★☆★JNSAメールマガジン 第328号 2025.12.26☆★☆
2025/12/26 (Fri) 15:30
★☆★JNSAメールマガジン 第328号 2025.12.26☆★☆
こんにちは
JNSAメールマガジン 第328号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはセコム株式会社IS研究所 上級研究員 伊藤忠彦 様に
ご寄稿いただきました。
【連載リレーコラム】
PQC移行と「クリプトアジリティ」
セコム株式会社
IS研究所 上級研究員 伊藤忠彦
■WG名称変更のお知らせ
こんにちはセコム株式会社IS研究所の伊藤です。
このたび「PKI相互運用技術WG」は名称を「PKI・PQC運用技術WG」へ変更
しました。
実は、当WGではこれまでもPKI(公開鍵基盤)に加え、耐量子計算機暗号
(PQC: Post-Quantum Cryptography)への移行について議論を重ねてきました。
しかし、量子コンピュータ時代を見据えた暗号技術の重要性が急速に高まる中、
WGの活動内容をより明確に示すため、名称を変更することにしました。
当WGでは、年3回の報告会を開催し、標準化動向や実装・運用に関する最新
情報を共有しています。PKIだけでなく、PQCへの移行に関心のある方もぜひ
ご参加ください。
■なぜ今、PQCが重要なのか?
現在、PKI業界で最も大きな話題は「量子コンピュータによる暗号解読の
脅威」です。
量子コンピュータが実用化されると、RSAやECCといった既存の公開鍵暗号は、
理論的には短時間で解読可能になると指摘されています。これは、現在の
セキュリティ基盤を根底から揺るがす問題です。
日本国内でも、政府機関を中心に対応が進んでいます。内閣官房では、「政府
機関等における耐量子計算機暗号(PQC)利用に関する関係府省庁連絡会議」
が開催され、施策の検討を行っています。
つまり、PQCへの移行は「遠い未来の話」ではなく、意識すべき課題なのです。
■量子コンピュータによる攻撃のシナリオ
ここで重要なポイントは、暗号化とデジタル署名の違いです。
例えば、有効期限が1時間の認証トークンに対して、30年後に量子コンピュー
タで攻撃できたとしても、既にトークンは無効なので被害はありません。
しかし、50年間秘匿することを前提に暗号化された情報はどうでしょう?
例えば、攻撃者が今その情報を収集し、30年後に解読するような「Harvest
Now,Decrypt Later(HNDL)攻撃」が現実になれば、重大な情報漏えいに
つながります。
このため、長期秘匿が必要な重要情報は、PQC対応を検討すべきでしょう。
■PQC移行の難しさと「クリプトアジリティ」
最も根本的な対応は、既存の公開鍵暗号をPQCアルゴリズムに置き換えること
です。
しかし、これは単なるアルゴリズムの差替えではありません。証明書管理、
鍵ライフサイクル、システム間の互換性など、運用全体に影響します。
さらに、社会には多様な暗号技術が広く使われており、すべてを一度に移行
するには膨大な時間とコストがかかります。
ここで注目されるのが「クリプトアジリティ」(クリプトグラフィックアジリ
ティ等とも呼ばれます)という設計思想です。
これは、暗号方式を柔軟に切り替えられる仕組みをシステムに組み込む考え方
で、暗号処理のモジュール化とハードコードの排除
互換性の維持
標準プロトコルの利用
遠隔でのファームウェア更新
等により実現されます。また、情報システムが利用している暗号の棚卸(暗号
インベントリ管理等とも呼ばれます)を行うことで、移行を円滑に実施する
ことができます。
過去のSHA-1やTriple DES移行等の経験からも、こうした柔軟性が将来の暗号
移行の効率化に貢献することは明らかです。
また、クリプトアジリティは、耐量子の文脈としてだけではなく、他の脆弱性
への対応を早める効果も期待できます。
■今、何をすべきか?
現時点でPQC対応製品は限られていますが、「早めの検討」が重要です。
製品が出そろう前に、クリプトアジリティを確保し、移行を迅速に可能とする
体制整備をすることが重要です。
量子コンピュータの登場時期は不確定ですが、将来を見据えた準備を検討して
おくことは、長期的なセキュリティ対策として有益です。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/y3ad6xxc
※googleアンケートフォームを利用しています。
【イベントのお知らせ】
★JNSA設立25周年記念イベント講演会>>
2026年2月5日(木)第一ホテル東京にて開催!!参加受付を開始しました。
https://www.jnsa.org/seminar/2025/25th/index.html
★JNSA-IAC3 第2回サイバーセキュリティセミナー>>
2026年2月12日(木)ハイブリッド(情報セキュリティ大学院大学)にて開催!!
