使用している顧客に関する問い合わせがありました。
デヴィッド・レロ:ワオ。.
インゴ・シュバート:実際、サポートに電話で問い合わせがあったんですが、サポートは答えられなかったんです。私が言いたいのは、この基本的なサイバー衛生と可視化を行わない限り、まず第一に、量子的な準備状態に到達することはできないということです。そんなことはあり得ない。.
私の意見では、量子コンピューティングを心配するのは、それを修正してからでいいと思っているんだ。というのも、もしあなたが今使っているソフトウェアが何なのかわからず、それを最新に保っていなければ、例えばポスト量子暗号を実装しているように、当然ベンダーが修正することに依存することになりますよね?
しかし、もしソフトウェアが新しいバージョンになり、量子コンピューティングのような素晴らしいものが搭載されたのに、それをインストールしなければ、それは存在しないことになりますよね?また、たとえそうしたとしても、例えばデータ管理に関するポリシーや手順が適切でなければ、ここで何を話しているのでしょうか?攻撃者がヘルプデスクに電話をして入室を求めることができるのであれば、そのために量子コンピュータは必要ないでしょう?今日は必要ない。昨日も必要なかった。明日も必要ない。あなたのポリシーが適切でなければ、彼らはヘルプデスクに電話するだけでアクセスできる。.
だから、量子コンピューターとは関係ないことでも、うまくいかないことはたくさんある。私が恐れているのは、人々が量子コンピュータやQ-Dayを見て、この素敵でピカピカ光るおもちゃに気を取られていることだ。何十年もやっていないような宿題がたくさんあるのにね。もちろん、そうする必要がある、可視化する必要がある、パッチを当てる必要がある、手順を修正する必要がある、と主張することもできる。そのために量子コンピューティングの脅威が必要なら、そうすればいい。私は満足できる。.
でも、もし量子コンピューターで障害が起きたらどうするんだ?数年間は何のメリットも進歩もなく、2060年代にはとっくに現役を退いているから心配する必要はない、みたいな感じになってしまう。.
ドイツの哲学者、エマニュエル・カントの名前を挙げてみよう。だからこれからはエマニュエルと呼ぶよ。.
18世紀のドイツの哲学者で、彼は多くの優れたことを言った。でも、私が最も賢いと思うことのひとつは、正しいことをするのは、それが正しいことだからでしょう?そうすることで、どこかの神様から得をするとか、そういう理由ではない。正しいことだからするんだ。.
暗号化する場所、暗号化する方法、ポリシー、手順、パッチの当て方、これらすべてをきちんと把握することが、量子コンピューティングが10年先か20年先か30年先かに関係なく、正しいことなのです。そんなことは関係ない。そうする必要がある。過去20年間、そうしてきたはずです。それが本質的なポイントです。ここが私たちが同意するところだと思います。そうだね。なぜなら、量子コンピューティングの現状と将来について、私たちは異なる意見を持っているからです。しかし、量子コンピューターに対応する必要があるという顧客がいれば、その努力は決して無駄にはなりません。.
デイビッド・レロ:いや、そんなことはない。というのも、私たちは多くの時間を大企業の取締役会と一緒に過ごし、財務担当取締役などと話をしているからです。企業は製品やサービスを提供するために存在し、民間企業であれば、もちろん慈善事業でない限り利益を上げるために存在しますが、そのことは気にしないでください。だから、正しいことだから何かに投資するというのは、より哲学的な議論になる。私は、それが必ずしも正しいアプローチだとは思いません。.
インゴ・シュバート:そうだね。.
DAVID・LELLO:私はあなたの意見に同意するけれども、100%、信仰の観点からは、私が信じていることからは、私は常に正しいことをしたいと思う。しかし現実には、企業はそのために存在しているわけではありません。正しいことをするために存在しているわけではないのです。少し不道徳なこともある。.
インゴシュバート:本当ですか?初めて聞きました。メモしておこう。.
私たちが見ている現実のひとつは、ある環境に関連する自分のリスク・エクスポージャーを測定し、認識し、理解することだと思います。私たちがこの問題に対する組織の回答を支援することを検討し始めたとき、私たち自身に課した課題のひとつは、量子的な備えを扱うフレームワークが実は存在しないということでした。1つもないのです。.
そこで、私たちは1つの規格を作った。私たちは、量子を見るためのアプローチを紹介する規格を作りました。NISTやグッドプラクティス、ISFなどさまざまな標準を参考にし、モデルやフレームワークを作成しました。その結果、ブラックボックス化された環境ですべてのアクセスを管理するIDシステムのようなシステムに目を向けることができるようになりました。そのようなマシンを持つことによる私のリスク・エクスポージャーはどの程度なのか?私のリスクは何なのか?私は自分のリスクを本当に理解しているのだろうか?もしそのマシンがダウンしたら、私の環境はどうなるのか?そのリスクを理解した上で、何か対策を講じなければならない。.
インゴ・シュバート:ああ、結局のところ、これは適切なリスク管理なんだ。量子コンピューターがあろうとなかろうと、リスク管理は必要であり、何年も前から行われてきたし、今日も行われているはずだ。これが私の言いたいことです。.
もちろん、それが正しいことだからやっているわけではないだろう?それは財政的に難しい議論だ。それはまったく同感だ。でも、なぜそうしなければならないのか?そしてまた、量子コンピュータのために、これらすべてを検討し、把握し、適切なリスク管理を行うというコンセプトを売り込む必要があるのなら、私の推測通りでしょう?それが絶対に正しい方法だと思う。それが署名を得るために必要な手段なら、そうだ、絶対にそうしよう。なぜなら、量子コンピューターがまだ30年先だとしても、結局のところ、今現在でも恩恵は受けられるからだ。なぜなら、その準備ができていれば、今日も安全でいられるからだ。お金を無駄にすることもない。そう、私はそれが完璧に正しいことだと思います。例えば、ヨーロッパでは2026年までにDORAに準拠するよう勧告しています。DORAに準拠したいのであれば、正直なところ、それはもうできているはずです。つまり、2026年までに可視化とリスク管理を行い、高リスクの場合は2030年までに、低・中リスクの場合は2035年までに、何らかの形で量子的な準備態勢を整えるということですね?2025年末の時点で、すでに2026年にリリースしているのです。.
