DPMCの重要インフラに関する意見募集に提出しました — その内容をご紹介します

本日、パブリックコンサルテーションの最終日に、ニュージーランドの重要インフラシステムのサイバーセキュリティ強化に関する首相内閣府の討議文書に対する正式な意見書を提出しました。

私たちの意見書は、公開された3つのコンサルテーション文書すべてにわたって確認されたギャップに焦点を当てています。暗号技術、暗号アジリティ、耐量子暗号（PQC）、またはNZISMセクション2.4に関する実質的な言及が一切存在しないという点です。主要文書および2つの補足文書の全文検索で返されるのは付随的な一致のみです——「NZISM」は「重大な影響」を持つインシデントを定義する際に引用として登場し、「量子（quantum）」は法的な意味（「罰則の量定」）で使用されているにすぎません。

これが重要な理由は、提案されているフレームワークがニュージーランドの最も重要なサービスの今後10年間の防衛体制を規定するものであり、その期間にインターネットの暗号基盤が根本的に変化すると予測されているからです。

提出内容

私たちの意見書では3つの提言を行っています。

1. 措置5は、義務的なリスク管理プログラムの一環として暗号インベントリを明示的に義務付けるべきです——重要インフラ事業者が自社の重要サービスの依拠する暗号プリミティブを把握できるようにするためです。
2. フレームワークは、ハーベスト・ナウ・デクリプト・レイター（HNDL）を、機密保持期間の長いデータに対する重大なサイバーリスクとして認識すべきです——医療、法務、金融、国家関連、および産業上の知的財産が対象となります。
3. NZISMは措置5の下で許容されるサイバーセキュリティフレームワークの一つとして明示的に列挙されるべきです——NIST CSFおよびISO/IEC 27001:2022と並んで——また、列挙されたいずれのフレームワークへの準拠においても、ガバナンスおよびプロセス管理のみならず、その暗号管理策が含まれるべきです。

根拠となるエビデンス

この意見書は、NZ重要インフラPQC対応状況評価によって裏付けられています——DPMCが定める7つの重要サービスセクターすべてにわたる、118のニュージーランド重要インフラ事業者のスキャン調査です。主要な調査結果として、エンドポイントの52.6%が耐量子TLSをネゴシエートしていますが、その大半はCDNによって透過的に提供されているものです。自社で運用するインフラ上で耐量子鍵交換を実装しているのは、わずか13事業者（11%）にとどまります。

また、過去12か月間で脅威のタイムラインがいかに具体化したかについても論じています——Gidneyによる2025年の量子ビット削減研究、GoogleおよびCloudflareが掲げる2029年の移行目標、そしてGoogle Quantum AIによる2026年3月のECC論文——さらに、ニュージーランドがファイブアイズ諸国の中で唯一、正式なPQC移行期限を設定していない現状についても触れています。

全文の閲覧

意見書の全文PDFは公開されています。

• 意見書をダウンロード（PDF）
• スキャンツールと結果をGitHubで閲覧

私たちは1982年公式情報法に基づく全面公開に同意しています。この議論はオープンな場で行われるべきだと考えます。

今後の展開

DPMCは提出された意見書を精査し、2026年中に提出が予定されている重要インフラ法案の起草に反映させる予定です。最終的なフレームワークが、暗号セキュリティの姿勢はニッチな懸念事項ではなく、制度が提案するあらゆるサイバーセキュリティ管理策の基盤をなすものであることを認識するよう期待しています。

機密保持期間の長いデータを取り扱う組織で、自社の暗号リスクエクスポージャーを把握したいとお考えの方は、お問い合わせください。

---

Kaysecは、ニュージーランドを拠点とする量子技術企業Spinsphereの耐量子暗号セキュリティ専門部門です。暗号インベントリの構築、HNDLリスク評価、およびPQC移行計画について、ニュージーランドの組織を支援しています。