2026.02.13
NIS2、DORA、そしてEUのポスト量子ロードマップ
POSTQUANTUMの記事の、NIS2、DORA、そしてEUのポスト量子ロードマップを紹介致します。
https://postquantum.com/quantum-policies/nis2-dora-pqc-quantum/
この記事では、PQC(耐量子計算機暗号)への移行は「将来の課題」ではなく、NIS2やDORAといった現在の規制下における法的義務であると強調されています。欧州の新しいサイバーセキュリティ規制(NIS2およびDORA)の下で、企業が耐量子計算機暗号(PQC)への移行をどのように進めるべきかを解説したものです。
1. 2026年末までの具体的な対応について
これまで量子コンピュータの脅威(Q-Day)は将来の話とされてきましたが、EUの新しい規制により、すでに「法的義務」へと変わっています。
記事内のロードマップや解説によると、2026年末までは「移行の準備と初期段階」として非常に重要な時期とされています。主なポイントは以下の通りです。
・ DORA(デジタル・オペレーショナル・レジリエンス法)の完全施行(2025年1月〜): 金融機関はすでにDORAの適用を受けており、2025年から2026年にかけては、規制当局による監査や監督が本格化します。この中で「暗号アジリティ(暗号の柔軟な切り替え能力)」が具体的な評価対象となります。
・ 移行計画の策定: 2025年から2026年にかけて、組織は「暗号資産の棚卸し(Inventory)」を完了させ、どのシステムを優先的にPQCへ移行させるかのロードマップを策定していることが期待されます。
・ 「ハイブリッド・バイ・デフォルト」の採用: 2026年までの技術的な推奨事項として、既存の暗号とPQCを組み合わせた「ハイブリッド方式」の実装が挙げられています。これは、PQCアルゴリズム自体の安全性が完全に検証されるまでのリスクヘッジとして機能します。
2. 詳細な内容の解説
■ NIS2:ガバナンスと罰則
NIS2指令は、重要インフラ事業者に対し「最新(state-of-the-art)」の対策を求めています。EUの政策文書においてPQCが推奨され始めたことで、PQCを無視することは「適切なリスク管理を怠っている」と見なされ、役員個人への責任追及や多額の制裁金の対象となるリスクがあります。
■ DORA:監査可能な暗号管理
DORAは金融セクターに対し、より具体的な要求を課しています。
・ 暗号資産管理の義務化: どのデータがどのアルゴリズムで保護されているかをリスト化(CBOM: Cryptographic Bill of Materials)し、監査可能な状態にすることが求められます。
・ サードパーティリスク: 自社だけでなく、利用しているクラウドベンダーやソフトウェアプロバイダーがPQCに対応しているか、契約に盛り込む必要があります。
■ EUのPQCロードマップ(タイムラインの考え方)
記事は、EUが公開したPQC勧告に基づき、以下の3層のリスク管理を提示しています。
1.即時対応が必要なもの: 国家機密や、10年以上の長期保存が必要なデータ(Harvest Now, Decrypt Later攻撃の対象)。
2.中期的な対応(〜2030年): 一般的な金融取引や重要インフラの制御システム。
3.長期的対応: 一般的な消費者向けデータなど。
3.CISO(最高情報セキュリティ責任者)へのアドバイス
記事の後半では、具体的な「プレイブック」として以下の行動を勧めています。
・ 暗号の見える化 (CBOM): ソフトウェアに含まれる暗号アルゴリズムを把握するための「暗号版・部品表」を作成する。
・ 規制当局へのエビデンス: 監査時に「量子脅威を認識し、移行計画を立てていること」を証明できる書類(ボードメモやリスクアセスメント)を用意する。
・ ベンダー交渉: 次の更新サイクルで、提供される製品が「耐量子(Quantum-Ready)」であることを要件に入れる。
結論として
NIS2やDORAは、単なるITのアップグレードではなく、「暗号化が将来破られることを前提としたリスク管理」を企業に求めています。コンプライアンスの観点からも、PQCへの移行はもはや避けて通れない戦略的課題であると結論付けています。
2026年末までに「全てのシステムをPQCに変えろ」という法律はありませんが、「2026年末までに、どのシステムをいつまでにPQCに変えるかの計画を持ち、重要な部分についてはハイブリッド実装などの対策を開始していること」が、法規制(特にDORA)を遵守する上での事実上の要件となっていると言えます。