2026年6月22日、トランプ大統領が「ポスト量子暗号(PQC:Post-Quantum Cryptography)」への移行を加速させる大統領令(EO 14409)に署名した。量子コンピューターによる暗号解読リスクに対応するため、連邦政府機関の重要システムを2030〜2031年までにPQCへ移行することを義務づける内容だ。(大統領令|ファクトシート)
- 大統領令により、連邦政府機関の高価値資産・高影響度システムを2030年末までに鍵確立のPQCへ、2031年末までにデジタル署名のPQCへ移行することが義務づけられた。
- 連邦調達規則(FAR)の改定により、政府と契約する民間企業(covered contractors)も2030年末までにNISTのPQC基準への準拠が求められる。
- OMBと国家サイバー長官が移行を統括し、NIST・NSA・CISAが技術指針を提供。2027年末を目標に商務省でパイロット移行も実施される。
量子コンピューターの急速な発展が、現在広く使われている暗号技術(RSA・楕円曲線暗号など)を将来的に無力化するリスクとして警戒されている。さらに「今収集して後で解読する(harvest-now-decrypt-later)」攻撃として、現在の暗号化データを敵対勢力が蓄積し、量子コンピューターが実用化された時点で解読するリスクも指摘されている。この脅威に対応するため、トランプ大統領はNISTが標準化したPQCアルゴリズムへの移行を加速する大統領令(EO 14409)に署名した。
政府機関に対しては、30日以内にPQC移行責任者(PQC migration lead)を指名し、OMBに報告することが義務づけられる。高価値資産(HVA)と高影響度システムについては、2030年末までに鍵確立(key establishment)のPQCへ、2031年末までにデジタル署名のPQCへの移行が求められる。商務省・NISTは2027年末を目標にパイロット移行を実施し、模範を示す。国家安全保障システム(NSS)については、NSAが大統領に毎年移行状況を報告する。
民間企業にとっても重要な変化がある。連邦調達規則(FAR)の改定により、連邦政府と契約する対象企業(covered contractors)は2030年末までにNISTのFIPS(連邦情報処理標準)に準拠したPQC基準を満たすことが求められる。また脆弱性開示ポリシー(VDP)の整備も求められ、暗号上の脆弱性の報告を含む形での整備が義務化される。州務省や関係機関は外国政府・重要インフラ事業者へのPQC移行支援も担う。
PQCとは、量子コンピューターによる攻撃にも耐えられるよう設計された暗号アルゴリズムの総称だ。NISTは2024年に最初のPQC標準アルゴリズムを公表しており、今回の大統領令はその本格的な実装を加速させるものとなる。
コメントを残す