こんばんは!
先ほど帰国してきたGMOコネクト 執行役員CTO 菅野 哲(かんの さとる)aka さとかんです。
よろしくお願いします!
2026年3月25日、Googleが公式ブログで PQC(Post-Quantum Cryptography)移行に関するタイムラインを発表しました。これを受けて、複数のテクノロジーメディアがセンセーショナルな見出しで報じていますが、一次ソースを読むと、報道されている内容とはかなりニュアンスが異なります。
本記事では、Googleの一次ソースを正確に読み解き、メディア報道との差分を明確にしたうえで、エンジニアとして何を読み取るべきかを整理します。
TL;DR
- Googleは「Q-Dayが2029年に来る」とは言っていない
- Googleが言ったのは「PQC移行のタイムラインを2029年に設定する」ということ
- 本質的に重要なのは、Googleが電子署名(認証)のPQC移行を暗号化より優先すると脅威モデルを変更したこと
- 具体的アクションとしてAndroid 17にML-DSAを統合する発表を同時に行った
1. メディアの見出し vs Googleが実際に言ったこと
メディア側の見出し
- Ars Technica: "Google bumps up Q-Day estimate to 2029"
- AfterDawn: "Google: The feared Q-Day is now expected to happen in 2029"
これらの見出しを読むと、「Googleが Q-Day(量子計算機が既存の公開鍵暗号を破る日)を2029年と予測した」ように読めます。
Googleが実際に言ったこと
一次ソースは以下の2つです。
- Google公式ブログ: Quantum frontiers may be closer than they appear(2026年3月25日)
- Google Online Security Blog: Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android(2026年3月25日)
公式ブログの著者は Heather Adkins(VP, Security Engineering)と Sophie Schmieg(Senior Staff Cryptography Engineer)です。
ブログの冒頭で述べられているのは以下の一文です。
We're setting a timeline for post-quantum cryptography migration to 2029.
「PQC移行のタイムラインを2029年に設定する」——これが Googleの主張です。「Q-Dayが2029年に来る」とは一言も言っていません。
一次ソースと二次ソースの区別は重要です。
メディアの見出しはクリック数を稼ぐためにセンセーショナルに書かれることがあります。技術者として、必ず一次ソースを確認する習慣をつけましょう。
2. Googleが挙げた3つの根拠
Googleがこのタイムラインを設定した背景として、以下の3つを挙げています。
| # | 根拠 | 一次ソースでのリンク先 |
|---|---|---|
| 1 | 量子計算機のハードウェア開発の進展 | Google Willow quantum chip |
| 2 | 量子エラー訂正(Quantum Error Correction)の進展 | Nature論文(2024年) |
| 3 | 量子素因数分解のリソース見積もりの更新 | Google Security Blog(2025年5月) |
特に3つ目の「量子素因数分解のリソース見積もり」は、RSAや楕円曲線暗号を破るために必要な量子計算機の規模がどの程度かという見積もりであり、この見積もりが従来より楽観的(攻撃者にとって有利)な方向に更新されたことが、タイムライン前倒しの大きな要因と考えられます。
3. 本質:署名の優先度が上がった
この発表で最も重要なのは、Googleが脅威モデルの優先順位を変更したことです。
ブログ原文には以下のように書かれています。
That's why we've adjusted our threat model to prioritize PQC migration for authentication services
従来、PQC移行の議論は主に2つの脅威を軸に展開されてきました。
Store-Now-Decrypt-Later(SNDL / HNDL)
暗号化通信を今のうちに収集・保存しておき、将来の量子計算機で復号するという攻撃です。この脅威は現在すでに存在しており、PQC対応の鍵交換(ML-KEM等)が急がれていました。Googleも Chrome での X25519MLKEM768 対応など、鍵交換側のPQC移行は先行して進めてきました。
署名偽造(Signature Forgery)
電子署名が破られると、ソフトウェアの改ざんやなりすましが可能になります。この脅威はCRQC(Cryptographically Relevant Quantum Computer)が登場してから顕在化しますが、CRQC登場後に対応を始めては手遅れになります。
Googleはこの発表で、認証・署名の移行こそCRQC登場前に完了すべきという優先度を明示しました。暗号化(鍵交換)の移行が十分に進展してきたことを受けて、次のフェーズとして署名移行にフォーカスする——という戦略的判断です。
4. 具体的アクション:Android 17 における PQC 統合
同日公開されたGoogle Online Security Blogでは、Android 17でのPQC統合の詳細が発表されました。
Android Verified Boot(AVB)の強化
Android端末の起動時に、OSが改ざんされていないことを検証する仕組み(Verified Boot)に ML-DSA(Module-Lattice-Based Digital Signature Algorithm、FIPS 204)を統合します。
量子計算機による署名偽造が可能になった場合、攻撃者はVerified Bootを迂回して改ざんされたOSを起動させることが理論的に可能になります。これを防ぐための先行的対策です。
Remote Attestation のPQC対応
デバイスの状態をリモートで証明する Remote Attestation も PQC 対応の証明書チェーンに移行します。KeyMint の証明書チェーンを量子耐性アルゴリズムで更新します。
Android Keystore での ML-DSA サポート
開発者向けに、Android Keystore で ML-DSA-65 および ML-DSA-87 のネイティブサポートを提供します。開発者は標準の KeyPairGenerator API を使って、デバイスのセキュアハードウェア内でPQC署名鍵を生成・利用できるようになります。
TEE(Trusted Execution Environment)というリソース制約の厳しい環境で、古典的な楕円曲線暗号よりも大幅に大きい鍵サイズを持つ格子暗号を実装するのは、重要なエンジニアリング成果です。
Google Play アプリ署名のハイブリッド化
