はじめに
GMOインターネットグループのGMOコネクト株式会社で執行役員 CTO 菅野 哲(かんの さとる)です。普段はIETFでの標準化活動やPQCの研究動向を追いかけています。
2026年3月30日、CRYPTREC(暗号技術検討会及び関連委員会)の活動を通して、「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」の改定版(CRYPTREC LS-0001-2022R2)が公表されたッ!
今回の改定における最大の変更点は、電子政府推奨暗号リスト内に 「表2 耐量子計算機暗号(PQC)リスト」が新設 されたことである。CRYPTREC暗号リストの歴史において、PQCが電子政府推奨暗号として正式に位置づけられたのはこれが初めてであり、日本の暗号政策にとって大きな転換点となる。
本記事では、今回の改定内容を詳細に解説する。
CRYPTREC暗号リストの概要
CRYPTRECの体制
CRYPTREC(Cryptography Research and Evaluation Committees)は、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトである。以下の組織で構成されている。
| 組織 | 運営主体 |
|---|---|
| 暗号技術検討会 | デジタル庁・総務省・経済産業省が共同運営 |
| 暗号技術評価委員会 | NICT(情報通信研究機構)・IPA(情報処理推進機構)が共同運営 |
| 暗号技術活用委員会 | NICT・IPAが共同運営 |
CRYPTREC暗号リストの策定・公表はデジタル庁・総務省・経済産業省の3省庁名義で行われるが、暗号技術の安全性評価や研究動向の調査はNICT・IPAが運営する委員会が担っている。今回のPQCリスト新設においても、暗号技術評価委員会の下に設置された「暗号技術調査ワーキンググループ(耐量子計算機暗号)」による評価活動が基盤となっている。
3つのリスト構成
CRYPTREC暗号リストは以下の3つのリストで構成されている。
| リスト名 | 位置づけ |
|---|---|
| 電子政府推奨暗号リスト | CRYPTRECにより安全性・実装性能が確認され、利用を推奨する暗号技術 |
| 推奨候補暗号リスト | 安全性・実装性能は確認済みだが、今後推奨リスト入りする可能性がある暗号技術 |
| 運用監視暗号リスト | 推奨すべき状態ではなくなったが、互換性維持のため継続利用を容認する暗号技術 |
「政府機関等のサイバーセキュリティ対策のための統一基準」(令和7年度版)において、政府機関は電子政府推奨暗号リストに基づいて暗号アルゴリズムを選定することが求められている。
改定の沿革
CRYPTREC暗号リストは約10年周期で大規模改定が行われてきた。
| 時期 | 内容 |
|---|---|
| 2003年2月 | 電子政府推奨暗号リスト初版 |
| 2013年3月 | CRYPTREC暗号リストとして3リスト構成に改定 |
| 2023年3月 | 10年ぶりの大規模改定(CRYPTREC LS-0001-2022)。EdDSA、ChaCha20-Poly1305等を追加 |
| 2024年5月 | 小改定(R1)。DSA・3DESの継続掲載理由の注記追加 |
| 2026年3月 | 小改定(R2)。PQCリスト新設 |
文書番号上は2023年版の小改定(R2)だが、PQCリスト新設という内容面では極めて大きな変更である。
今回の改定内容
電子政府推奨暗号リストの構造変更
従来、電子政府推奨暗号リストは単一の表で構成されていた。今回の改定で以下の2表構成に変更された。
- 表1 現行暗号リスト — 従来からの暗号技術(RSA-PSS、ECDSA、AES、SHA-256等)
- 表2 耐量子計算機暗号(PQC)リスト — 新設
表2は以下のように定義されている。
現行暗号の解読に利用可能な水準の量子計算機(CRQC: Cryptographically Relevant Quantum Computer)への耐性を有することが確認された暗号技術のリスト
CRQC(Cryptographically Relevant Quantum Computer)の略語と定義がCRYPTREC暗号リストに登場したのはこれが初めてである。CRQCは、NISTやNSAの文書で使用されている用語であり、現実の量子計算機ではなく「暗号解読に十分な能力を持つ将来の量子計算機」を指す概念である。
PQCリスト(表2)に掲載された暗号技術
PQCリストに掲載された暗号技術は以下の通りである。
| 技術分類 | 名称 | パラメーターセット |
|---|---|---|
| 公開鍵暗号 – 署名 | —(該当なし) | — |
| 公開鍵暗号 – 鍵共有 | ML-KEM | ML-KEM-768 (Category 3) / ML-KEM-1024 (Category 5) |
