はじめに
GMOコネクトでCTOしちょる菅野 哲(かんの さとる)です。
第1部では、オーストラリア政府のPQC移行方針とLATICEフレームワークについて解説しました。
今回は「じゃあ具体的にどんなアルゴリズムを使えばいいの?」「他の国はどうしてるの?」という疑問にお答えします!
2024年8月13日、NISTがついにPQC標準を正式発表したんですよ。ワイ、この日をどれだけ待ったことかwww
IETFの会議でも「NISTの標準まだ?」「いつ出るの?」って話題が何年も続いてたので、感慨深いものがあります。
📌 この記事でわかること
- NIST FIPS 203/204/205(ML-KEM、ML-DSA、SLH-DSA)の技術的詳細
- 2024年8月13日の標準承認がなぜ「歴史的転換点」なのか
- 米国、英国、カナダ、EU、日本の動向比較
- 国際標準化機関(IETF、ETSI、ISO)の役割
NIST PQC標準化プロセス:8年の道のり
標準化の経緯
NISTは2016年12月20日、世界中の暗号学者に対して量子耐性アルゴリズムの提案を公募しました。初回締切の2017年末には、署名方式23件、暗号化/KEM 59件という膨大な応募がありました。
そこから複数ラウンドの評価を経て、2020年7月に7件のファイナリストと8件の代替候補を選定。2022年7月には4件のアルゴリズム(CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCON、SPHINCS+)が標準化対象として発表され、2023年8月にドラフトFIPSが公開されてパブリックコメントを募集。そして2024年8月13日、ついに正式標準として承認されました。約8年の道のりでしたね。
2024年8月13日:歴史的転換点
この日を境に、世界のPQC対応は 「いつかやる」から「今すぐやる」 にフェーズが変わりました。
標準承認前は「いつかは対応が必要」という漠然とした認識で、実験的な実装しかなく、明確な期限もありませんでした。しかし標準承認後は「今すぐ対応開始が必要」という認識に変わり、本番環境への実装が始まり、各国政府がロードマップ策定を加速させています。
実際、米国ではPreparedness Actが完全発動してOMBがガイダンス発行を開始し、オーストラリアではISMが更新されて2030年期限が明確化されました。英国のNCSCも具体的ロードマップを発表し、カナダは政府機関への移行指示を出し、EUは加盟国への推奨事項を発行しています。
ワイもIETFの会議で「NIST標準が出たから、いよいよ本番だね」っていう空気をひしひしと感じましたね!
承認された3つの標準
2024年8月13日、NISTは最初の3つのPQC標準を正式承認しました。それぞれの特徴を見ていきましょう。
FIPS 203: ML-KEM(鍵カプセル化)
Module-Lattice-Based Key-Encapsulation Mechanism Standard、略してML-KEMです。TLSハンドシェイクなどの鍵交換に使われます。
格子ベース暗号の一種で、Module Learning with Errors(MLWE)問題の困難性に安全性の根拠を置いています。従来のRSAやECDHと比較して鍵サイズは大きくなりますが、演算速度は高速で、PQC鍵交換の主要標準として位置付けられています。
パラメータセット:
| パラメータ | セキュリティレベル | 公開鍵サイズ | 暗号文サイズ |
|---|---|---|---|
| ML-KEM-512 | NIST Level 1 | 800 bytes | 768 bytes |
| ML-KEM-768 | NIST Level 3 | 1,184 bytes | 1,088 bytes |
| ML-KEM-1024 | NIST Level 5 | 1,568 bytes | 1,568 bytes |
一般的な用途にはML-KEM-768(NIST Level 3、AES-192相当)が推奨されています。
使用例(概念的なコード):
# Alice: 鍵ペア生成
alice_private_key = ML_KEM_768.generate_private_key()
alice_public_key = alice_private_key.public_key()
# Bob: Aliceの公開鍵を使って共有秘密を生成
ciphertext, shared_secret_bob = alice_public_key.encapsulate()
# Alice: 暗号文から共有秘密を復元
shared_secret_alice = alice_private_key.decapsulate(ciphertext)
# 両者は同じ共有秘密を持つ → AES等の対称鍵暗号に使用
TLSでの利用:
ClientHello (Client -> Server)
├─ supported_groups:
│ ├─ x25519mlkem768 (ハイブリッド: X25519 + ML-KEM-768) ← 現在の主流!