参加受付を開始しました。
https://www.jnsa.org/seminar/iac3/20260212/
【部会・WGからのお知らせ】
★組織で働く人間が引き起こす不正・事故対応WGによる
インタビュー連載「日本の人事と内部不正」
第17回「株式会社NTTデータグループにおける人材戦略と取り組みに関する
インタビュー」を公開しました。
https://www.jnsa.org/result/soshiki/index.html
★JNSAYouTubeチャンネルにて以下のイベントの動画を公開しました!
2025年度活動報告会(7/23~7/25開催)
ISMS-UG LT勉強報告会(9/2開催)
https://www.youtube.com/@JNSAseminar
★JNSA主催セミナー/イベントの動画・講演資料順次公開中!
JNSAホームページをご確認ください
https://www.jnsa.org/
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に実際に足を運んで御相談下さい!!
★セキュリティにまつわる課題解決を支援!「JNSAソリューションガイド」
JNSAの会員企業が取り扱うネットワークセキュリティに関する製品やサービス、
イベント情報などをご紹介しています。是非お役立てください!
https://sg.jnsa.org/
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
\ プロユースの要求品質でも手軽に /
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「Vex」は、国内の各診断ベンダー様にご愛用頂いている、
プロ品質のWebアプリケーション脆弱検査ツールです。
脆弱性診断をより高度かつ手軽に実現します。
プロユースな要求品質にもかかわらず、分かりやすいUIや豊富な
サポートメニューなど初心者にも使いやすい特徴を備えています。
さらに、自社のウェブサイトの特性や求める品質に合わせて
柔軟に運用できる、幅広い機能を提供しています。
■製品詳細
⇒ https://hubs.ly/Q02rWY7c0
《株式会社ユービーセキュア》
==============================================================
サプライチェーン防衛の新基準とは?【株式会社アシュアード】
この度、Assured Security Summitと題し、名古屋工業大学大学院
教授の渡辺氏、 三菱マテリアル様、 そして日本経済新聞社様を
お招きし、 政策・実務・市場動向の3視点から、次世代のサプライ
チェーンリスクマネジメントについてお話しいただきます。
会場でのリアル開催だからこそ包み隠さず、ここでしか聞けない話を
お届けします。講演後には、登壇者や参加者同士と交流できる立食
形式の懇親会もございますのでこの貴重な機会にぜひご参加ください。
▼お申し込み・詳細はこちら
【開催日時】2026年1月28日(水)15:00~(14:30開場)
【会場】フェアモント東京
【URL】https://assured.jp/event/260128
==============================================================
<スマホ制限下でも多要素認証に対応│AuthWay 6.0>
アイピーキューブは多要素認証製品AuthWayの最新版
「AuthWay 6.0」をリリースしました。
AuthWayはVPN・WebアクセスからOSログインまで
幅広く対応し、LDAP/RADIUS連携でエージェントレス運用を
実現する総合的な多要素認証システムです。
今回のバージョンアップでは、スマートフォンが使えない
環境での多要素認証方式の追加、運用のセルフサービス化に
よる運用負荷の軽減、管理機能の利便性向上を柱に、セキュ
リティと使いやすさを両立する機能強化を行いました。
▼詳細はこちらをご参照ください。▼
https://ip3.co.jp/news/8201/
[株式会社アイピーキューブ〕
==============================================================
" 触って試して専門家に相談できる!
【リアル開催】脆弱性診断ツール比較・体験セミナー
┗━━━━━━━━━━━━━株式会社エーアイセキュリティラボ
◆内製化成功のカギを握るツール選び、お悩みはありませんか?
診断内製化を成功させる上で、診断ツール選びは重要なカギです
でも「どのツールを選べばいいのかわからない」とお悩みでは?
本セミナーでは、内製化の最新事情やツールの違いを解説しつつ
「AeyeScan」を実際に操作いただけます。
疑問や不安を、その場で専門家に質問も可能です!