| 共通鍵暗号 | AES | AES-192 (Category 3) / AES-256 (Category 5) |
| ハッシュ関数 | SHA2 | SHA-384 (Category 4) / SHA-512 |
| ハッシュ関数 | SHA3 | SHA3-384 (Category 4) / SHA3-512 |
以下、各項目を詳しく見ていく。
ML-KEM — PQCリスト唯一の公開鍵暗号
ML-KEMの概要
ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism)は、2024年8月にNISTがFIPS 203として標準化した鍵カプセル化メカニズムである。NIST PQC標準化プロジェクトにおいてCRYSTALS-Kyberとして提案・評価され、最終的にML-KEMとして標準化された。
ML-KEMの安全性は、Module Learning with Errors(Module-LWE)問題の計算困難性に基づいている。格子(lattice)上の問題であり、大規模な量子計算機に対しても安全であると考えられている。
KEM(鍵カプセル化メカニズム)は、公開チャネル上で2者間の共有秘密鍵を確立するための仕組みである。確立した共有秘密鍵は、AES等の共通鍵暗号と組み合わせて暗号化や認証に使用される。TLS 1.3の鍵交換で従来のECDHE等を置き換える形で利用される。
NIST FIPS 203のパラメーターセット
NIST FIPS 203では以下の3つのパラメーターセットが規定されている。
| パラメーターセット | セキュリティカテゴリ | セキュリティ強度 | 公開鍵サイズ | 暗号文サイズ |
|---|---|---|---|---|
| ML-KEM-512 | Category 1 | 128ビット相当 | 800 bytes | 768 bytes |
| ML-KEM-768 | Category 3 | 192ビット相当 | 1,184 bytes | 1,088 bytes |
| ML-KEM-1024 | Category 5 | 256ビット相当 | 1,568 bytes | 1,568 bytes |
このうち、CRYPTRECはML-KEM-768(Category 3)とML-KEM-1024(Category 5)のみを掲載し、ML-KEM-512(Category 1)は掲載していない。
ML-KEM-512を不掲載とした背景
ML-KEM-512が掲載されなかった背景には、NISTセキュリティカテゴリとCRYPTRECの暗号強度要件の関係がある。
NISTは PQC標準化プロジェクトにおいて、以下の5段階のセキュリティカテゴリを定義している。
| カテゴリ | 定義(同程度以上の計算資源が攻撃に必要) |
|---|---|
| Category 1 | 128ビット鍵を持つブロック暗号に対する鍵探索 |
| Category 2 | 256ビットのハッシュ関数に対する衝突探索 |
| Category 3 | 192ビット鍵を持つブロック暗号に対する鍵探索 |
| Category 4 | 384ビットのハッシュ関数に対する衝突探索 |
| Category 5 | 256ビット鍵を持つブロック暗号に対する鍵探索 |
ML-KEM-512はCategory 1であり、これは128ビットセキュリティに相当する。CRYPTRECの「暗号強度要件(アルゴリズム及び鍵長選択)に関する設定基準」(CRYPTREC LS-0003-2022R1)では、128ビットセキュリティは2040年までは「利用可」だが、2041年以降は「移行完遂期間」とされている。
日本政府のPQC移行は原則2035年が期限とされていることを考えると、2035年に導入した暗号が2041年には移行完遂期間に入るというのは、政策としてCategory 1を「推奨」することの妥当性に疑問が生じる。さらに、米国NSAのCNSA 2.0はNational Security Systems向けにML-KEMについて「Level V parameters」(Category 5相当 = ML-KEM-1024)の使用を要求しており、Category 3(ML-KEM-768)すら指定していない。
今後の検討課題文書(CRYPTREC MT-1501-2026)でも、Category 1・2の取扱いについて「海外機関では、Category 3以上を想定する記載が多く見られるが、Category 1・2を排除するような記載はなく、相互運用性・国際調達の観点からも検討が必要」とされており、2026年度のPQCリスト検討タスクフォースで議論される予定である。
なお、実際のTLS実装においては、ML-KEM-768がデファクトの選択肢になりつつある。Google ChromeやCloudflareはML-KEM-768を採用したハイブリッド鍵交換(X25519MLKEM768)を既にデプロイしている。