だから、ほんの数年先のことなんだ。話の最初に戻って、Y2K問題を考えてみると、1999年に始めた人は、この問題に対して少し遅かったということになる。だから、今から準備しておく必要があるんだ。.
DAVID LELLO:私は、あなたがそこで提起したことのひとつが、人間心理という点で興味深い点だと思います。規制というのは、企業が正しいことを怠るからこそ有効になるものです。.
インゴ・シュバート:そうだ。.
デービッド・レロ:そして、彼らが正しいことをしていないために、議員たちは、私たちがそれに目を向けない限り、この国で大きな問題が起こるだろうと言う。だから、何かをしなければならないときに法律が登場する。英国のNCSCは量子に関する指針を定めています。ヨーロッパではDORAがある。そして悲しいことに、ブレグジットのせいで......。
インゴ・シュバルト:あなたが持ってきたんだ。.
DAVID LELLO:レジリエンス法案については、まだ検討を始めたばかりです。レジリエンス法案はパブリックコメントのために発表されました。第1号が発表され、コメントが寄せられています。近いうちに国会で読会が行われるでしょう。この問題で世界に追いつけることを願っています。.
インゴ・シュバート:まあ、アメリカを除けばね。アメリカは、地図上では荒涼とした場所のように見えますね。ええ、本当にそうです。アメリカの同僚たちとも話しているんだけど、そうだね、アメリカにはそういうところがないよね。しかし、世界の他の国々では、規制や損失という点で、リスク管理はもう少し成熟しているようです。
DAVID LELLO:持っているに違いない。.
インゴ・シュバート:そうだろう?おそらく私よりももっと多くのことをご存知でしょうが、そのうちのいくつかは、適切なリスク管理を行うことが、目に見えて明らかです。もしその機器が故障したら、どんな結果になるか知っておくべきですよね?もちろん、そうすべきです。なぜなら、あなたのビジネスはお金を儲けていて、それを妨げる何かがあるからです。その理由と解決方法を知るべきだ。それなのに、彼らは法律で強制されるまでそれをしない。
デビッド・レロ:悲しいかな、人間の本性が出るものだ。リスクやリスクマネジメントを考えることは難しいことではありません。.
インゴ・シュバート:いや、でも時間がかかるんだ。.
DAVID LELLO:そして、時間はかかりますが、プロセスを簡素化するのに役立つさまざまなテクノロジーがあります。コンピューターはプロセスを自動化するために設計されている。コンピュータがあるのは、実際に何かをするために大勢の人を必要とする手作業のプロセスがあるからです。コンピュータを使えば、そのプロセスをすべて自動化できる。最新のシステムを使えば、さらに自動化することができる。例えば、脆弱性管理のようなものだ。最新化された環境で脆弱性スキャンを導入していれば、テクノロジー・リスクは比較的よく見える。.
インゴ・シュバート:ああ。我々にとっても同じだ。アイデンティティ・ガバナンス。結局のところ、それはロケット科学ではない。ええ、もちろんです。すべての異なるシステムを接続し、ルールやその他のものを作成します。しかし、そうすれば、可視性が確保され、職務分掌やコンプライアンスといった観点からの見解が得られる。そう、それは大変な作業なんだ。もちろん、お金と時間を投資することになりますが、そこから何かを得ることができます。.
デビッド・レロ:そう。.
インゴ・シュバート:そうですね。というのも、この確保に全財産を投じるべきでないとか、これはそれほど大きな影響がないから弾力性を持たせているのであって、もうひとつはもっと投資すべきだ。適切なリスクマネジメントを行わなければ、そのような状況を把握することができないので、どのように判断すればいいのでしょうか?つまり、人々は、基本的に、組織は、これをしないことによって自分自身を傷つけているのですね?
DavidLelo:そしてアイデンティティ・ガバナンスは、実際にそれを可能にし、助けるという点で長い道のりを歩むことになります。そうです。IDをめぐる多くの組織と話をするとき、IDはセキュリティの1つではありません。アイデンティティは実現するものです。組織がより効率的かつ効果的にアクセスできるようにするための、真のビジネス・イネーブラーなのです。しかし、適切な時に適切な場所に適切なアクセスを行い、それを実際に推進するガバナンス・モデルを持つことが重要なのです。ITGCの統制や財務システムに目を向け、どのようにアクセス権限を設定する必要があるのか、職務分掌、それに伴う義務などを検討し始めるとき、これらのことは目新しいことではない。これらのことは何も新しいことではない。何十年もの間、会社法や財務規則に書かれてきたことです。.
インゴ・シュバート:もちろんだ。.
デイビッド・レロ:そして、優れたIDガバナンス・システムでそれをコントロールできる能力は、今そこにある。そして、近代化されたソリューションがあれば、実はとても簡単なことなのです。人々が思っているほど難しいことではありません。.
インゴ・シュバート:私たちを見てください。アイデンティティ・セキュリティ・ガバナンスの話を量子論から始めた。でも、そこがポイントなんです。これは、顧客や一般的な組織での議論において、ドア・オープナーのようなものだと思います。量子の脅威の話をしても、結局は量子の話ではなく、他の話になってしまう。そう、今すぐ修正すればいい、今すぐ修正すべきだ、将来どうなるかは関係ない。.