◆◇日程:2026年1月30日(金)15:30~◇◆
https://www.aeyescan.jp/event-seminar/detail-offlinehandson_2025/
==============================================================
(一財)日本情報経済社会推進協会(JIPDEC)
「IT-Report 2025 Winter」発行
IT-Report 2025 Winter「特集 データ利
活用にAIをどう活かすか~AIの導入から活用まで」を発行し
ました。
本誌では、国内外のAI法規制の動向やAIリスクと対策等をテー
マとする座談会レポートや、当協会事業に関連した施策動向の解説
等を当協会職員がレポートに取りまとめ、収録しています。
▼IT-Report 2025 Winter
https://www.jipdec.or.jp/library/itreport/2025itreport_winter.html
▼バックナンバー
https://www.jipdec.or.jp/library/itreport/index.html
==============================================================
【公式】 ISC2認定 CISSPトレーニング
情報セキュリティ分野で世界最高峰の資格として認知されている
CISSP。その取得を目指す方に向けて、
ISC2公式CISSPトレーニングのご案内です。
本トレーニングは、CISSP認定団体であるISC2が公式に
提供・認定したプログラムで、最新のCISSP CBK
(共通知識体系) に完全準拠した内容となっています。
▶ ISC2公式CISSPトレーニングの詳細・お申し込み:
https://ter.li/66sc2l
==============================================================
【株式会社ブロードバンドセキュリティ主催ウェビナー】
対策は万全のはずだったのに、なぜ被害は止められなかったのか?
■□■━━━━━━━━━━━━━━━━━━━━━━━━━━
1月21日ウェビナー開催!大手飲料メーカーの会見内容と攻撃手口
━━━━━━━━━━━━━━━━━━━━━━━━━━■□■
最近のランサムウェア事案に関する会見では、「すでに対策は講じ
ていた」にもかかわらず侵害が発生したプロセスが注目を集めまし
た。本ウェビナーでは、会見で説明された内容と公開されている攻
撃情報を照らし合わせながら、どこで侵入を許し、どこで検知が難
しくなったのかを技術・運用・組織の視点から整理します。ぜひご
参加ください。
【開催日時】2026年1月21日(水)14時~15時
▼お申込み・詳細はこちら▼
https://hubs.li/Q03YyW3L0
==============================================================
ISACA CISA認定トレーニング提供開始のご案内
このたび、NRIセキュアでは、
ISACA CISA認定トレーニングの提供を開始いたしました。
第1回目の開催を2026年2月に予定しております。
ぜひご検討いただけますと幸いです。
1回目開催
日時:2026年2月9、10、12、13(4日間)
CISA取扱記念キャンペーン価格(試験付):350,000円(税込:385,000円)
ライブオンライン形式での提供となります。
詳細はこちらです↓
https://www.nri-secure.co.jp/service/learning/cisa_training
【NRIセキュアテクノロジーズ株式会社】
==============================================================
*************************************
JNSAメールマガジン 第328号
発信日:2025年12月26日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第328号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはセコム株式会社IS研究所 上級研究員 伊藤忠彦 様に
ご寄稿いただきました。
【連載リレーコラム】
PQC移行と「クリプトアジリティ」
セコム株式会社
IS研究所 上級研究員 伊藤忠彦
■WG名称変更のお知らせ
こんにちはセコム株式会社IS研究所の伊藤です。
このたび「PKI相互運用技術WG」は名称を「PKI・PQC運用技術WG」へ変更
しました。
実は、当WGではこれまでもPKI(公開鍵基盤)に加え、耐量子計算機暗号
(PQC: Post-Quantum Cryptography)への移行について議論を重ねてきました。
しかし、量子コンピュータ時代を見据えた暗号技術の重要性が急速に高まる中、
WGの活動内容をより明確に示すため、名称を変更することにしました。
当WGでは、年3回の報告会を開催し、標準化動向や実装・運用に関する最新
情報を共有しています。PKIだけでなく、PQCへの移行に関心のある方もぜひ
ご参加ください。
■なぜ今、PQCが重要なのか?
現在、PKI業界で最も大きな話題は「量子コンピュータによる暗号解読の
脅威」です。
量子コンピュータが実用化されると、RSAやECCといった既存の公開鍵暗号は、
理論的には短時間で解読可能になると指摘されています。これは、現在の
セキュリティ基盤を根底から揺るがす問題です。
日本国内でも、政府機関を中心に対応が進んでいます。内閣官房では、「政府
機関等における耐量子計算機暗号(PQC)利用に関する関係府省庁連絡会議」
が開催され、施策の検討を行っています。
つまり、PQCへの移行は「遠い未来の話」ではなく、意識すべき課題なのです。
■量子コンピュータによる攻撃のシナリオ
ここで重要なポイントは、暗号化とデジタル署名の違いです。
例えば、有効期限が1時間の認証トークンに対して、30年後に量子コンピュー
タで攻撃できたとしても、既にトークンは無効なので被害はありません。
しかし、50年間秘匿することを前提に暗号化された情報はどうでしょう?