署名アルゴリズムが未掲載である理由
PQCリストの公開鍵暗号 – 署名の欄は「—(該当なし)」となっている。NISTが2024年8月に標準化したML-DSA(FIPS 204、CRYSTALS-Dilithium由来)やSLH-DSA(FIPS 205、SPHINCS+由来)は掲載されていない。
この理由は、CRYPTRECにおける安全性評価がまだ完了していないためである。脚注4には「暗号技術の耐量子計算機暗号(PQC)リストへの追加について検討中」と明記されており、今後の検討課題文書(CRYPTREC MT-1501-2026)によれば、FIPS 204およびFIPS 205については2026年度中に安全性評価等が終了する予定とされている。
鍵共有(ML-KEM)が署名(ML-DSA/SLH-DSA)より先に掲載された点は、HNDL(Harvest Now, Decrypt Later)脅威への対応として合理的である。HNDL攻撃とは、将来CRQCが実現した際に解読することを見越して、現時点で暗号化された通信データを収集・蓄積しておく攻撃シナリオである。この脅威は守秘(鍵共有)に直接影響するが、署名の検証はその時点で安全であれば問題ないため、鍵共有のPQC移行がより緊急性が高いとされている。
共通鍵暗号のPQCリスト掲載 — AES
AES-192(Category 3)とAES-256(Category 5)がPQCリストに掲載された。AES-128は不掲載である。
共通鍵暗号に対する量子計算機の脅威は、公開鍵暗号に対する脅威とは性質が異なる。公開鍵暗号はShorのアルゴリズムによって多項式時間で解読される可能性があるが、共通鍵暗号に対してはGroverのアルゴリズムによる鍵探索の高速化が知られている。Groverのアルゴリズムは鍵探索の計算量を平方根に削減するため、実効的なセキュリティ強度は以下のようになる。
| アルゴリズム | 古典的セキュリティ強度 | Grover適用後の実効強度 | NISTカテゴリ |
|---|---|---|---|
| AES-128 | 128ビット | 64ビット相当 | Category 1 |
| AES-192 | 192ビット | 96ビット相当 | Category 3 |
| AES-256 | 256ビット | 128ビット相当 | Category 5 |
Groverのアルゴリズムの実効的な影響については議論がある。量子回路の深さ(depth)の制約を考慮すると、実際にはGroverの理論的な平方根高速化をそのまま達成することは困難とされている。NISTも共通鍵暗号についてはPQC移行の緊急性は低いとの見解を示している。ただし、CRYPTRECとしてCRQC耐性を明示的にカテゴリ対応付けした意義は大きい。
AES-128が不掲載なのは、ML-KEM-512と同様にCategory 1に相当するためである。ただし、AES-128は表1(現行暗号リスト)にはAESとして引き続き掲載されており、現時点で利用が非推奨になったわけではない点に注意が必要である。
ハッシュ関数のPQCリスト掲載 — SHA2/SHA3
ハッシュ関数については、以下がPQCリストに掲載された。
SHA2: SHA-384(Category 4)、SHA-512
SHA3: SHA3-384(Category 4)、SHA3-512
SHA-256およびSHA3-256は不掲載である。ハッシュ関数に対する量子計算機の脅威は、BHT(Brassard-Høyer-Tapp)アルゴリズムによる衝突探索の高速化($O(2^{n/3})$ に改善される可能性)に関係する。BHTはGroverのアルゴリズムを内部的に利用した量子アルゴリズムであり、nビットのハッシュ関数に対する衝突探索を古典的な$O(2^{n/2})$から$O(2^{n/3})$に改善する。ただし、BHTは量子ランダムアクセスメモリ(qRAM)を前提としており、実用上の脅威としてはなお議論がある。256ビットのハッシュ関数はCategory 2に相当し、ML-KEM-512やAES-128と同様の理由で不掲載とされたと考えられる。
SHA-512のカテゴリ記載がない点に注意されたい。SHA-384にはCategory 4が付与されているが、SHA-512にはカテゴリ記載がない。これはSHA-512がCategory 5を超える安全性を持つためと推測されるが、原文の表にカテゴリが明記されていない。SHA3-512も同様である。
SHA-256やSHA3-256も、AES-128と同様に表1(現行暗号リスト)には引き続き掲載されている。PQCリストに不掲載であることは、現時点での利用制限を意味しない。
ECDHのMAC制約の明確化(注2の追加)
表1(現行暗号リスト)の鍵共有に掲載されているECDHについて、新たに注2が追加された。
