G7 Cyber Expert GroupによるPQC移行ロードマップ：金融セクターの量子耐性への戦略的移行

こんばんは！
GMOコネクトで執行役員CTOをしている菅野 哲（かんの さとる）こと、暗号おじさん
です。
2026年1月1日からGMOインターネットグループ 共同研究推進グループで主席研究員としても活動しております。

さて、みなさんが気になっているPQC暗号移行について、G7 Cyber Expert GroupによるPQC移行ロードマップが公開されたという情報をキャッチしたのでまとめてみました。

はじめに

2026年1月、G7 Cyber Expert Group (CEG)は金融セクターにおけるPost-Quantum Cryptography（PQC）への移行に向けた包括的なロードマップを公表しました¹。このロードマップは、G7各国の財務省および中央銀行の専門家によって策定され、金融エコシステム全体での協調的かつタイムリーなPQC移行を促進することを目的としています。

G7 Cyber Expert Groupとは

G7 CEGは2015年に設立された、G7各国の金融当局の代表者および欧州連合から構成される多年次ワーキンググループです。サイバーセキュリティの政策と戦略をメンバー国間で調整し、情報共有、協力、インシデント対応の手段としても機能しています。

今回のロードマップは、米国財務省のCory Wilson氏（Deputy Assistant Secretary for Cybersecurity and Critical Infrastructure Protection）と英国中央銀行のDuncan Mackinnon氏（Executive Director for Supervisory Risk）の共同議長の下で策定されました。

量子計算機がもたらす脅威

Cryptographically Relevant Quantum Computer (CRQC)の脅威

十分に発展した量子計算機（CRQC）は、現在広く使用されている暗号プロトコルを破ることが可能になります。このリスクは全ての暗号アルゴリズムに等しく影響するわけではありませんが、公開鍵暗号をサポートする最も広く使用されているアルゴリズムに対して特に重大です。

"Harvest Now, Decrypt Later" 攻撃

ロードマップが特に警告しているのは、「今収穫し、後で解読する」（Harvest Now, Decrypt Later）シナリオです。攻撃者は現時点で暗号化されたデータを収集し、将来CRQCが利用可能になった時点で解読する可能性があります。これは長期的な価値を持つ金融データや法的契約において深刻なリスクとなります。

PQC移行のための6つのフェーズ

G7 CEGのロードマップは、金融機関と当局が実施すべき活動を6つのフェーズに整理しています：

Phase 1: Awareness & Preparation（意識改革と準備）

金融機関向けの活動：

• 経営層レベルでのリスク認識とPQC戦略の策定
• 重要な役割の定義
• クリティカルなシステム、機能、機密データ、通信プロトコルのマッピング

公的機関向けの活動：

• 経営層レベルでのPQCリスクの認識
• ステークホルダーへのリスク、期待値、ガイダンスの明確な伝達

Phase 2: Discovery & Inventory（発見と目録作成）

金融機関向けの活動：

• 暗号資産、通信プロトコル、サードパーティ依存関係の包括的なインベントリ作成
• 人材、プロセス、組織、技術能力におけるギャップの特定

公的機関向けの活動：

• 金融機関および公的セクター全体でのPQC成熟度の評価
• リスク、効果的な実践、ガイダンスの明確な伝達

Phase 3: Risk Assessment & Planning（リスク評価と計画）

金融機関向けの活動：

• クリティカルな機能と非クリティカルな機能に対する移行計画の策定
• ツール、標準、相互運用性の考慮
• 能力構築、ガバナンス、リスク管理のための内部プロセスの適応

公的機関向けの活動：

• 金融機関全体での移行をガイドするための明確な伝達
• 一貫した規制アプローチをサポートするための国内外ステークホルダー間のコミュニケーション強化

Phase 4: Migration Execution（移行実行）

金融機関向けの活動：

• 優先機能から段階的にquantum-resistant solutionsの展開
• 進化する量子脅威の状況に応じた移行ペースの調整

公的機関向けの活動：

• 移行進捗のモニタリングおよび監督
• 潜在的な障壁の特定と除去、能力構築サポートの提供

Phase 5: Migration Testing（移行テスト）

金融機関向けの活動：

• 移行した機能のテスト
• エコシステム指向のquantum-resilienceエクササイズの実施

公的機関向けの活動：

• 適切な規制アプローチへのquantum-resistant考慮事項の組み込み
• テストおよび危機調整エクササイズへのquantum resilience考慮事項の組み込み

