「暗号の2030年問題に向けた現在地」の脇道 - PQC Algorithms（その2）

Posted at 2025-12-25

暗号好きですか？（既視感

GMOコネクト執行役員CTO 菅野哲（かんのさとる）でございます。

クリスマスイブに「暗号の2030年問題に向けた現在地 — TLSにおけるPQC対応の今」って記事が公開されたのですが、書ききれなかったことをQiitaの方で書いてみようと思います！

このダッシュボードで確認できる内容としては、以下のような観点についてスキャン結果を知ることができます。

で、唐突ですが、その2として「PQC Algorithms」について、脇道に逸れてみたいと思います。

PQC Algorithms

このPQC Algorithmsの円グラフを見てくれ？こいつをどう思う？
その結果が 圧倒的すぎて逆に清々しい（そして一部、技術的に非常に興味深い） 内容だったので共有します！

まず目を引くのが、X25519MLKEM768が138,627件（99.9%） という圧倒的な数値です。円グラフがほぼ単色になっているのも頷けます。

ここで重要なのは、この「X25519MLKEM768」が何を意味するかです。これはハイブリッド鍵共有アルゴリズムで、以下の2つを組み合わせています：

X25519：現行の楕円曲線Diffie-Hellman鍵交換（ECDHE）で楕円曲線としてCurve25519を利用
MLKEM768：NIST標準化されたPQC KEM（Key Encapsulation Mechanism）。旧称Kyberのセキュリティレベル3相当

ハイブリッドアプローチの利点は、量子計算機が実用化されても、現行暗号が破られても、どちらか一方が安全である限り全体として安全性が保たれる点です。まさに「二重の保険」戦略ですね。

この99.9%という数値は、PQC対応を実装しているサイトのほぼ全てが、このハイブリッドアプローチを採用していることを示しています。これは非常に健全な傾向です。

興味深いのが、SECP256R1MLKEM768（100件、0.1%） と SECP384R1MLKEM1024（90件、0.1%） の存在です。

これらは以下の組み合わせです：

X25519ではなくNIST曲線（SECPxxxR1）を採用している理由として、以下が考えられます：

SECP384R1MLKEM1024を採用している90件は、より高いセキュリティレベル（192ビット相当）を求めている可能性があり、意識が高すぎて素敵ですね！

最も興味深い（そしてちょっと心配な）のが、MLKEM512、MLKEM768、MLKEM1024が各2件（0.0%） 存在する点です。

これらはハイブリッドではない、純粋なPQC KEMです。つまり、従来の楕円曲線暗号との組み合わせなしで、PQCのみを使用していることになります。

技術的考察：

これらが各2件しか観測されていない理由として：

純粋なMLKEM実装は、量子計算機には強いですが、実装上のバグや未知の古典的攻撃に対する保険がありません。現時点ではハイブリッドアプローチが強く推奨されます。

今回の調査から、以下の実態が明らかになりました：

PQC移行は「いつか」ではなく「今」始めるべきフェーズに入っています。99.9%という数値は、すでに主要なクラウドプロバイダーやCDNがPQC対応を進めている証拠です。

「うちもPQC対応したい！」と思った方、まずはサーバ側のTLS実装（OpenSSL 3.x系、BoringSSL、AWS-LCなど）がMLKEMをサポートしているか確認してみましょう。

最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。