(注2)使用するMACはHMAC又はCMACに限る。
ECDHを利用する際に、メッセージ認証に使用するMACアルゴリズムをHMACまたはCMACに限定するという制約である。これはECDH自体の変更ではなく、運用上の安全性を確保するための明確化と位置づけられる。
暗号強度要件のPQC公開鍵暗号への適用除外
脚注3に以下の記載が追加された。
当該設定基準の見直しの検討を行う予定であり、当面の間、表2(耐量子計算機暗号(PQC)リスト)の公開鍵暗号は、当該設定基準を適用しない。
「暗号強度要件(アルゴリズム及び鍵長選択)に関する設定基準」は、従来の公開鍵暗号(RSA、ECDSA等)の鍵長選択を規定しているが、ML-KEM等のPQCアルゴリズムはパラメーター構造が根本的に異なるため、現行の設定基準をそのまま適用することができない。暗号強度要件の見直しが行われるまでの間、PQCの公開鍵暗号は適用除外とされた。
これにより、ML-KEM-768/1024の利用にあたって暗号強度要件との整合性を気にする必要はなく、PQCリストに掲載されているパラメーターセットをそのまま選択すればよい。
文言の微修正
電子政府推奨暗号リストの定義文において、「安全性及び実装性能」が「安全性(セキュリティ)及び実装性能」に変更された。「セキュリティ」の語を括弧書きで補足した形であり、実質的な意味の変更はない。
推奨候補暗号リスト・運用監視暗号リストの変更
今回の改定では、推奨候補暗号リストおよび運用監視暗号リストに変更はない。
今後の検討課題
CRYPTRECは今回の改定に合わせて、今後の検討課題を整理した文書(CRYPTREC MT-1501-2026)を公開している。
暗号技術検討会の直下に「耐量子計算機暗号(PQC)リスト検討タスクフォース」が新設され、2026年度末までを目途に以下の4つの課題について検討が進められる。
課題① Category 1・2の取扱い
ML-KEM-512(Category 1)、AES-128(Category 1)、SHA-256(Category 2)等をPQCリストに追加するかどうか。暗号強度要件との整合性、政府PQC移行の2035年目標、海外機関の動向を踏まえた検討が必要とされている。
課題② 暗号利用モード・認証暗号等の取扱い
CCM、GCM、CMAC、HMAC、ChaCha20-Poly1305等の暗号利用モード・メッセージ認証コード・認証暗号について、CRQC耐性の観点からの評価が必要とされている。AES、SHA2、SHA3のCRQC耐性はCRYPTRECの外部評価報告書等から明らかだが、これらを組み合わせた利用モードについては追加の検討が求められる。
また、Camellia、KCipher-2、SHAKE-256等、表1に掲載されているが表2に掲載されていない共通鍵暗号・ハッシュ関数の取扱いも課題として挙げられている。
課題③ ハイブリッド構成の取扱い
現行暗号とPQCを組み合わせたハイブリッド構成(例:X25519 + ML-KEM-768)について、CRYPTRECとしてどのように取り扱うかが未定である。
ハイブリッド構成は現在のPQC移行期において広く採用されており、TLSではX25519MLKEM768がChrome、Cloudflare等で既にデプロイされている。一方、各国のスタンスは分かれており、NSA(CNSA 2.0)やNCSC(英国)は純粋PQCを推奨し、BSI(ドイツ)やANSSI(フランス)はハイブリッド構成を要求している。
課題④ 公開鍵暗号方式のPQCの安全性評価の進め方
ML-DSA(FIPS 204)、SLH-DSA(FIPS 205)をはじめとするPQC署名アルゴリズムの安全性評価の順序。FIPS 204・205は2026年度中に安全性評価等が終了する予定とされている。NISTが今後標準化を予定しているFN-DSA(Falcon由来)やHQC(鍵共有)についても、将来的な評価対象となる可能性がある。
国際的なPQC移行動向との位置づけ
今回のCRYPTREC暗号リスト改定を国際的な文脈に位置づける。
各国・機関のPQC移行タイムライン
| 国・機関 | 移行期限 | 備考 |
|---|---|---|
| NIST(米国) | 2035年 | IR 8547で量子脆弱アルゴリズムを標準から廃止 |
| NSA CNSA 2.0(米国) | 2030〜2035年 | 国家安全保障システム向け。ML-KEM-1024(Level V)を要求 |
| ASD(豪州) | 2030年 | 古典的公開鍵暗号の排除 |
| ETSI(欧州) | 2035年 | ハイブリッド採用を推奨 |
| 日本政府 | 2035年 | 関係府省庁連絡会議設置済み |
各国のアルゴリズム選択の収束と相違
鍵共有については、NISTアルゴリズムに準拠する各国はML-KEMの何らかのバリアントを推奨しており、国際的な共通基盤となっている。CRYPTRECがML-KEMを採用したことは、この国際的な流れと一致する。
