暗号好きですか?
GMOコネクトでCTOしている菅野 哲(かんの さとる)でございます。
今回は、オーストラリア政府がぶっ込んできたドキュメントを取り上げて解説しておりますので、よろしくお願いします。
はじめに
「今日暗号化したデータが、10年後に解読される」
――これはSFではなく、世界中のセキュリティ専門家が警告している現実のシナリオです。
「うちはまだ大丈夫」と思っていませんか?
実は、攻撃者は今この瞬間も暗号化された通信を収集し、将来の量子計算機で解読する日を待っています。これが「Harvest Now, Decrypt Later(今収穫し、後で解読)」攻撃です。
この脅威に対し、オーストラリア政府(ASD/ACSC)は、衝撃的な方針を打ち出しました:
「2030年末までに、従来の公開鍵暗号をすべて廃止せよ」
📌 この記事でわかること
- なぜ「2030年」がデッドラインなのか ― Y2K以来の"暗号総入れ替え"
- オーストラリア政府が提唱する「LATICEフレームワーク」の5ステップ
- 「2030年は本当に間に合うのか?」専門家の見解と現実的なアプローチ
🎯 対象読者
- 「PQCって聞いたことはあるけど、何から始めればいいかわからない」エンジニア
- セキュリティ担当として経営層に説明する必要がある方
- 海外のセキュリティ動向をウォッチしている方
本シリーズは3部構成です:
- 第1部(本記事): 概要とLATICEフレームワーク
- 第2部: NIST標準と国際動向
- 第3部: 実装課題と推奨事項
オーストラリア政府の公式ガイド「Planning for Post-Quantum Cryptography」を、日本語で読める形に翻訳・解説してお届けします。
エグゼクティブサマリー
「忙しくて全部読めない!」という方のために、30秒で読める要点をまとめました。
| 項目 | 内容 |
|---|---|
| 発表元 | Australian Signals Directorate (ASD) / Australian Cyber Security Centre (ACSC) |
| 核心メッセージ | 2030年末までに従来の非対称暗号(RSA、ECDSA等)の使用を完全停止 |
| 推奨フレームワーク | LATICE(Locate → Assess → Triage → Implement → Communicate) |
| 採用標準 | NIST FIPS 203/204/205準拠のPQCアルゴリズム |
| QKDの評価 | 現時点では非推奨(実用性の制約から) |
一言で言うと:
- 「量子計算機が実用化される前に、暗号を全部入れ替えろ。計画は今すぐ始めろ」 ってことですw
CRQC脅威:なぜ今、行動が必要なのか
量子計算機が「暗号の終わり」をもたらす日
量子計算機(Quantum Computer)は、従来のコンピュータとは根本的に異なる計算原理で動作します。そして、暗号解読において破壊的な能力を持っています。
Shorのアルゴリズムにより、以下の暗号が「多項式時間」で解読可能になります:
| アルゴリズム | 依存する数学的問題 | 量子計算機による影響 |
|---|---|---|
| RSA | 整数の素因数分解 | ❌ 解読可能 |
| ECDSA | 楕円曲線離散対数問題 | ❌ 解読可能 |
| DH/ECDH | 離散対数問題 | ❌ 解読可能 |
「いつ実用化されるの?」という質問に対する答えは、誰にもわからないというのが正直なところです。しかし、専門家の多くは「2030年代のどこかで」と予測しています。
Harvest Now, Decrypt Later:すでに始まっている攻撃
ここで、最も恐ろしいシナリオをお伝えします。
あなたの会社で起きるかもしれないこと:
2035年のある日、監査法人から連絡が入る。
「御社の2024年の取締役会議事録が、ダークウェブで公開されています」
調査の結果、判明した事実:
- 2024年当時、攻撃者がVPN通信を傍受・保存していた
- 2034年に実用化された量子計算機で、保存データを解読
- M&A交渉の機密情報が競合他社に流出
暗号が破られた時点では、もう手遅れなのです。
だからこそ、今日暗号化するデータが問題になります。以下のようなデータは、10年後も価値を持ち続けます:
- 📋 医療記録 ― 患者のプライバシーは生涯続く
- 💰 金融情報 ― 取引履歴、口座情報
- 🔒 国家安全保障関連 ― 機密情報の寿命は数十年
- 💡 知的財産 ― 特許出願前の研究データ
これらのデータは、今すぐ量子耐性暗号で保護する必要があります。
PQCとは何か:量子時代の「新しい鍵」
Post-Quantum Cryptography(PQC)の基本
PQCは、古典計算機と量子計算機の両方に対して安全な暗号アルゴリズムです。
重要なのは、PQCは「量子技術を使った暗号」ではないということ。従来のコンピュータで動作する、新しい数学的問題に基づく暗号です。
従来の暗号(RSA、ECC等)
- 基盤: 素因数分解、離散対数問題
- → 量子計算機で解読可能 ❌
PQC(ML-KEM、ML-DSA等)
- 基盤: 格子問題、ハッシュ関数等
- → 量子計算機でも解読困難 ✅
主要なPQCアプローチ
| アプローチ | 特徴 | 代表的アルゴリズム | 状態 |
|---|---|---|---|
| 格子ベース | 高速、バランスが良い | ML-KEM、ML-DSA | ✅ NIST標準化済 |