DAVID LELLO:基本的な衛生概念だ。.
インゴ・シュバート:基本的な衛生概念ですね。というわけで、この話を締めくくるのにぴったりの方法ですね。デイビッド、ありがとう。本当に、会うたびに何時間でも話せそうです。本当にありがとう。そして、量子の脅威は遠くに感じられるかもしれませんね。.
そうかもしれないし、そうでないかもしれない。でも、この会話の中で、視聴者やリスナーが、量子的な準備のために今日すべきことがあるかどうかに関係なく、あのね、という考えを得てくれればと思う。これは全然痛くない。.
そこから得られるものは、今存在する脅威から今を生きるあなたにとって有益なものでしょう?その恩恵に気づくのに20年も待つ必要はない。今日、その恩恵にあずかることができるのだ。.
以上で、量子コンピューティングとそのアイデンティティ・セキュリティへの影響に関する今日の議論を終える。量子の未来はSFの世界であり、組織は真のリスクと機会がどこにあるかを理解する必要があります。アイデンティティのレジリエンスと、次に来るものに対する組織の準備となるテクノロジーについて、さらに詳しくお知りになりたい方は、RSA.comをご覧ください。RSA Identity Unmaskedの他のエピソードへのメール配信をご希望の場合は、購読をお忘れなく。また次回お会いしましょう。.
DAVID LELLO:ありがとう。
インゴ・シュバート:聴衆の皆さんのために、量子コンピューターとはどういうものか、2、3語で説明していただけませんか?
デビッド・レロ:量子コンピュータの基本的な見方から始めようと思う。.
インゴ・シュベルト:うん
DAVID LELLO:量子コンピューターは、従来のコンピューターとは異なる方法で動作します。量子コンピューターでは、コンピューターは異なる方法で処理を行います。量子力学を利用しているので、量子力学の多次元の世界では、データを見て、データを見る。データを同じように読み取ることはなく、その結果、仮説を立てたり、複数の構成要素を同時に見ることができる。本を読むとき、従来のコンピューターは最初から最後まで読みますが、量子コンピューターは本を読み、データを見ます。そのため、量子コンピューターははるかに速く情報を処理することができる。また、問題を解決する際にも、一連の問題を解決しようとするのではなく、すべての問題を同時に解決するようなものです。.
インゴ・シュバート:ええ、もちろんアルゴリズムはかなり違います。だから、多くの人が、私もそうですが、実際にどうやってプログラミングするのかということに頭を悩ませているのだと思います。伝統的なITのバックグラウンドを持つ私にとって、これは本当に別物なんだ、ということを理解するのに役立つことがある。Nビットあれば、N個のデータを保存できる。ゼロか1か?量子では、Nの2乗、つまり、即座に、昔の瞬間的な計算が働けば、同じ量の量子ビットで、より多くのデータを保存できるんだ。だから、記憶と処理は別次元なんだ。というわけで、この話はこの辺にしておきましょう。基本的なことを説明しただけです。.
そこで、次のトピックとして、量子コンピューティングの現状はどうなっているのか?私たちは今どこにいるのでしょうか?というのも、おそらく、そしてブレッチリー・パークで私たちをご覧になった方もいらっしゃるかもしれませんが、私たちの現在地や将来について、私たちは異なる意見を持っていると思うからです。では、あなたから始めましょう。量子コンピュータの現状はどうですか?
デビッド・レロ:量子コンピューターはまだ初期段階にあると思う。多くの量子コンピューターが存在し、実際に量子コンピューターで時間を雇ってデータを見ることができます。しかし、量子コンピュータが開発されるには、さまざまな問題があると思います。量子コンピュータの中には、温度などの面で多くの制御を必要とするものもあります。量子コンピューターは絶対零度、つまり摂氏マイナス270度で動作するわけですが、これは本当に低温です。そのためには大きな施設と設備、そして大きなエネルギーが必要です。そうでなければ、結合力が失われ、プラットフォームの安定性が損なわれてしまいます。.
初期の量子コンピューターは、この問題のために常に燃え尽きていた。そのため、この問題を解決し、対処する必要がある。もう1つの問題は、量子コンピューターは同時にデータを見るため、多くのノイズが発生するということです。もし聖書のようなものを、最初から最後まで読むのではなく、瞬時に読まなければならないとしたら、理解できない物語が頭の中にできてしまうでしょう。そして、メッセージを咀嚼し、理解し、抽出することは非常に難しくなる。.
そのため、システム内のノイズが大きな問題を引き起こしていた。オックスフォードでは、エラー評価とシステム内のノイズを大幅に減らすことに成功しました。しかし、現在のところ、おそらく最も大きな問題は、一度にエンタングルできるキュービットの量です。つまり、情報を処理するために一度にエンタングルできる量子ビットの量は限られている。つまり、マシンの処理能力や能力には限界があるということだ。.
つまり、まだ暗号学的に適切な量子コンピューティングと呼べるようなものではない、ということが大きな問題なのだが、実証された段階にある。機能する。科学者が言うとおりのことができる。ただ、それを次のレベルに引き上げ、さらに投資していく必要がある。数カ月に一度、さらなる進歩が起こったり、多額の投資が行われたりしており、私たちは進歩を目の当たりにし始めている。.
インゴ・シュバート:ええ、その通りです。量子コンピュータを比較するとき、その写真を見ればわかるでしょう?5年前と現在を比べると、私は今でも部分的には物理実験と呼んでいますが、5年前の方がはるかに物理的な実験でしたよね?その物理的なセットアップを見ればわかるでしょ?
