半導体の性能は約18カ月で倍になるという「ムーアの法則」に従って、加速し続けてきました。
さらにクラウド経由でHPCや分散コンピューティングも利用しやすくなり、量子コンピューターの実用化に向けた研究も進められています。

そんな中で懸念されるのが「危殆化（きたいか）」の問題。読者の方の中には、はじめてこの言葉を目にしたという方も少なくないのではないでしょうか。
情報セキュリティにおいて注意すべき危殆化とは何か、どのように対策すればよいのかについて、具体的な事例や資料も参照しつつご紹介します。

半導体の高性能化の歴史については『高性能化を続けてきた半導体の歴史とこれから』、量子コンピューティングについては『量子コンピューティングとは？注目の背景について解説』もぜひご参照ください。

危殆化（きたいか）とは“ある対象が危険にさらされるようになること”

「危殆化（きたいか）」とはある対象が危険にさらされるようになることであり、危（あぶない）、殆（あやうい）という意味を持つ漢字で構成されています。
基本的にはサイバーセキュリティの分野で用いられる用語であり、冒頭で述べたような技術の進化や市場環境の変化により、暗号アルゴリズムやソフトウエアが危殆化している、といった形で用いられます。

例えば、かつてWi-Fiの暗号化技術として採用されていたWEPはその危殆化によりWPAへの移行が進められ、さらにWPAはWPA2、WPA3と脆弱性対策ならびにアップデートが重ねられてきました。
神戸大学と広島大学の研究グループによりWEPの暗合を10秒程度で解読する方法があることが発表されたのが2008年の『コンピュータセキュリティシンポジウム』でのこと。
その前年にはドイツのダムシュタルット工科大学でWEPを1分程度で解読する方法が発表されていたものの、通常のPC環境では実行が難しいことが指摘されていました。しかし、その翌年には、より現実的かつ実行力のある攻撃手法が発表されたのです。

その後、WPA、WPA2の脆弱性も指摘されていますが、令和5年3月に発表された『無線LAN利用者に対するアンケート調査集計資料』（総務省）によると、自宅無線LANのセキュリティ方式にWPAを利用している人は24.2％、WPA2を利用している人は27.5％、WEPですら14.6％存在します。

かつては問題なく用いられていたセキュリティ方式にも危殆化の波は迫っており、脆弱性情報の収集と適切なアップデートが求められることを意識しておきましょう。

内部由来の危殆化・外部由来の危殆化を切り分け、両方に適切な対応を

サイバーセキュリティの危殆化には、運用の不備により生じる「内部由来の危殆化」と、前述のような計算機性能の進化による「外部由来の危殆化」の2種類があります。

前者については、サイバーセキュリティルールを設定する、セキュリティツールを導入するなどの対策で防ぐことになります。
後者については、定期的なアップデートを通じて対策するしかありません。
暗号アルゴリズムの移行にあたってシステムを更新するということは、変更による予期せぬ通信障害や業務の影響といったリスク、その調査・対策にかかる手間・コストが発生するということです。

そのため、暗号アルゴリズムの見直しを定期的な手順として計画に入れる、システムの更新タイミングにはセキュリティ方式の見直しも併せて実施するといった危殆化対策を企業の業務としてあらかじめ組み込む工夫が必要になります。

2023年3月、デジタル庁、総務省、経済産業省や国立研究開発法人情報通信研究機構（NICT）、独立行政法人情報処理推進機構（IPA）らが参画するCRYPTRECより、『電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)』が公開されました。
市場における利用実績と今後の普及を判断基準に含め設定された同リスト。2013年策定の「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」の10年越しの改定版であり、参照することでこの十年の暗号化技術の危殆化の動きを知ることにもつながります。

危殆化対策としての電子署名・タイムスタンプの有効期限を知ろう

電子書類の存在証明・真実性の確保や通信相手の実在性証明にあたって用いられる電子署名・タイムスタンプにはそれぞれに有効性の期限が設けられています。

電子署名の場合は通常最長5年、多くの場合は1～3年の期限が設けられており、サイト運営者や通信相手の確かさの証明に用いられるSSLサーバー証明書の有効期限は2020年9月には397日（約13カ月）へと短縮されました。
長期署名の実現のため、電子署名と組み合わせて利用されるタイムスタンプも有効期限は最長約10年です。

これらの有効期限は危殆化対策として設けられており、暗号化技術の見直しを促す仕組みがあらかじめ設けられた結果といえます。
例えば、マイナンバーカードの電子証明書の有効期限が5年と定められているのも危殆化に対応するためなのです。

外部由来の危殆化対策は思っている以上に、我々の身近で活用されていることを押さえておきましょう。

危殆化対策には知識・常識の定期的なアップデートが不可欠

多くの方にはまだまだなじみが深いとはいえない「危殆化」というキーワードについて解説してまいりました。

テクノロジーの飛躍的な進化は我々に大きな進歩をもたらしますが、それは悪意のあるサイバー攻撃者にとっても同様です。
暗号化技術のみならず、セキュリティの常識やできること／できないことの認識といった知識を日々アップデートすることに努めていきましょう。