│ └─ x25519 (従来)
└─ key_share:
└─ x25519mlkem768: [X25519公開鍵 + ML-KEM公開鍵]
ServerHello (Server -> Client)
├─ selected_group: x25519mlkem768
└─ key_share:
└─ x25519mlkem768: [X25519公開鍵 + ML-KEM暗号文]
⚠️ 注意:純粋PQCはまだ先の話
2025年時点では、TLSでの純粋なML-KEM(PQCのみ)での鍵交換はまだIETFでドラフト段階です。
現在実装・デプロイされているのはハイブリッド方式(X25519MLKEM768等)で、従来のX25519とPQCを組み合わせることで、PQCアルゴリズムに未知の脆弱性があってもECDHで保護される「ベルトとサスペンダー」的なアプローチを取っています。
ワイもOpenSSL 3.2 + OQS Providerでハイブリッドモード(X25519MLKEM768) を試してみたんですけど、ちゃんとハンドシェイク通りましたよ!ただ、純粋PQCのみでのネゴシエーションはまだ先の話ですね。
FIPS 204: ML-DSA(デジタル署名)
Module-Lattice-Based Digital Signature Standard、略してML-DSAです。証明書やコード署名など、デジタル署名全般に使われます。
こちらも格子ベース暗号で、署名生成・検証ともに高速です。デジタル署名の主要標準として位置付けられており、多くのユースケースではまずML-DSAを検討することになります。
パラメータセット:
| パラメータ | セキュリティレベル | 公開鍵サイズ | 署名サイズ |
|---|---|---|---|
| ML-DSA-44 | NIST Level 2 | 1,312 bytes | 2,420 bytes |
| ML-DSA-65 | NIST Level 3 | 1,952 bytes | 3,293 bytes |
| ML-DSA-87 | NIST Level 5 | 2,592 bytes | 4,595 bytes |
ECDSAの署名サイズ(64 bytes)と比べると約50倍になりますが、これがPQCの宿命ですね。
証明書での利用イメージ:
X.509証明書
├─ Signature Algorithm: ml-dsa-65
├─ Subject Public Key Info:
│ ├─ Algorithm: ml-dsa-65
│ └─ Public Key: [ML-DSA公開鍵 約2KB]
└─ Signature: [ML-DSA署名 約3.3KB]
FIPS 205: SLH-DSA(ハッシュベース署名)
Stateless Hash-Based Digital Signature Standard、略してSLH-DSAです。ML-DSAとは異なる数学的基礎(ハッシュ関数のみ)に基づいており、より保守的な安全性仮定を持っています。
格子問題はまだ比較的新しい分野なので、「万が一格子ベース暗号に脆弱性が見つかったらどうする?」という懸念に対するバックアップとしてSLH-DSAは重要な役割を果たします。
パラメータセット:
| パラメータ | セキュリティレベル | 公開鍵サイズ | 署名サイズ |
|---|---|---|---|
| SLH-DSA-128s | NIST Level 1 | 32 bytes | 7,856 bytes |
| SLH-DSA-128f | NIST Level 1 | 32 bytes | 17,088 bytes |
| SLH-DSA-256s | NIST Level 5 | 64 bytes | 29,792 bytes |
公開鍵は非常に小さいですが、署名サイズが大きい(8KB〜30KB)のが特徴です。また、署名生成速度もML-DSAより遅いため、大量の署名を生成する用途には向きません。
ML-DSAとSLH-DSAの使い分け:
| 観点 | ML-DSA | SLH-DSA |
|---|---|---|
| 数学的基礎 | 格子問題(新しい) | ハッシュ関数(十分に研究されている) |
| 署名サイズ | 小さい(2-5KB) | 大きい(8-30KB) |
| 速度 | 高速 | 低速 |
| 推奨用途 | 一般的な用途全般 | 長期アーカイブ署名、最高レベルの保証が必要な場合 |
ワイ的には、基本はML-DSA、保険としてSLH-DSAも準備っていうのがバランス良いと思いますね!Crypto-Agilityの観点からも、両方に対応できる設計にしておくのが吉です。
進行中の標準化活動
NISTは最初の3つの標準に加えて、追加のアルゴリズムも標準化しています。
FIPS 206: FN-DSA(追加の署名標準)
FFT over NTRU-Lattice-Based Digital Signature Standard、旧称FALCONです。ML-DSAと同じく格子ベースの署名アルゴリズムですが、より小さい署名サイズ(約700-1,300 bytes)が特徴です。メモリや帯域幅に制約があるIoTデバイスや組込みシステムに適しています。
ただし、オーストラリア政府のガイダンスでは個別アルゴリズム名には言及せず、「NIST標準化プロセスで評価されたアルゴリズム」「ASD承認アルゴリズム」という一般的な表現を使っています。具体的にどのアルゴリズムが「ASD承認」になるかは、ISMの更新を待つ必要がありますね。
追加の鍵交換メカニズム
ML-KEMに脆弱性が発見された場合のバックアップとして、格子ベース以外の鍵交換アルゴリズムの標準化も進められています。符号ベース暗号や同種写像ベース暗号が候補に挙がっており、1-2件のアルゴリズムが追加で標準化される見込みです。
国際的な動向
米国:法制化が進む先進国
米国では2022年にQuantum Computing Cybersecurity Preparedness Actが成立し、連邦政府機関のPQC移行が法的に義務化されました。NIST標準の完成がトリガーとなり、各機関は暗号インベントリの作成、PQC移行計画の策定、定期的な進捗報告が求められています。
民間セクターへの直接的な義務はまだありませんが、政府調達要件にPQC対応が追加される見込みで、2025-2026年から具体的な要求が始まると予想されています。政府との取引がある企業や、金融・医療・通信等の規制産業は早めの対応が必要でしょう。
CISA、NSA、NISTは共同で「Quantum-Readiness: Migration to Post-Quantum Cryptography」というファクトシートも公開しています。ワイも読みましたけど、かなり実践的な内容でお勧めです!