Phase 6: Validation & Monitoring（検証とモニタリング）

金融機関向けの活動：

• 継続的な検証と改善
• 新しい暗号標準の組み込み

公的機関向けの活動：

• 進化する量子脅威の状況を反映した適応的な政策フレームワーク
• 業界の能力改善と知識普及のための継続的なサポート

移行タイムラインの考慮事項

"G7 CYBER EXPERT GROUP STATEMENT ON Advancing a Coordinated Roadmap for the Transition to Post-QuantumCryptography in the Financial Sector"のPage5より抜粋。

2035年：全体的な移行目標

G7 CEGは、複数の管轄区域、標準設定機関、多国間組織からのガイダンスを評価し、2035年を政府システムおよび民間セクターシステムの両方におけるquantum-resistant cryptographyへの全体的な移行目標日として設定しています。

この日付は以下の考慮事項に基づいています：

• 専門家の意見とCRQC開発のタイムライン
• "Harvest Now, Decrypt Later"シナリオにおけるデータリスク
• 安全で健全な暗号移行に必要な長いリードタイム

2030-2032年：クリティカルシステムの優先移行

ロードマップはデュアルトラック・アプローチを提唱しており、最もクリティカルなシステムについては2030-2032年に対応を完了させることを推奨しています。この早期の優先移行により、リスクが早期に顕在化した場合のダウンサイドリスクを制限できます。

リスクベース・アプローチ

全てのエンティティ、システム、機能が同じレベルのエクスポージャーやシステム上の重要性を持つわけではありません。組織は以下のようなリスクベースでの優先順位付けが可能です：

• 最もクリティカルな領域により積極的なタイムラインを適用
• リスクの低い領域には延長されたタイムラインを適用
• 非クリティカルなユースケースを早期パイロットとして活用

移行を成功させるための重要な考慮事項

1. Cryptographic Agility（暗号アジリティ）

ロードマップは、特定のアルゴリズムに依存せず、新たな脅威や脆弱性が発見された際に暗号ソリューションを迅速に適応できる能力としてCryptographic Agilityの重要性を強調しています。

NISTはサイバーセキュリティ白書で暗号アジリティを達成するための現在のアプローチの詳細なレビューを提供しており、タイムリーな移行の重要性を強調し、「この移行が最後の移行になることは確実にない」と指摘しています。継続的な暗号の進化に対応できる柔軟性が不可欠です。

2. 標準ベースのアプローチ

組織は以下のような既存のロードマップとIT セキュリティ標準の使用を検討すべきです：

• ISO 27001
• ITIL

定量化可能なメトリクスを確立することで、進捗を追跡し、説明責任を示し、再調整を可能にします。

3. 協力と協調

複数の管轄区域およびあらゆる規模・種類の金融機関間の協力により、以下が可能になります：

• 相互学習と断片的なアプローチのリスク軽減
• 相互運用性の強化
• サードパーティとの協力によるベンダー依存関係の積極的管理

4. サードパーティ依存関係の管理

重要な課題：ベンダーの透明性

ロードマップは、ITベンダーやクラウドサービスへの高度な依存が移行を阻む最大の障壁の一つであることを指摘しています。特に小規模金融機関ほどベンダー依存度が高い傾向にあります。

金融機関は以下を実施すべきです：

• ベンダーに対する詳細なquantum-resistant roadmapの開示要求
• 特定のクラウドおよび暗号サービスに対するベンダーロードマップの取得
• 提案されたタイムラインに先立つサードパーティソリューションの利用可能性への対応

継続的な活動

6つのフェーズに加えて、以下の継続的な活動が移行プロセス全体を通じて並行して実施されるべきです：

1. Governance and Risk Management: Quantum-resistant Cryptographyを既存の組織ガバナンスおよび公的監督フレームワークに組み込む

2. Management of External Dependencies: 量子技術、標準、ツール、脅威の成熟度をモニタリング

3. Stakeholder Dialogue: 問題を特定し、洞察を共有し、共有ソリューションを促進するための構造化されたエンゲージメント

関連する標準化組織とイニシアチブ

ロードマップ策定に関与した組織

ロードマップの策定には、以下の国内外の組織との広範なステークホルダー協議が含まれました：

• NIST (National Institute of Standards and Technology)
• FS-ISAC (Financial Services Information Sharing and Analysis Center)
• CFDIR (Canadian Forum on Digital Infrastructure Resilience)
• UK NCSC (National Cyber Security Centre)
• EU-QSFF (European Quantum-Safe Financial Forum)