しかし、従来のコンピューターよりもはるかに速く問題を解決できるのは事実だ。その理由のひとつが、あなたがおっしゃった「結束力」です。ええ、基本的な結束力というのは、ある一定の時間だけシステムを安定させることができるかどうかということです。どのチップかにもよるけど、通常は最大で秒単位、ミリ秒単位で計測されるんだ。そして、それは多くの場合、有用な時間からかなり離れている。しかし、理にかなった使用例もあります。量子コプロセッサのようなものだ。しかし、私が問題視しているのは、多くの使用例において、NvidiaのGPU数個で同じように問題を解決できるかどうか疑問だということだ。
量子コンピューティングの分野でも多くの宣伝が行われています。AIの誇大広告とも少し重なると思います。誇大広告であっても、それが現実であるとも言えるでしょう。しかし重要なのは、多くの誇大広告と多額の資金が出回っているということです。その資金の一部は、出口戦略のようなものを探しているのだと思います。量子コンピューターは魅力的でしょう?そのため、彼らは多くのものをそこに投入しています。そして、根本的に見ると、過大評価され、また、何を約束するかという点で、過大評価されている企業が存在します。ブレッチリー・パークでは、グーグルのウィロー・チップを例に挙げましたが、グーグルは実際にこの新しいチップに関するプレスリリースを発表しました。宇宙は25歳の10の何乗かしかないんだから、とんでもないことだ、という感じだ。また、大小を問わず、さまざまな企業のプレスリリースを見ると、達成したことを誇張する傾向がある。.
残念なことに、量子コンピューティングがここ数年で成し遂げた真の進歩のいくつかがかき消されてしまうのです。量子コンピューティングの脅威が、実際よりもずっと現実味を帯びてきているのです。でも、もし量子コンピューターが突然現れたら、なぜ世界は終わるのか、という話に入る前に、あなたが考えている量子コンピューターの利点は何でしょうか?量子コンピューターは、他のどんなものよりもずっと優れたことができるのでしょうか?
デビッド・レロ:量子コンピュータの現状について、あなたがおっしゃったことにもお答えします。量子コンピュータに問題があることには同意しますが、量子コンピュータの安定性の実現は、言われているよりもずっと近いところにあると思います。振り返ってみると、未来を見るための最良の方法のひとつは歴史を見ることだと思います。私が銀行で働いていた若い頃、メインフレームがあって、それは旧式のIBMのメインフレームだった。メインフレームは一部屋を占めていた。大きな部屋だった。小さな部屋ではなかった。かなり大きな部屋だった。メインフレームは部屋を埋め尽くしていた。このメインフレームにはバルブがあった。水冷タンクが3つあった。この銀行の地下にはプールがあった。これは巨大だった。そのわずか数年前に、そのメインフレームからパンチカードシステムを入れ替えたんだ。.
古いメインフレームを搬出する際には、フォークリフトや非常に重たい機械が必要だった。そして、以前よりも飛躍的に巨大なラックとメインフレームコンピュータに置き換えた。コンピュータの進歩は年々加速している。ほんの30年前、いや40年前にさかのぼったとしても、私たちが目にする変化の量は膨大なものです。.
インゴ・シュバート:そう。.
冷却システムや大型装置、それに付随するあらゆるものが必要だからです。それには莫大な費用がかかる。莫大な投資が必要なんだ。そして、これらの問題は解決されるだろう。そして、私たちが考えるよりも早く解決されるかもしれない。現在のところ、月ごとに見られる進歩は、私たちが結束に近づいていることを示唆している。だから、もう少しなのかもしれない。.
というのも、量子コンピューターができることは、データを非常に高速に処理できることであり、一部の人々が主張するほど高速ではないが、データを非常に高速に処理できるため、これまで解決できなかった問題に目を向け、解決できることを意味するからだ。.
理論物理学ではシュレディンガーの猫という概念がある。腐敗しているのか?それは何なのか?猫の状態は?量子コンピューターは、あらゆる可能性の猫を実際に見て、見ることができる。.
タンパク質の折り畳みなど、医学の分野では、量子コンピュータは従来のコンピュータよりも優位に立つと思います。他にも、単純に大量のデータを処理する必要があるもの、天気予報もそうですし、地質学的なデータなど、コンピュータの恩恵を受けるユースケースはたくさんあります。.
というのも、トランジスタで過去に起こったことがまた起こるというのは、一筋縄ではいかないからです。宝くじと同じで、前回当たったからといって、次回も当たらないとは限りません、数百量子ビット、あるいは数千量子ビットで万能の量子コンピュータができるとしたら、例えば、暗号技術にとって脅威となる「ショーのアルゴリズム」を実行することができる。数十万量子ビットの話ですよね?それに到達する過程で、どこかで壁にぶつかるかもしれないだろ?そのような問題を解決できる保証はない。そうかもしれないし、実際そうかもしれないけど、保証はないんだ。それと同時に、量子コンピューターは、GPUのおかげで世界的に計算能力が大幅に向上している環境の中で、商業的に生き残らなければなりません。AIのおかげで。 以前はビットコインの流行でしたが、今はAIです。つまり、チップ設計の根本的な進歩がなければ、このようなことは起こりません。つまり、チップは小型化されるのです。私たちは計算能力を大幅に向上させました。つまり電力です。.
そのような環境では、量子コンピューターは生き残らなければならない。特に鍵の解読については、政府によってはそうするところもあるでしょう。そう、それでいいんだ。彼らは十分なお金を持っている。彼らはそんなこと気にしない。まあ、気にする必要はあるかもしれない。私たちの税金なんだから。.