| ハッシュベース | 保守的、安全性仮定が単純 | SLH-DSA | ✅ NIST標準化済 |
| 符号ベース | 歴史が長い | Classic McEliece | 🔄 標準化進行中 |
| 多変数多項式 | 署名サイズが小さい | - | 🔬 研究段階 |
ASD/ACSCの基本方針
Information Security Manual (ISM)
オーストラリア政府は、Information Security Manual (ISM) を通じてPQC移行のガイダンスを提供しています。
ISMは単なる「推奨」ではなく、オーストラリア政府機関にとっては遵守義務があります。そして民間企業にとっても、ベストプラクティスとして参照されています。
なぜQKD(量子鍵配送)は推奨されないのか
「量子暗号」と聞くと、Quantum Key Distribution(QKD)を思い浮かべる方も多いでしょう。しかし、ASDは現時点ではQKDを推奨していません。
QKDの実用上の制約:
- 📏 距離制限 ― ファイバー減衰により長距離伝送が困難
- 💸 高コスト ― 専用ハードウェアが必要
- ⚠️ 可用性 ― 大規模展開が困難
- 📈 スケーラビリティ ― インターネット規模での運用は現実的でない
ASDの結論: PQCの方が、実用的かつコスト効果の高いアプローチ
LATICEフレームワーク:5ステップで進めるPQC移行
ACSCは、PQC移行のためにLATICEフレームワークを提唱しています。これは5つのフェーズで構成される、体系的なアプローチです。
L - Locate(特定)
A - Assess(評価)
T - Triage(優先順位付け)
I - Implement(実装)
C - Communicate(コミュニケーション)
E - (Eは含まれていませんが、語呂合わせとして)
フェーズ1: Locate(特定)― 暗号資産の棚卸し
目的: 環境内のすべての暗号使用箇所を特定する
これが最も地味で、最も重要なステップです。
実施内容:
- アプリケーション、IT機器、OT機器のインベントリ作成
- 従来の非対称暗号の使用箇所の特定
- Cryptographic Bill of Materials (CBOM) の作成
# 実践例: システム内の証明書を検索
find / -name "*.pem" -o -name "*.crt" 2>/dev/null
# TLS接続で使用されているアルゴリズムを確認
openssl s_client -connect example.com:443 -showcerts
⚠️ よくある失敗
「証明書管理ツールで管理している分だけ調べればOKでしょ」
→ 実際には、以下が見落とされがちです:
- 開発者が個人的に作ったスクリプト内のハードコードされた鍵
- 忘れ去られたIoTデバイスの暗号化
- サードパーティライブラリ内の暗号処理
- レガシーシステムの独自暗号実装
ワイが聞いた事例: 過去のプロジェクトで、3ヶ月かけて作ったインベントリに後から50件以上の漏れが見つかり、冷や汗をかいたというあるあるな話題です。
なので、最初から「漏れがある前提」で計画を立てることをお勧めします。
CBOMの例:
{
"asset_id": "WEB-001",
"type": "TLS Server",
"location": "api.example.com:443",
"algorithms": {
"key_exchange": "ECDHE-P256",
"signature": "RSA-2048",
"encryption": "AES-256-GCM"
},
"priority": "HIGH",
"pqc_ready": false
}
フェーズ2: Assess(評価)― リスクの見極め
目的: 影響を受けるシステムとデータの機密性・価値を評価する
すべてのシステムを同時に移行することは不可能です。だからこそ、リスクベースの評価が重要になります。
評価軸:
| 軸 | 高リスク | 中リスク | 低リスク |
|---|---|---|---|
| データの機密性 | TOP SECRET、個人情報 | 社内機密 | 公開情報 |
| データの寿命 | 5年以上 | 1-5年 | 1年未満 |
| システムの重要度 | ミッションクリティカル | ビジネスクリティカル | 一般業務 |
優先度マトリックス:
| データ寿命 / 機密性 | 高 | 中 | 低 |
|---|---|---|---|
| 長期(5年以上) | 🔴 最優先 | 🟠 高優先 | 🟡 中優先 |
| 中期(1-5年) | 🟠 高優先 | 🟡 中優先 | 🟢 低優先 |
| 短期(1年未満) | 🟡 中優先 | 🟢 低優先 | 🟢 低優先 |
フェーズ3: Triage(優先順位付け)― 戦略的な順序決定
目的: 重要度と移行難易度に基づいて、対応順序を決定する
ここでのポイントは、「重要だから先」ではなく「重要かつ実現可能なものから先」 という考え方です。
推奨される波状アプローチ:
| 波 | 優先度 | 対象システム |
|---|---|---|
| 第1波 | 高価値・低複雑性(Quick Win) | 新規構築システム、クラウドTLS設定、証明書更新タイミング |
| 第2波 | 高価値・中複雑性 | VPN接続、PKI基盤、コード署名 |