英国:慎重だが着実なアプローチ
英国のNational Cyber Security Centre(NCSC)は、PQC移行の計画を直ちに開始することを推奨しつつも、Crypto-Agility(暗号の俊敏性)を重視した段階的かつ慎重なアプローチを取っています。
タイムラインとしては、2028年までに移行目標と初期計画の策定、2031年までに優先度の高いシステムの早期移行、2035年までに完全移行という流れです。
興味深いのは、英国はオーストラリアよりやや慎重なアプローチを取っていること。「2030年完了」ではなく「2030年代初頭」という表現を使っており、現実的なタイムラインを設定している印象です。
カナダ:Five Eyesとの協調
Canadian Centre for Cyber Security(CCCS)は「Roadmap for the migration to post-quantum cryptography」と「Preparing your organization for the quantum threat」という2つの主要文書を公開しています。
カナダのアプローチは実用性重視で、国際標準との整合性を保ちつつ、Five Eyes(米国、英国、豪州、NZ)との協調を重視しています。情報共有と標準の整合により、同盟国間での相互運用性を確保する狙いがあります。
欧州:加盟国間の調整が課題
欧州委員会は2025年に「Recommendation on a coordinated implementation roadmap」を発表し、加盟国間の協調的アプローチ、共通の実装ロードマップ、相互運用性の確保を推奨しています。
ETSIは「A Repeatable Framework for Quantum Safe Migrations」という実装寄りのフレームワークを公開しており、ワイも参考にしています。移行の各段階での詳細ガイダンスが含まれていて実践的です。
ただ、EUは加盟国間の調整が必要なため、完全移行は2030年代半ばと、他の先進国よりやや遅れる見込みです。
日本:CRYPTRECの動きに注目
日本ではCRYPTREC(暗号技術検討会)がNIST標準化アルゴリズムの評価を進めています。2025年3月の暗号技術検討会において、NIST標準として公開されたFIPS 203(ML-KEM)、FIPS 204(ML-DSA)、FIPS 205(SLH-DSA)などについて、安全性評価・実装性能評価に関する活動を本格的に開始しています。
政府機関等における耐量子計算機暗号(PQC)への移行については、原則として2035年までに完了することを目指しており、2026年度に工程表(ロードマップ)を策定する予定です。CRYPTRECによる安全性評価・実装性能評価が完了した後、電子政府推奨暗号リスト(CRYPTREC暗号リスト)にPQCアルゴリズムが順次追加される見込みです。
正直、日本は少し出遅れ感があるかなという印象ですね。CRYPTRECの動きに注目ですね!
国際標準化機関の役割
IETF:プロトコル標準の要
ワイがよく参加しているIETFでは、複数のWorking GroupでPQC対応が進んでいます。
TLS Working GroupではTLS 1.3のPQC拡張を策定中で、ハイブリッド鍵交換(draft-ietf-tls-hybrid-design)やPQC証明書のサポートが議論されています。2025年時点で、CloudflareはX25519Kyber768をサポートし、Google ChromeはX25519MLKEM768の実験的サポートを開始、OpenSSL 3.2以降ではML-KEMサポートが追加されています。
CFRG(Crypto Forum Research Group) ではPQCアルゴリズムの評価や標準化の技術的助言、セキュリティ分析が行われています。ワイもCFRGのセッションは毎回チェックしてます。面白い議論が多いですよ!