完全に機能する普遍的な量子コンピューターに至るまでには、実用的な量子コンピューターのユースケースがある。それは議論の余地がないと思う。そうでないとは言っていない。そして、そのための良いユースケースもある。例えば、製薬研究におけるタンパク質の折り畳みとかね。
しかし、脅威について話しましょう。消費電力のような話ではなく、伝統的なユニットにはそれがあるからね。つまり、特にITセキュリティに対する脅威、そしてセキュリティなんだ。ショールのアルゴリズムについて触れましたが、これが何なのか、セキュリティにどのような影響を与えるのかを簡単に説明しましょう。.
量子コンピューターは、情報やデータをより速く処理することができるので、暗号鍵をリバースエンジニアリングするためにショーのアルゴリズムを使うことができる。.
インゴ・シュバート:そう。.
デービッド・レロ:したがって、私たちが消費し、使用し、アクセスする最も多くのデータが、攻撃に対して脆弱になる。.
インゴ・シュバート:ええ。何十万もの量子ビットが凝集し、何時間も動作する必要があるからです。何十万もの量子ビットを結合させ、ある程度の時間をかけて動作させる必要があるからだ。つまり、RSAアルゴリズムは、ある意味で本質的に破られるか、無効化されることになる。つまり、ここ数十年間使われてきた一般的なものは、基本的にすべて破られてしまうということですね。量子コンピューターがあれば壊れてしまう。もちろん、伝統的なコンピューターはこれまで通り苦戦を強いられるでしょう。.
つまり、これらのアルゴリズムはあらゆるところで使われているんだ。従来のTLS、ウェブサーバー通信、クライアントからウェブサーバー、VPN、電子メールの署名、送信されるファイルの暗号化など、これらはすべてRSA、ECC、Diffie-Hellmanに基づいていることが多いんだ。つまり、これは破滅的と言えるかもしれません。.
デービッド・レロ:絶対にそうなる。完全に壊滅的でしょう。調べれば調べるほど、そして実際に使用すればするほど、より多くのシステムが故障することになるでしょう。これは世界的な問題です。認証や金融システムへの認証のようにね。ビットコインのようなものでさえ危険にさらされる。楕円曲線暗号を使っていて、それが漏洩してしまう。その結果、金融システムが完全に崩壊してしまうのです。.
そう、大惨事になりかねないのです。IoTやOTについて話し始めて、医療機器や医療機器について考え始めると、それを危険にさらす可能性があることがわかります。例えば、インスリンポンプを装着している人がいるとします。.
もし私がインスリンポンプの暗号化を危うくできれば、誰かを殺すことができる。.
インゴ・シュバート:そう。.
DAVID LELLO:つまり、突然、こうしたことの背後にある犯罪性が指数関数的に大きくなる可能性があるということです。そして、『マイノリティ・リポート』や『ターミネーター』のような使用例を目にするようになるのです。.
インゴ・シュバート:今、あなたは話している。面白くなってきたよ。.
でも、量子コンピューターは一朝一夕にできるものではありません。例えば、誰かが20万キュービットの量子コンピュータを手に入れたとしましょう。通常は100万個くらいだ。10万キュービットくらいあればいいという研究もある。突然、誰もが量子コンピューターを持つようになるわけではありません。量子コンピューターにアクセスできるのは、一部の政府や研究施設だけです。すべてのサイバー犯罪者が量子コンピュータにアクセスできるわけでもない。.
しかし、脅威は現実だ。2000年問題に似ていると思う。だから、我々はしばらく前からそのような事態になることを予見していたが、それを軽減するためにいろいろなことをやったが、結局は何の役にも立たなかった。.
デービッド・レロ:でもそれは、僕らが何かをしたからだよ。.
インゴ・シュバート:その通り。私たちが何かをしたからでしょう?もし何もしていなかったら、おそらく大きな問題になっていただろう。そして、おそらく今回のケースと似たようなことになると思います。.
ええ、ですから、私たちの寿命がどれくらいかは意見が分かれるかもしれませんね。MITREの報告書では、アメリカの政府出資の研究機関として、2040年代初頭、おそらく2050年代あたりに、このショールのアルゴリズムを発表しています。奇跡でも起きない限り、その可能性は極めて低いと思う。では、この量子の黙示録に備えるために、今日できることは何でしょうか?
DAVID LELLO:2050年よりずっと早くなるのは間違いないと思う。なぜなら、それは不可能なことだからだ。私たちには超自然的な精神がないのだから。.
インゴ・シュバート:では、2055年に会いましょう。同じ時間にね。もし僕がまだ中にいたらね。.
デビッド・レロ:もちろんだ。そうしよう。同じ時間、同じ場所で。そうしよう。でも、もしもっと早く実現するのであれば、そのイベントをどのように祝うか考えましょう。技術の進歩には必ずブレークスルーがあり、それはある時点で起こります。来週かもしれないし、10年後かもしれない。10年後に起こるかもしれない。わからない。しかし、科学がそこにある以上、それは必ず起こる。信憑性がある。現実だ。ひまわり畑は今、凝集力を維持している。常温で、畑で、周囲で起こっているあらゆることがあっても、安定性がある。下を走り回る動物、汚染、その他もろもろ。ひまわり畑は凝集力を持つことができる。.
インゴ・シュバート:その通りだ。.
DAVID LELLO:科学者たちがなぜそんなことをするのか?
インゴ・シュキュベール:ええ、でも進化には数百万年かかるでしょう? それが私の言いたいことだ。でも、彼らには少し先があるよね?
ブレッチリー・パークでも少し触れましたが、暗号鍵の管理に関する慣行やグッドプラクティスと呼ばれるものに関して、私たちが現在抱えている問題のひとつは、多くの企業が失敗しているということです。数年前にSSLの脆弱性が発覚し、誰もが慌てて鍵の交換を検討しました。その結果、組織はTLSキーのローテーションをより機敏に行うようになりました。これで問題のかなりの部分が解決したことになる。TLSキーに俊敏性があるということは、キーを変更できるということだ。TLSキーに俊敏性があるということは、キーを変更できるということだ。.