例えば、攻撃者が今その情報を収集し、30年後に解読するような「Harvest
Now,Decrypt Later(HNDL)攻撃」が現実になれば、重大な情報漏えいに
つながります。
このため、長期秘匿が必要な重要情報は、PQC対応を検討すべきでしょう。
■PQC移行の難しさと「クリプトアジリティ」
最も根本的な対応は、既存の公開鍵暗号をPQCアルゴリズムに置き換えること
です。
しかし、これは単なるアルゴリズムの差替えではありません。証明書管理、
鍵ライフサイクル、システム間の互換性など、運用全体に影響します。
さらに、社会には多様な暗号技術が広く使われており、すべてを一度に移行
するには膨大な時間とコストがかかります。
ここで注目されるのが「クリプトアジリティ」(クリプトグラフィックアジリ
ティ等とも呼ばれます)という設計思想です。
これは、暗号方式を柔軟に切り替えられる仕組みをシステムに組み込む考え方
で、暗号処理のモジュール化とハードコードの排除
互換性の維持
標準プロトコルの利用
遠隔でのファームウェア更新
等により実現されます。また、情報システムが利用している暗号の棚卸(暗号
インベントリ管理等とも呼ばれます)を行うことで、移行を円滑に実施する
ことができます。
過去のSHA-1やTriple DES移行等の経験からも、こうした柔軟性が将来の暗号
移行の効率化に貢献することは明らかです。
また、クリプトアジリティは、耐量子の文脈としてだけではなく、他の脆弱性
への対応を早める効果も期待できます。
■今、何をすべきか?
現時点でPQC対応製品は限られていますが、「早めの検討」が重要です。
製品が出そろう前に、クリプトアジリティを確保し、移行を迅速に可能とする
体制整備をすることが重要です。
量子コンピュータの登場時期は不確定ですが、将来を見据えた準備を検討して
おくことは、長期的なセキュリティ対策として有益です。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/y3ad6xxc
※googleアンケートフォームを利用しています。
【イベントのお知らせ】
★JNSA設立25周年記念イベント講演会>>
2026年2月5日(木)第一ホテル東京にて開催!!参加受付を開始しました。
https://www.jnsa.org/seminar/2025/25th/index.html
★JNSA-IAC3 第2回サイバーセキュリティセミナー>>
2026年2月12日(木)ハイブリッド(情報セキュリティ大学院大学)にて開催!!
参加受付を開始しました。
https://www.jnsa.org/seminar/iac3/20260212/
【部会・WGからのお知らせ】
★組織で働く人間が引き起こす不正・事故対応WGによる
インタビュー連載「日本の人事と内部不正」
第17回「株式会社NTTデータグループにおける人材戦略と取り組みに関する
インタビュー」を公開しました。
https://www.jnsa.org/result/soshiki/index.html
★JNSAYouTubeチャンネルにて以下のイベントの動画を公開しました!
2025年度活動報告会(7/23~7/25開催)
ISMS-UG LT勉強報告会(9/2開催)
https://www.youtube.com/@JNSAseminar
★JNSA主催セミナー/イベントの動画・講演資料順次公開中!
JNSAホームページをご確認ください
https://www.jnsa.org/
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に実際に足を運んで御相談下さい!!
★セキュリティにまつわる課題解決を支援!「JNSAソリューションガイド」
JNSAの会員企業が取り扱うネットワークセキュリティに関する製品やサービス、
イベント情報などをご紹介しています。是非お役立てください!
https://sg.jnsa.org/
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
\ プロユースの要求品質でも手軽に /
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
「Vex」は、国内の各診断ベンダー様にご愛用頂いている、
プロ品質のWebアプリケーション脆弱検査ツールです。
脆弱性診断をより高度かつ手軽に実現します。
プロユースな要求品質にもかかわらず、分かりやすいUIや豊富な
サポートメニューなど初心者にも使いやすい特徴を備えています。
さらに、自社のウェブサイトの特性や求める品質に合わせて
柔軟に運用できる、幅広い機能を提供しています。
■製品詳細
⇒ https://hubs.ly/Q02rWY7c0
《株式会社ユービーセキュア》
==============================================================
サプライチェーン防衛の新基準とは?【株式会社アシュアード】
この度、Assured Security Summitと題し、名古屋工業大学大学院
教授の渡辺氏、 三菱マテリアル様、 そして日本経済新聞社様を
お招きし、 政策・実務・市場動向の3視点から、次世代のサプライ
チェーンリスクマネジメントについてお話しいただきます。
会場でのリアル開催だからこそ包み隠さず、ここでしか聞けない話を
お届けします。講演後には、登壇者や参加者同士と交流できる立食
形式の懇親会もございますのでこの貴重な機会にぜひご参加ください。
▼お申し込み・詳細はこちら
【開催日時】2026年1月28日(水)15:00~(14:30開場)
【会場】フェアモント東京
【URL】https://assured.jp/event/260128
==============================================================
<スマホ制限下でも多要素認証に対応│AuthWay 6.0>
アイピーキューブは多要素認証製品AuthWayの最新版
「AuthWay 6.0」をリリースしました。
AuthWayはVPN・WebアクセスからOSログインまで
幅広く対応し、LDAP/RADIUS連携でエージェントレス運用を
実現する総合的な多要素認証システムです。
今回のバージョンアップでは、スマートフォンが使えない
環境での多要素認証方式の追加、運用のセルフサービス化に
よる運用負荷の軽減、管理機能の利便性向上を柱に、セキュ
リティと使いやすさを両立する機能強化を行いました。
▼詳細はこちらをご参照ください。▼
https://ip3.co.jp/news/8201/
[株式会社アイピーキューブ〕
==============================================================
" 触って試して専門家に相談できる!