PQC移行に関するアプローチとタイムラインを要約している組織

原文書では、以下の組織がPQC移行に関するアプローチとタイムラインを要約していることが言及されています：

• NIST: 量子耐性暗号への移行のための戦略的タイムラインを確立。サイバーセキュリティ白書で暗号アジリティの達成に関する詳細なレビューを提供
• ISO (International Organization for Standardization) および IETF (Internet Engineering Task Force): サイバーセキュリティとプライバシー保護をカバーする暗号標準と仕様を開発
• BIS (Bank for International Settlements)
• WEF (World Economic Forum)
• CFDIR, UK NCSC and CMORG (Cross Market Operational Resilience Group)
• European Commission, Europol QSFF
• FS-ISAC

G7 CEGの今後のコミットメント

G7 CEGは、金融当局と協力して以下を実施することを確約しています：

1. PQC移行の進捗をモニタリングし、管轄区域間で情報を共有し、移行努力をサポートし、管轄区域の一貫性を促進

2. 標準設定機関およびその他の主要なステークホルダーと調整し、国際協力を促進

3. クリティカルインフラセクター全体およびテクノロジープロバイダーとの対話と知識共有を促進し、準備を加速

4. 進化する脅威、技術、移行から得られた教訓をモニタリングし、組織をサポートするためのリソースの更新を検討

実装における柔軟性

このロードマップは規定的ではなく、以下の柔軟性を提供することを目指しています：

• 個々のエンティティの独自の状況に基づく柔軟性を促進
• 進化するリスクを考慮してプランを適応させるための継続的なモニタリングと再調整のメカニズム
• 多くの活動が並行して発生するか、反復的に再検討される可能性
• 各組織がリスクプロファイル、システムの複雑さ、重要性に基づいてアクションのタイミングとシーケンスを調整

まとめ

G7 CEGのPQC移行ロードマップは、金融セクターが量子計算機の脅威に対応するための包括的なフレームワークを提供しています。重要なポイントは以下の通りです：

1. 即座の行動が必要: "Harvest Now, Decrypt Later"攻撃は既に進行中の可能性があり、対策は今すぐ開始すべき

2. デュアルトラック・アプローチ: 2035年を全体目標としつつ、クリティカルシステムは2030-2032年に移行完了を目指す

3. Cryptographic Agilityの重要性: 特定のアルゴリズムへの依存を避け、柔軟な暗号の切り替えを可能にする設計が必須

4. エコシステム全体での協調: サードパーティ、ベンダー、規制当局との緊密な協力が成功の鍵

5. 継続的な進化: PQC移行は一度きりのプロジェクトではなく、継続的な監視と適応が必要

金融機関のシステムアーキテクトやセキュリティエンジニアは、このロードマップを参考にしながら、自組織の状況に応じた具体的な移行計画の策定を開始することが推奨されます。

参考資料

G7 CEG公式文書

• G7 CEG Statement - Advancing a Coordinated Roadmap for the Transition to Post-Quantum Cryptography in the Financial Sector (PDF)
• U.S. Department of the Treasury Press Release

主要な標準化組織・機関

• NIST Post-Quantum Cryptography Project - NIST PQC標準化プロジェクト
• NIST IR 8547: Transition to Post-Quantum Cryptography Standards - NISTの移行ガイダンス（2024年11月公表）
• Bank for International Settlements (BIS) - 国際決済銀行
• BIS Papers No 149: Quantum computing and the financial system - 金融システムと量子計算機に関するBIS文書

---

本記事は2026年1月に公表されたG7 CEGの公式文書に基づいて執筆されています。最新の情報については上記の参考資料を直接ご確認ください。

---

最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。

お問合せ: https://gmo-connect.jp/contactus/

1. G7 CEG Statement on Advancing a Coordinated Roadmap for the Transition to Post-Quantum Cryptography in the Financial Sector ↩