しかし、組織は今すぐにでも、認証局や鍵の発行方法、TLSレベルでの鍵の交換方法について考え始めることができる。それは構わない。しかし、ある組織に入ると、20~30、もしかすると40%もの鍵が、このような方法で管理されていないことが判明する。多くのハードウェアは、ハードウェア・インフラストラクチャの一部に鍵を埋め込んでいることが多い。.
特にモノリシック・ビルドの時代には、アプリケーション自体にキーが埋め込まれていた。そして、このようなことが起こらないように考えるようになった。.
インゴ・シュバート:それが私の言いたいことだ。量子コンピューターがどうであろうとなかろうと、あれは悪いやり方だ。.
デービッド・レロ:そうだね。Y2Kでは日付があったので簡単でしたが、Q-Dayでは日付がありません。Qデーには日付はありません。.
インゴ・シュバート:とてもいい指摘だ。.
DAVID LELLO:しかし、いずれそれが到来したとき、明日到来するかもしれないし、10年後に到来するかもしれない。データが危険にさらされ、大規模な問題が発生する。.
しかし、私たちが抱えているもうひとつの問題は、私がよく質問されるもので、『今すぐデータを採取し、後で復号化する』という脅威です。暗号化されたデータが盗まれるのは何年も前から見てきたことで、デービッド・キャメロンがこの国で、我々のデータはすべて中国に盗まれている。暗号化されているからね。数年前にさかのぼれば、そのような発言は今現在は正しいが、量子コンピュータのような技術を使えば、それは問題になる。もちろん、データは古くなります。.
インゴ・シュバート:しかし、そのデータの一部はまだ関連性があるだろう。すべてではないけれど、ある意味では。だから、それは同じだと思う。5年後に解読されたとしても、誰も気にしないでしょう?10年後でもいい。だから、認証のためのIDデータの多くは、5年後や10年後に解読されたとしても、その頃には時代遅れになっているから、それほど気にする必要はないという主張ができる。しかし、戦略的なデータには、何十年も先まで害を及ぼす可能性があるものがたくさんあるんだ。国家である必要もない。普通の企業でもいい。.
デビッド・レロ:その通り。.
インゴ・シュバート:それで、どうなんだ?
DAVID LELLO:つまり、レガシー・システムが存在する組織に行くことが多いんだ。実際、私は少し前まである組織にいました。彼らはそのアプリケーションをブラックボックスとして扱っていました。書いた人はとっくに亡くなっていて、触ってはいけない。もし倒れたら、答えは電源を入れるか切るか、もう一度電源を入れて祈るしかない。あなたにできることは何もない。そして、このシステムは店舗内のすべてのアクセスを管理していた。もし危険にさらされ、ダウンさせられたら、組織を崩壊させることになる。.
インゴ・シュバート:単一障害点。.
DAVID LELLO:単一障害点。シングル・ポイント・オブ・フェイル(単一障害点)が存在する組織の数は、並大抵のものではありません。組織は、IDおよびアクセス管理インフラをどのように近代化するかを考え始める必要があります。IDおよびアクセス管理について考え始めると、IDおよびアクセス管理はすべてに通じるルートである。私たちは、ドイツやここイギリス、イタリアなどで起きている最新のランサムウェア攻撃を見てきました。これらのランサムウェア攻撃は、アクセス・コントロール・システムを標的にしている。アクティブ・ディレクトリであれ、私が説明したようなシステムであれ、実際にアクセス権を侵害することができれば、組織を崩壊させ、コミュニケーションを停止させ、アクセス権を停止させることができるからです。このような状況下でIDアクセス管理を近代化することは、大きな優先事項のひとつになるでしょう。.
インゴ・シュバート:ああ、そうだね。それに反論するのは難しいですね。ベアボーン暗号の鍵管理に戻ると、多くの顧客は自分が何を持っているのかわかっていない。暗号化する場所、鍵の場所、電子署名する場所などをよく把握していない。このような概要を把握していないのです。それが問題の一部だと思います。なぜなら、存在を知らないものを修正することはできないからです。顧客の多くは、単に基本的なサイバー衛生に苦労している。残念なことに、これは私が常に目にしていることです。今朝も、20年前のRSAソフトウェアを使用している顧客に関する問い合わせがありました。
デヴィッド・レロ:ワオ。.
インゴ・シュバート:実際、サポートに電話で問い合わせがあったんですが、サポートは答えられなかったんです。私が言いたいのは、この基本的なサイバー衛生と可視化を行わない限り、まず第一に、量子的な準備状態に到達することはできないということです。そんなことはあり得ない。.
私の意見では、量子コンピューティングを心配するのは、それを修正してからでいいと思っているんだ。というのも、もしあなたが今使っているソフトウェアが何なのかわからず、それを最新に保っていなければ、例えばポスト量子暗号を実装しているように、当然ベンダーが修正することに依存することになりますよね?
しかし、もしソフトウェアが新しいバージョンになり、量子コンピューティングのような素晴らしいものが搭載されたのに、それをインストールしなければ、それは存在しないことになりますよね?また、たとえそうしたとしても、例えばデータ管理に関するポリシーや手順が適切でなければ、ここで何を話しているのでしょうか?攻撃者がヘルプデスクに電話をして入室を求めることができるのであれば、そのために量子コンピュータは必要ないでしょう?今日は必要ない。昨日も必要なかった。明日も必要ない。あなたのポリシーが適切でなければ、彼らはヘルプデスクに電話するだけでアクセスできる。.
