こんにちは、GMOコネクト株式会社で執行役員CTOをしている菅野 哲(かんの さとる)です。
暗号おじさんなので暗号に関する情報を見つけると解説する病気なのでお付き合いいただけたら嬉しいです。
概要
2025年11月18日、米国防総省(Department of Defense、以下DoD)は、全コンポーネントに対しPQCへの移行準備を命じる覚書を発出しました。
ファーストビューが厳ついのよ。
でも、このPDFにある公開承認スタンプが消せて保存できるのが気になったw
注記: 原文書では "Department of War" (DoW) という名称が使用されています。これは2025年9月5日の大統領令14347号により、DoDが公式文書で使用することが認可された副次的名称です。
法的名称は Department of Defense のままですが、本記事では一般読者の理解を助けるため、より広く認知されている DoD 表記を使用します。
本記事では、エンジニアやセキュリティ実装者の視点から、この文書に含まれる 「特定の技術の禁止」 と 「移行期限」 について詳細に解説します。
1. 公開文書の基本情報
- 件名: Preparing for Migration to Post Quantum Cryptography
- 発信: DoD CIO (Acting) Katherine Arrington
- PQC担当責任者: Dr. Britta Hale (Director, DoD CIO PQC Directorate)
- 目的: 量子計算機の脅威に対し、「意図的な緊急性(deliberate urgency)」を持ってPQCへの移行を計画・実行し、情報支配権を維持すること
- 全システム対象: 国家安全保障システム(NSS)だけでなく、兵器システム、IoT、クラウド、モバイルなど、あらゆる区分のシステムが対象
2. 【重要】禁止および廃止される技術
本覚書の最も注目すべき点は、NIST標準以外の「耐量子」ソリューション(特に物理層セキュリティや旧来の共通鍵管理)に対して、非常に厳しい姿勢を示している点です。
① 量子鍵配送(QKD)の事実上の禁止
文書は、「量子機密性(Quantum Confidentiality)」技術 または 「量子鍵配送(Keying)技術」 を、機密性・完全性・鍵配送の手段として使用することを明確に禁止しました。
-
対象技術:
- Quantum Key Distribution (QKD)
- QKDと他の暗号鍵確立を組み合わせたソリューション
- 量子通信またはネットワーキング
- 非局所的量子乱数生成
- FIPS非準拠の乱数生成
- Quantum Key Distribution (QKD)
-
理由: これらの技術は、機密性保護、データまたはエンティティ認証、鍵配送、非局所的乱数生成の手段として認められません。DoDは、物理層の量子効果ではなく、数学的な安全性を持つPQC(耐量子計算機暗号)への一本化を選択しました。
-
例外: 上記の連絡先(Dr. Britta Hale)から例外承認を得た場合のみ、導入が認められます。
② 共通鍵(Symmetric Key)による鍵配送の廃止
ここが実装者にとって最大の変更点です。データの暗号化そのものではなく、「鍵を共有・配送するプロトコル」 において、共通鍵技術の使用が制限されます。
-
廃止対象:
- Symmetric key establishment protocols(共通鍵確立プロトコル)
- Symmetric key agreement protocols(共通鍵合意プロトコル)
- Symmetric key distribution protocols(共通鍵配送プロトコル)
-
期限:
- 2030年12月31日までに廃止し、置換を完了すること
- NSA CSfC登録済みソリューションは2031年12月31日まで猶予
-
移行先: NISTが承認した 「非対称PQCアルゴリズム(Asymmetric PQC)」 を用いた鍵確立(例:ML-KEM)への移行が必須
-
即時禁止: 商用の共通鍵ベースの耐量子ソリューションの新規テスト・調達は、本覚書発効と同時に禁止
-
既存システムの例外: 2010年以前から共通鍵配送プロトコルを使用しているユースケースは、新たなリスクを導入するものではないため、この要件から免除されます。ただし、非対称PQCアルゴリズムベースの鍵確立へのアップグレードを検討すべきとされています。
③ 事前共有鍵(PSK)の規制
「とりあえず長いPSK(Pre-Shared Key)を使えば耐量子になる」という安易なアプローチも規制されます。
- NSAのKMI(Key Management Infrastructure)経由でType 1デバイス用に提供されるPSK以外は、耐量子目的でのPSK利用は認められず、上記同様に2030年12月31日までに廃止対象
- 商用PSKベースの耐量子ソリューションの新規テスト・調達は即時禁止
3. 実装と開発へのインプリケーション
このポリシーは、IETF等で議論されているPQC実装の方向性を決定づけるものです。
1. ハイブリッド鍵交換の必須化
-
共通鍵暗号の役割: AESのような共通鍵暗号アルゴリズム自体は、データプレーンの暗号化(Bulk Encryption)のために引き続き必要不可欠です。
-
鍵交換の変更: しかし、その共通鍵を通信相手と共有するフェーズ(Control Plane) においては、Kerberosのような共通鍵ベースの仕組みや、単純なPSKではなく、ML-KEM 等のPQC公開鍵暗号を用いることが強制されます。
-
開発者の対応: 自身のアプリケーションが鍵交換に何を使っているか(ECDHなのか、PSKなのか、Kerberosなのか)を再確認し、PQCなKEMへの置き換えを設計する必要があります。
2. インベントリ(棚卸し)の自動化需要
- DoDは全システムに対して「あらゆる種類の暗号」のインベントリ作成を求めています
- CBOM(Cryptography Bill of Materials)のようなツールや、ソースコード/バイナリをスキャンして暗号ライブラリの使用箇所を特定する自動化ツールの需要が急増すると予想されます?!
3. 中央集権的な承認プロセス
- PQC関連技術のテスト、パイロット、導入を行う場合、事前にDoD CIO PQC局(Dr. Britta Hale)への報告と承認(Intake Approval)が必要です
- 承認プロセス:
- Intake Approval: テスト・評価・パイロット・投資・使用・調達の前に必要
- Deployment Approval: 実際の展開前に必要(IC、NIST、NSAの認証結果を踏まえて発行)
- 勝手な 「オレオレ耐量子実装」や「未承認アルゴリズム」の導入 は、コンプライアンス違反 となります
4. 技術選定の考慮事項
- 本覚書は、CNSS Policy #15(2024年12月)と統合参謀本部指示6510.02(2022年8月16日)の要件に追加されるものです
- 量子耐性または量子レジリエントとして説明される技術も、すべて承認プロセスの対象です
4. 結論
この覚書は、米国の防衛システムにおいて 「QKDなどの物理層セキュリティではなく、NIST標準のアルゴリズムベースPQCを採用する」 という最終決断を下した文書と言えます。
2030年という期限は、インフラの刷新サイクルを考えると「待ったなし」のスケジュールです。共通鍵暗号の高速性を活かしつつ、鍵交換には最新のPQC標準を組み込む 「正しいハイブリッド実装」 が、今後の開発のスタンダードとなります。
参考情報
- 原文書: Preparing for Migration to Post Quantum Cryptography (DoD CIO)
-
情報サイト: https://cybersecurityks.osd.mil/DoDcs/pqc
- 注:DoD内部向けサイトのため一般アクセス不可の可能性あり..というか、できないw
注意事項
本記事は技術解説を目的としており、法的助言ではありません。実際の実装においては、最新の公式ガイダンスを参照し、必要に応じて専門家に相談してください。
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。