Google Play のアプリ署名を、従来の古典暗号鍵とML-DSA鍵を組み合わせたハイブリッド署名に移行します。Google Cloud KMS を活用して署名鍵を管理し、開発者の負担を最小化する設計です。
Android 17のリリースサイクル中に、新規アプリおよびオプトインした既存アプリに対して ML-DSA 署名鍵を自動生成する予定です。
ML-DSA のパラメータについて
| パラメータ | Security Level | 公開鍵サイズ | 署名サイズ |
|---|---|---|---|
| ML-DSA-65 | NIST Level 3(AES-192相当) | 1,952 bytes | 3,309 bytes |
| ML-DSA-87 | NIST Level 5(AES-256相当) | 2,592 bytes | 4,627 bytes |
いずれも FIPS 204 として2024年8月にNISTが標準化済みです。
5. 2029年から何を逆算できるか
Googleは「CRQCが2029年に来る」とは言っていません。しかし、移行完了を2029年に設定したということは、Google内部ではCRQCの到来をどの程度の時間軸で見ているのか、逆算的に推測できます。
- 大規模なPQC移行は通常、数年単位の作業が必要
- 移行完了目標は、CRQC到来の前に設定する必要がある
- 従来の業界コンセンサスは「CRQC到来は2040年代」だった
2029年に移行を完了させるということは、少なくとも2030年代前半にはCRQCの脅威が現実化する可能性を排除していないことを意味します。従来の「2040年代」というコンセンサスから見ると、10年近い前倒しです。
ただし、Googleは自社でWillow量子チップ(105量子ビット)を開発しており、量子計算機の進展を最も近い位置で観察できる立場にあることも考慮すべきです。自社の研究進捗を踏まえた判断である可能性は十分にあります。
6. Google の PQC 対応タイムラインまとめ
Googleブログおよび関連ソースから確認できる、Googleの PQC 関連の取り組みを時系列で整理します。
| 時期 | 内容 | ソース |
|---|---|---|
| 2016年 | Chrome で PQC 実験を開始 | Google Security Blog |
| 2024年 | Chrome で X25519MLKEM768 をロールアウト(鍵交換のPQC対応) | Google Cloud PQC |
| 2024年 | Google Cloud で PQC ソリューション提供開始 | 同上 |
| 2025年5月 | 量子素因数分解コスト追跡の研究を公開 | Google Security Blog |
| 2026年2月 | 「量子時代への備え」を呼びかけるブログ記事を公開 | Google Blog |
| 2026年3月 | PQC移行タイムラインを2029年に設定 | Google Blog |
| 2026年3月 | Android 17 に ML-DSA 統合を発表 | Google Security Blog |
| 2029年(目標) | Google全体のPQC移行完了 | — |
7. エンジニアとして今何をすべきか
Googleの発表が「Q-Dayの予測」ではなく「移行目標の設定」だったとしても、行動すべきことは変わりません。
暗号インベントリの把握
まずは自分が管理するシステムで、どの暗号アルゴリズムが使われているかを把握することが第一歩です。TLSの鍵交換・署名、コード署名、パッケージ署名、証明書チェーンなど、確認すべきポイントは多岐にわたります。
PQC対応状況の確認
TLS 1.3 + X25519MLKEM768(鍵交換のPQC対応)への対応状況を確認しましょう。署名側の ML-DSA / SLH-DSA への移行計画も今後重要になります。
Crypto Agility の確保
暗号アルゴリズムをハードコードしていないか、アルゴリズムの切り替えを迅速に行えるアーキテクチャになっているかを確認しましょう。NIST も CSWP 39 で Crypto Agility の重要性を強調しています。
NIST PQC標準の把握
以下がNISTが標準化したPQCアルゴリズムです。
| FIPS | アルゴリズム | 種別 | 用途 |
|---|---|---|---|
| FIPS 203 | ML-KEM | 格子ベース | 鍵カプセル化(鍵交換) |
| FIPS 204 | ML-DSA | 格子ベース | 電子署名 |
| FIPS 205 | SLH-DSA | ハッシュベース | 電子署名(ステートレス) |
まとめ
| 観点 | メディアの見出し | Googleが実際に言ったこと |
|---|---|---|
| Q-Day | 「Q-Dayは2029年」 | Q-Dayの予測はしていない |
| タイムライン | Q-Dayの前倒し | PQC移行完了の目標を2029年に設定 |
| 最重要ポイント | 量子脅威の到来が早まった | 署名移行の優先度を引き上げた |
テクノロジーメディアの煽りタイトルに振り回されず、一次ソースを読みましょう。ただし、Googleが具体的な年限を切ってPQC移行を宣言し、特に署名の優先度を明示的に引き上げたことは、業界にとって極めて重要なシグナルです。
「2029年に量子計算機が暗号を破る」わけではありませんが、「2029年までに備えを終わらせるべき」というGoogleのメッセージは、すべてのエンジニアが真剣に受け止めるべきものです。
参考リンク
一次ソース(Google公式)
- Quantum frontiers may be closer than they appear — Google公式ブログ(2026年3月25日)
- Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android — Google Online Security Blog(2026年3月25日)
- Google's threat model for post-quantum cryptography — Google Bug Hunters Blog
- Tracking the cost of quantum factoring — Google Online Security Blog(2025年5月)
二次ソース(メディア報道)
- Google bumps up Q Day deadline to 2029, far sooner than previously thought — Ars Technica
- Google Shortens Timeline for Quantum-Safe Encryption Transition — The Quantum Insider
NIST PQC 標準
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、エンタープライズ向けシステム開発まで幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。
一緒に世界をよくしていきませんか? 同じ思いを持った人と働きたいです!