だから、量子コンピューターとは関係ないことでも、うまくいかないことはたくさんある。私が恐れているのは、人々が量子コンピュータやQ-Dayを見て、この素敵でピカピカ光るおもちゃに気を取られていることだ。何十年もやっていないような宿題がたくさんあるのにね。もちろん、そうする必要がある、可視化する必要がある、パッチを当てる必要がある、手順を修正する必要がある、と主張することもできる。そのために量子コンピューティングの脅威が必要なら、そうすればいい。私は満足できる。.
でも、もし量子コンピューターで障害が起きたらどうするんだ?数年間は何のメリットも進歩もなく、2060年代にはとっくに現役を退いているから心配する必要はない、みたいな感じになってしまう。.
ドイツの哲学者、エマニュエル・カントの名前を挙げてみよう。だからこれからはエマニュエルと呼ぶよ。.
18世紀のドイツの哲学者で、彼は多くの優れたことを言った。でも、私が最も賢いと思うことのひとつは、正しいことをするのは、それが正しいことだからでしょう?そうすることで、どこかの神様から得をするとか、そういう理由ではない。正しいことだからするんだ。.
暗号化する場所、暗号化する方法、ポリシー、手順、パッチの当て方、これらすべてをきちんと把握することが、量子コンピューティングが10年先か20年先か30年先かに関係なく、正しいことなのです。そんなことは関係ない。そうする必要がある。過去20年間、そうしてきたはずです。それが本質的なポイントです。ここが私たちが同意するところだと思います。そうだね。なぜなら、量子コンピューティングの現状と将来について、私たちは異なる意見を持っているからです。しかし、量子コンピューターに対応する必要があるという顧客がいれば、その努力は決して無駄にはなりません。.
デイビッド・レロ:いや、そんなことはない。というのも、私たちは多くの時間を大企業の取締役会と一緒に過ごし、財務担当取締役などと話をしているからです。企業は製品やサービスを提供するために存在し、民間企業であれば、もちろん慈善事業でない限り利益を上げるために存在しますが、そのことは気にしないでください。だから、正しいことだから何かに投資するというのは、より哲学的な議論になる。私は、それが必ずしも正しいアプローチだとは思いません。.
インゴ・シュバート:そうだね。.
DAVID・LELLO:私はあなたの意見に同意するけれども、100%、信仰の観点からは、私が信じていることからは、私は常に正しいことをしたいと思う。しかし現実には、企業はそのために存在しているわけではありません。正しいことをするために存在しているわけではないのです。少し不道徳なこともある。.
インゴシュバート:本当ですか?初めて聞きました。メモしておこう。.
私たちが見ている現実のひとつは、ある環境に関連する自分のリスク・エクスポージャーを測定し、認識し、理解することだと思います。私たちがこの問題に対する組織の回答を支援することを検討し始めたとき、私たち自身に課した課題のひとつは、量子的な備えを扱うフレームワークが実は存在しないということでした。1つもないのです。.
そこで、私たちは1つの規格を作った。私たちは、量子を見るためのアプローチを紹介する規格を作りました。NISTやグッドプラクティス、ISFなどさまざまな標準を参考にし、モデルやフレームワークを作成しました。その結果、ブラックボックス化された環境ですべてのアクセスを管理するIDシステムのようなシステムに目を向けることができるようになりました。そのようなマシンを持つことによる私のリスク・エクスポージャーはどの程度なのか?私のリスクは何なのか?私は自分のリスクを本当に理解しているのだろうか?もしそのマシンがダウンしたら、私の環境はどうなるのか?そのリスクを理解した上で、何か対策を講じなければならない。.
インゴ・シュバート:ああ、結局のところ、これは適切なリスク管理なんだ。量子コンピューターがあろうとなかろうと、リスク管理は必要であり、何年も前から行われてきたし、今日も行われているはずだ。これが私の言いたいことです。.
もちろん、それが正しいことだからやっているわけではないだろう?それは財政的に難しい議論だ。それはまったく同感だ。でも、なぜそうしなければならないのか?そしてまた、量子コンピュータのために、これらすべてを検討し、把握し、適切なリスク管理を行うというコンセプトを売り込む必要があるのなら、私の推測通りでしょう?それが絶対に正しい方法だと思う。それが署名を得るために必要な手段なら、そうだ、絶対にそうしよう。なぜなら、量子コンピューターがまだ30年先だとしても、結局のところ、今現在でも恩恵は受けられるからだ。なぜなら、その準備ができていれば、今日も安全でいられるからだ。お金を無駄にすることもない。そう、私はそれが完璧に正しいことだと思います。例えば、ヨーロッパでは2026年までにDORAに準拠するよう勧告しています。DORAに準拠したいのであれば、正直なところ、それはもうできているはずです。つまり、2026年までに可視化とリスク管理を行い、高リスクの場合は2030年までに、低・中リスクの場合は2035年までに、何らかの形で量子的な準備態勢を整えるということですね?2025年末の時点で、すでに2026年にリリースしているのです。.
だから、ほんの数年先のことなんだ。話の最初に戻って、Y2K問題を考えてみると、1999年に始めた人は、この問題に対して少し遅かったということになる。だから、今から準備しておく必要があるんだ。.
DAVID LELLO:私は、あなたがそこで提起したことのひとつが、人間心理という点で興味深い点だと思います。規制というのは、企業が正しいことを怠るからこそ有効になるものです。.
インゴ・シュバート:そうだ。.
デービッド・レロ:そして、彼らが正しいことをしていないために、議員たちは、私たちがそれに目を向けない限り、この国で大きな問題が起こるだろうと言う。だから、何かをしなければならないときに法律が登場する。英国のNCSCは量子に関する指針を定めています。ヨーロッパではDORAがある。そして悲しいことに、ブレグジットのせいで......。
インゴ・シュバルト:あなたが持ってきたんだ。.