一方、署名アルゴリズムについてはまだ各国間で差異がある。CNSA 2.0はML-DSA-87(Category 5)と、ファームウェア署名向けにLMS/XMSSを推奨。BSI/ANSSIはハイブリッド署名を要求(ハッシュベース署名を除く)。CRYPTRECは2026年度中にML-DSA/SLH-DSAの安全性評価を完了予定であり、今後のPQCリスト追加が注目される。
韓国(NTRU+/SMAUG-T/HAETAE/AIMer)や中国は独自のPQCアルゴリズムを標準化しており、NISTアルゴリズムとの相互運用性の課題が残る。
技術者として押さえておくべきこと
政府系システムの調達・開発に関わる場合
- 電子政府推奨暗号リストにML-KEM-768/1024が正式に掲載されたことで、政府調達要件としてML-KEM対応が求められる可能性がある。
- ML-DSA/SLH-DSAの掲載は2026年度以降になるが、署名のPQC対応も見据えた設計が望ましい。
- 暗号強度要件がPQC公開鍵暗号に適用されない点を理解した上で、パラメーターセットを選択する。
TLS/PKI関連の開発に関わる場合
- TLS 1.3でのML-KEM-768の利用は既にChrome、Cloudflare等でデプロイされており、対応が進んでいる。
- 証明書のPQC対応(ML-DSA署名の証明書等)は、CRYPTRECへのML-DSA掲載を待つ形になるが、先行的な検証環境の構築は有益である。
暗号ライブラリ開発に関わる場合
- FIPS 203準拠のML-KEM実装の需要が増加する。OpenSSLやBoringSSL等の主要ライブラリは既に対応済みまたは対応中。
- FIPS 140-3のCMVPにおいてもML-KEMのCAVP証明書取得が進んでいる。
すべての技術者へ
- 暗号棚卸し(クリプトインベントリ) を実施し、自組織のシステムで使用している暗号アルゴリズムを把握する。
- 特にRSA、ECDH、ECDSA等の公開鍵暗号は、将来的にCRQCによって解読されるリスクがある。長期間保護が必要なデータを扱うシステムでは、HNDL脅威を考慮したPQC移行計画の検討を開始すべきである。
- PQC移行は暗号アルゴリズムの単純な差し替えではなく、鍵サイズの増大(ML-KEM-768の公開鍵は1,184バイト)によるプロトコルへの影響、ハイブリッド構成の採否、暗号モジュールの更新等、広範な検討が必要となる。
まとめ
今回のCRYPTREC暗号リスト改定(R2)のポイントを整理する。
- PQCリスト(表2)が電子政府推奨暗号リストに新設された — 2003年の初版以来、リストの基本構造が変更される初めてのケース
- ML-KEM-768/1024が鍵共有として掲載された — ML-KEM-512(Category 1)は不掲載。CNSA 2.0はCategory 5(ML-KEM-1024)を要求しており、CRYPTRECはCategory 3以上を採用
- AES-192/256、SHA-384/512、SHA3-384/512がPQCリストに掲載された — 量子アルゴリズム(Grover/BHT)の影響を踏まえたCategory対応付け
- 署名アルゴリズム(ML-DSA/SLH-DSA)は未掲載 — 2026年度中に安全性評価が終了予定。鍵共有を先行させたのはHNDL脅威への対応として合理的
- 暗号強度要件はPQC公開鍵暗号に当面適用しない — 設定基準の見直しまでの経過措置
- PQCリスト検討タスクフォースが新設された — Category 1/2の扱い、ハイブリッド構成、暗号利用モードのCRQC耐性等を2026年度末までに検討
PQC移行は2035年に向けて着実に進んでいる。今回の改定は、日本の暗号政策がPQC時代への移行を正式に開始したことを示すマイルストーンである。
参考リンク
- CRYPTREC暗号リスト(電子政府推奨暗号リスト)
- CRYPTREC暗号リスト(CRYPTREC LS-0001-2022R2)
- CRYPTREC暗号リストのPQC対応に関する検討課題(CRYPTREC MT-1501-2026)
- 暗号強度要件(アルゴリズム及び鍵長選択)に関する設定基準(CRYPTREC LS-0003-2022R1)
- NIST FIPS 203: ML-KEM
- NIST Post-Quantum Cryptography
- NIST IR 8547: Transition to Post-Quantum Cryptography
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、エンタープライズ向けシステム開発まで幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。
一緒に世界をよくしていきませんか? 同じ思いを持った人と働きたいです!