他にもLAMPS WG(証明書フォーマット)、IPSECME WG(IPsecのPQC対応)、COSE WG(COSEのPQC対応)などが関連する標準化を進めています。
ETSIとISO
ETSIは量子安全移行フレームワークや技術仕様書の策定、産業界(通信事業者、機器ベンダ)との連携を担っています。
ISO/IEC JTC 1/SC 27は情報セキュリティの国際標準を担当しており、ISO/IEC 14888(デジタル署名)やISO/IEC 18033(暗号化アルゴリズム)へのPQC追加、NIST標準のISO標準化が進められています。
タイムラインの国際比較
各国・地域のタイムラインを比較すると、オーストラリアの2030年完全移行は最も積極的な目標であることがわかります。
| 国/地域 | 計画完了 | 実装開始 | 完全移行 | 特徴 |
|---|---|---|---|---|
| オーストラリア | 2026年末 | 2028年末 | 2030年末 | 明確な期限、積極的 |
| 米国 | 進行中 | 進行中 | 2035年頃 | 段階的、現実的 |
| 英国 | 2028年 | 2031年 | 2035年 | 慎重、段階的 |
| カナダ | 2025年 | 2026年 | 2030年代初頭 | Five Eyes協調 |
| EU | 2026年 | 2027年 | 2030年代半ば | 加盟国調整が必要 |
ワイの見解:タイムラインの実現可能性
オーストラリアの2028-2030年の2年間での完全移行は、正直かなり野心的だと思います。
Post-Quantum Cryptography Coalition(MITRE、Microsoft、IBM等)も「大企業でのPQC移行は、数千のアプリケーションとデバイスへの展開を含む複雑なプロセスであり、完了まで複数年を要する可能性が高い」と分析しています。Y2K対応ですら実質10年かかったことを考えると、PQC移行も同等以上の期間が必要でしょう。
とはいえ、早期開始の重要性については全ての専門家が一致しています。Harvest Now, Decrypt Later攻撃は既に進行中の可能性があり、移行には予想以上の時間がかかります。期限に間に合うかどうかに関わらず、今すぐ計画を開始すべきというのがワイの結論です!
オーストラリアとNIST標準の関係
なぜ独自開発ではなくNIST準拠なのか
オーストラリアは独自のPQCアルゴリズムを開発するのではなく、NIST標準化プロセスに準拠する戦略を採用しています。これは非常に賢い選択だとワイは思います。
理由は3つあります。まず、世界中の暗号学者が数年かけて検証したアルゴリズムを採用することで、単独の国では実現困難な規模の分析結果を活用できます。次に、Five Eyes各国やグローバルなサプライチェーンとの相互運用性が確保できます。そして、主要ベンダーはNIST標準に対応するため、独自標準では製品・サービスが限られてしまいます。
Five Eyes(米国、英国、カナダ、オーストラリア、ニュージーランド)は共通の暗号標準を採用することで、共通の脅威認識を共有し、互換性のあるPQCソリューションを採用し、セキュリティ情報を相互に活用しています。「車輪の再発明をしない」このアプローチは、リソースの有効活用という観点からも理にかなっています。
まとめ
今回のポイント
2024年8月13日のNIST標準承認は、世界的なPQC移行の歴史的転換点でした。FIPS 203(ML-KEM)、204(ML-DSA)、205(SLH-DSA)が正式承認され、実装の基盤が確立されました。
各国は独自のタイムラインで移行を推進していますが、オーストラリアの2030年完全移行が最も積極的な目標です。IETF、ETSI、ISOなどの国際標準化機関が相互運用性を確保し、オーストラリアのNIST標準準拠戦略は合理的な選択と言えます。
次回予告
第3部では、PQC実装における具体的な課題と推奨事項について解説します!計算オーバーヘッドとパフォーマンスへの影響、鍵サイズ増大の問題と対策、レガシーシステムへの対応戦略、組織的な課題(スキル、予算、優先順位付け)、短期・中期・長期の具体的なアクションプランなど、「実際に移行するとき何が大変なの?」という疑問にお答えしますので、お楽しみに!
議論しましょう!
この記事を読んで、気になったことはありますか?
- 「NISTのアルゴリズム、実際に試してみた人いる?」
- 「うちの国の動向も知りたい」
- 「IETFの議論、もっと詳しく知りたい」
ぜひコメント欄で教えてください!
いいね・ストックもお待ちしています 🙏
参考資料
- NIST Post-Quantum Cryptography Standardization
- CISA Post-Quantum Cryptography Initiative
- UK NCSC Quantum Security
- European Commission PQC Recommendation
- Post-Quantum Cryptography Coalition
- IETF TLS Working Group
シリーズ記事
- 【2030年問題】オーストラリア政府が突きつけた"暗号全取替え"の衝撃 ― LATICEフレームワーク完全解説
- 【徹底比較】NIST標準ML-KEM/ML-DSA/SLH-DSAと各国のPQC動向を追う(本記事)
- 【実践編】PQC移行で絶対ハマるポイントと対策を現場目線で解説
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。