DAVID LELLO:レジリエンス法案については、まだ検討を始めたばかりです。レジリエンス法案はパブリックコメントのために発表されました。第1号が発表され、コメントが寄せられています。近いうちに国会で読会が行われるでしょう。この問題で世界に追いつけることを願っています。.
インゴ・シュバート:まあ、アメリカを除けばね。アメリカは、地図上では荒涼とした場所のように見えますね。ええ、本当にそうです。アメリカの同僚たちとも話しているんだけど、そうだね、アメリカにはそういうところがないよね。しかし、世界の他の国々では、規制や損失という点で、リスク管理はもう少し成熟しているようです。
DAVID LELLO:持っているに違いない。.
インゴ・シュバート:そうだろう?おそらく私よりももっと多くのことをご存知でしょうが、そのうちのいくつかは、適切なリスク管理を行うことが、目に見えて明らかです。もしその機器が故障したら、どんな結果になるか知っておくべきですよね?もちろん、そうすべきです。なぜなら、あなたのビジネスはお金を儲けていて、それを妨げる何かがあるからです。その理由と解決方法を知るべきだ。それなのに、彼らは法律で強制されるまでそれをしない。
デビッド・レロ:悲しいかな、人間の本性が出るものだ。リスクやリスクマネジメントを考えることは難しいことではありません。.
インゴ・シュバート:いや、でも時間がかかるんだ。.
DAVID LELLO:そして、時間はかかりますが、プロセスを簡素化するのに役立つさまざまなテクノロジーがあります。コンピューターはプロセスを自動化するために設計されている。コンピュータがあるのは、実際に何かをするために大勢の人を必要とする手作業のプロセスがあるからです。コンピュータを使えば、そのプロセスをすべて自動化できる。最新のシステムを使えば、さらに自動化することができる。例えば、脆弱性管理のようなものだ。最新化された環境で脆弱性スキャンを導入していれば、テクノロジー・リスクは比較的よく見える。.
インゴ・シュバート:ああ。我々にとっても同じだ。アイデンティティ・ガバナンス。結局のところ、それはロケット科学ではない。ええ、もちろんです。すべての異なるシステムを接続し、ルールやその他のものを作成します。しかし、そうすれば、可視性が確保され、職務分掌やコンプライアンスといった観点からの見解が得られる。そう、それは大変な作業なんだ。もちろん、お金と時間を投資することになりますが、そこから何かを得ることができます。.
デビッド・レロ:そう。.
インゴ・シュバート:そうですね。というのも、この確保に全財産を投じるべきでないとか、これはそれほど大きな影響がないから弾力性を持たせているのであって、もうひとつはもっと投資すべきだ。適切なリスクマネジメントを行わなければ、そのような状況を把握することができないので、どのように判断すればいいのでしょうか?つまり、人々は、基本的に、組織は、これをしないことによって自分自身を傷つけているのですね?
DavidLelo:そしてアイデンティティ・ガバナンスは、実際にそれを可能にし、助けるという点で長い道のりを歩むことになります。そうです。IDをめぐる多くの組織と話をするとき、IDはセキュリティの1つではありません。アイデンティティは実現するものです。組織がより効率的かつ効果的にアクセスできるようにするための、真のビジネス・イネーブラーなのです。しかし、適切な時に適切な場所に適切なアクセスを行い、それを実際に推進するガバナンス・モデルを持つことが重要なのです。ITGCの統制や財務システムに目を向け、どのようにアクセス権限を設定する必要があるのか、職務分掌、それに伴う義務などを検討し始めるとき、これらのことは目新しいことではない。これらのことは何も新しいことではない。何十年もの間、会社法や財務規則に書かれてきたことです。.
インゴ・シュバート:もちろんだ。.
デイビッド・レロ:そして、優れたIDガバナンス・システムでそれをコントロールできる能力は、今そこにある。そして、近代化されたソリューションがあれば、実はとても簡単なことなのです。人々が思っているほど難しいことではありません。.
インゴ・シュバート:私たちを見てください。アイデンティティ・セキュリティ・ガバナンスの話を量子論から始めた。でも、そこがポイントなんです。これは、顧客や一般的な組織での議論において、ドア・オープナーのようなものだと思います。量子の脅威の話をしても、結局は量子の話ではなく、他の話になってしまう。そう、今すぐ修正すればいい、今すぐ修正すべきだ、将来どうなるかは関係ない。.
DAVID LELLO:基本的な衛生概念だ。.
インゴ・シュバート:基本的な衛生概念ですね。というわけで、この話を締めくくるのにぴったりの方法ですね。デイビッド、ありがとう。本当に、会うたびに何時間でも話せそうです。本当にありがとう。そして、量子の脅威は遠くに感じられるかもしれませんね。.
そうかもしれないし、そうでないかもしれない。でも、この会話の中で、視聴者やリスナーが、量子的な準備のために今日すべきことがあるかどうかに関係なく、あのね、という考えを得てくれればと思う。これは全然痛くない。.
そこから得られるものは、今存在する脅威から今を生きるあなたにとって有益なものでしょう?その恩恵に気づくのに20年も待つ必要はない。今日、その恩恵にあずかることができるのだ。.
以上で、量子コンピューティングとそのアイデンティティ・セキュリティへの影響に関する今日の議論を終える。量子の未来はSFの世界であり、組織は真のリスクと機会がどこにあるかを理解する必要があります。アイデンティティのレジリエンスと、次に来るものに対する組織の準備となるテクノロジーについて、さらに詳しくお知りになりたい方は、RSA.comをご覧ください。RSA Identity Unmaskedの他のエピソードへのメール配信をご希望の場合は、購読をお忘れなく。また次回お会いしましょう。.