【リアル開催】脆弱性診断ツール比較・体験セミナー
┗━━━━━━━━━━━━━株式会社エーアイセキュリティラボ
◆内製化成功のカギを握るツール選び、お悩みはありませんか?
診断内製化を成功させる上で、診断ツール選びは重要なカギです
でも「どのツールを選べばいいのかわからない」とお悩みでは?
本セミナーでは、内製化の最新事情やツールの違いを解説しつつ
「AeyeScan」を実際に操作いただけます。
疑問や不安を、その場で専門家に質問も可能です!
◆◇日程:2026年1月30日(金)15:30~◇◆
https://www.aeyescan.jp/event-seminar/detail-offlinehandson_2025/
==============================================================
(一財)日本情報経済社会推進協会(JIPDEC)
「IT-Report 2025 Winter」発行
IT-Report 2025 Winter「特集 データ利
活用にAIをどう活かすか~AIの導入から活用まで」を発行し
ました。
本誌では、国内外のAI法規制の動向やAIリスクと対策等をテー
マとする座談会レポートや、当協会事業に関連した施策動向の解説
等を当協会職員がレポートに取りまとめ、収録しています。
▼IT-Report 2025 Winter
https://www.jipdec.or.jp/library/itreport/2025itreport_winter.html
▼バックナンバー
https://www.jipdec.or.jp/library/itreport/index.html
==============================================================
【公式】 ISC2認定 CISSPトレーニング
情報セキュリティ分野で世界最高峰の資格として認知されている
CISSP。その取得を目指す方に向けて、
ISC2公式CISSPトレーニングのご案内です。
本トレーニングは、CISSP認定団体であるISC2が公式に
提供・認定したプログラムで、最新のCISSP CBK
(共通知識体系) に完全準拠した内容となっています。
▶ ISC2公式CISSPトレーニングの詳細・お申し込み:
https://ter.li/66sc2l
==============================================================
【株式会社ブロードバンドセキュリティ主催ウェビナー】
対策は万全のはずだったのに、なぜ被害は止められなかったのか?
■□■━━━━━━━━━━━━━━━━━━━━━━━━━━
1月21日ウェビナー開催!大手飲料メーカーの会見内容と攻撃手口
━━━━━━━━━━━━━━━━━━━━━━━━━━■□■
最近のランサムウェア事案に関する会見では、「すでに対策は講じ
ていた」にもかかわらず侵害が発生したプロセスが注目を集めまし
た。本ウェビナーでは、会見で説明された内容と公開されている攻
撃情報を照らし合わせながら、どこで侵入を許し、どこで検知が難
しくなったのかを技術・運用・組織の視点から整理します。ぜひご
参加ください。
【開催日時】2026年1月21日(水)14時~15時
▼お申込み・詳細はこちら▼
https://hubs.li/Q03YyW3L0
==============================================================
ISACA CISA認定トレーニング提供開始のご案内
このたび、NRIセキュアでは、
ISACA CISA認定トレーニングの提供を開始いたしました。
第1回目の開催を2026年2月に予定しております。
ぜひご検討いただけますと幸いです。
1回目開催
日時:2026年2月9、10、12、13(4日間)
CISA取扱記念キャンペーン価格(試験付):350,000円(税込:385,000円)
ライブオンライン形式での提供となります。
詳細はこちらです↓
https://www.nri-secure.co.jp/service/learning/cisa_training
【NRIセキュアテクノロジーズ株式会社】
==============================================================
*************************************
JNSAメールマガジン 第328号
発信日:2025年12月26日
発 行:JNSA事務局 sec@jnsa.org
*************************************