第5回：次世代メインフレームにおけるセキュリティ

今回は「第5回：次世代メインフレームにおけるセキュリティ」についてご紹介します。

関連ワード （技術者視点で見るメインフレームの進化と深化、特集・解説等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　メインフレームは、セキュリティ、信頼性、およびパフォーマンスの理由から、組織の総合戦略において依然として重要な役割を果たしています。キンドリルが2024年度に実施したITの上級意思決定者と業務部門リーダーを対象とした調査結果によれば、メインフレームの最も重要な機能およびメインフレームから移行する際の最大の懸念はセキュリティであるとされています。今回はメインフレームにおける最新技術について、セキュリティの観点からご紹介します。

　メインフレーム環境においても、単一の防御ポイントではなく多層防御戦略、すなわちデータ暗号化、ホストファイアウォール、アクセス制御、脆弱（ぜいじゃく）性管理、パッチ管理、監視と検知といった総合的なセキュリティ対策を実装することが不可欠です。サーバーおよび関連機器の保護レベルを向上させるだけではなく、包括的なセキュリティポリシーに基づき、全体的にセキュリティ要件を満たすことが必要です。また、多層的な対策を実施していたとしても、セキュリティ要件や各セキュリティ機能が最新の状態でない場合や、古い機能に依存している場合には、情報漏えいのリスクが増大します。

　既存のスーパーコンピューターに代わるインフラとして、量子コンピューターが現実のものとなりつつあります。例えば、Googleは2024年12月に量子コンピューター向けの新型プロセッサーチップを開発しました。量子コンピューターの強力な計算能力により、従来のスーパーコンピューターでは天文学的な時間を要する演算も、数分で完了する日が近づいています。

　これは、量子コンピューターが将来的に現代社会のデータおよびインフラストラクチャーの基礎となる暗号化標準を破壊するのに十分な計算能力を持つ可能性を示唆しています。つまり、量子技術の悪用によるサイバーセキュリティへの深刻な脅威です。米国立標準技術研究所（NIST）は、量子コンピューティングの進展により、2030年までに暗号鍵長2048ビットの公開鍵暗号が破られる可能性を指摘しています。

　この脅威に対抗するため、NISTは2024年8月に新しい暗号化標準を発表しました。NISTが推奨する耐量子アルゴリズムを使用可能なシステムの一例に「IBM z16」があります。IBM z16は、量子コンピューターの悪用がもたらす将来の脅威に対してデータを保護します。例えば、IBM z16に搭載されている「Crypto Express 8S（CEX8S）ハードウェア・セキュリティ・モジュール」は、従来の暗号技術と量子安全暗号技術の両方を提供し、これにより、「今データを盗み、将来的に解読を試みようとする」攻撃など、量子コンピューティングに関連する将来の脅威にも対処が可能となります。

　企業や組織は、「量子安全な状態」（量子力学に基づくデータ暗号化などにより情報の安全性が担保されていること）への移行を前提として計画を策定し、量子安全アルゴリズムおよびプロトコルの段階的な実装が必要です。さらに、データの階層化とリスク要因の優先順位付けを行い、量子安全な状態への移行を準備する必要があります。具体的には、データ分類、暗号化状況の確認、暗号分析、暗号計画、暗号インベントリーの作成、移行前の手順、量子安全状態への移行、および移行後のアクションと最適化が挙げられます。

　耐量子暗号対応については、各種業界の協力により、量子コンピューターの実用化前に完了させ、脅威からデータを保護することが求められます。そのため、新規に構築されるシステムや更改予定のシステムにおいて、耐量子暗号対応を検討する必要があります。暗号化技術の今後の発展に備え、システム更改時にはデータの再暗号化運用が必要とされる可能性が高いため、再暗号化手順の自動化など、運用の高度化も併せて検討することが望ましいです。