| 第3波 | 中価値・高複雑性 | レガシーシステム、組込みシステム、IoTデバイス |
フェーズ4: Implement(実装)― 実際の移行作業
目的: PQCアルゴリズムをシステムに適用する
実装の3つの戦略:
1. 標準化されたライブラリの使用
# 概念的なML-KEMの使用例(Python風疑似コード)
from cryptography.hazmat.primitives.asymmetric import ml_kem
# 鍵ペア生成
private_key = ml_kem.ML_KEM_768.generate_private_key()
public_key = private_key.public_key()
# 鍵カプセル化(送信側)
ciphertext, shared_secret = public_key.encapsulate()
# 鍵デカプセル化(受信側)
recovered_secret = private_key.decapsulate(ciphertext)
2. 段階的移行
- 非本番環境でのテスト
- パイロットプロジェクトの実施
- 段階的なロールアウト
- モニタリングと調整
3. ハイブリッドアプローチ(過渡期)
PQC + Traditional(ハイブリッド)
- 両方のアルゴリズムを並行使用
- 後方互換性を確保
- ⚠️ 注意: 最終的な解決策ではない(Traditional部分は依然として脆弱)
フェーズ5: Communicate(コミュニケーション)― 組織全体の巻き込み
目的: ステークホルダーへの継続的な教育とコミュニケーション
技術だけでは移行は成功しません。組織全体の理解と協力が不可欠です。
| 対象 | 伝えるべき内容 | 頻度 |
|---|---|---|
| 経営層 | ビジネスリスク、投資対効果、規制動向 | 四半期ごと |
| 技術チーム | 技術詳細、実装ガイド、トレーニング | 月次 |
| エンドユーザー | サービス影響、変更スケジュール | 変更時 |
| ベンダー | PQC要件、タイムライン、SLA更新 | 契約更新時 |
移行タイムライン:2030年は本当に間に合うのか?
ASD/ACSCは、以下の段階的タイムラインを提示しています。
公式タイムライン
| 期限 | フェーズ | 必須アクション |
|---|---|---|
| 2026年末 | 計画策定 | PQC移行計画の策定、セキュリティ目標の明確化、ベンダー協議、教育開始 |
| 2028年末 | 実装開始 | 最重要システムからPQC実装開始(VPN、TLS、コード署名、PKI、バックアップ) |
| 2030年末 | 完全移行 | 全システムでPQC移行完了、従来暗号の使用停止、ASD承認アルゴリズムのみ使用 |
| 2030年以降 | 継続監視 | PQC実装の監視・検証、脆弱性監視、Crypto-Agilityの維持 |
正直な話:専門家の見解
ここで筆者の個人的な見解を述べさせてください。
結論から言うと、大企業の完全移行は2030年には間に合わない可能性が高いと考えています。
Post-Quantum Cryptography Coalition(MITRE、Microsoft、IBM等)の見解:
「PQCへの移行は複雑なプロセスであり、典型的な大企業では完了まで複数年を要する」
現実的な見積もり:
| 組織規模 | 移行期間(専門家の推定) |
|---|---|
| 小規模組織(100人未満) | 3〜5年 |
| 中規模組織(100〜1,000人) | 5〜7年 |
| 大規模組織(1,000人以上) | 7〜10年以上 |
Y2K対応との比較:
- Y2Kは「日付処理」という比較的単純な問題
- PQC移行は「暗号基盤の全面的な置き換え」
- Y2Kですら実質10年かかった
- PQC移行はそれ以上かかる可能性
では、どうすればいいのか?
タイムラインの実現可能性に関わらず、即座の行動が不可欠です。
その理由:
-
Harvest Now, Decrypt Later攻撃は今日も進行中
- 待てば待つほど、解読されるデータが増える
-
2030年を「完了期限」ではなく「高リスク資産の保護期限」と捉える
- すべてを間に合わせる必要はない
- 重要なものから順に守る
-
早期開始のメリット
- 経験とノウハウの蓄積
- ベンダーとの協力関係構築
- 段階的な予算配分が可能
理想的タイムライン(ASD): 2028-2030(2年間で完全移行)
vs
現実的タイムライン(専門家): 2025-2035(10年間)
推奨: 今すぐ開始 + 柔軟な計画 + リスクベースの優先順位付け
まとめ:明日からできる3つのアクション
長い記事を読んでいただきありがとうございました。
「全部は覚えられない!」という方のために、明日からできることを3つに絞りました:
🎯 アクション1: 自社の「機密データの寿命」を考える
10年後も価値があるデータは何か?リストアップしてみてください。
- M&A情報、経営戦略
- 顧客の個人情報、医療記録
- 特許出願前の研究データ
- 長期契約の詳細
🎯 アクション2: ベンダーに1通メールを送る
以下のテンプレートをコピペして送るだけです:
件名: PQC(Post-Quantum Cryptography)対応ロードマップについて
ご担当者様
弊社では、量子計算機の脅威に備えたPQC移行の検討を開始しております。
御社製品・サービスのPQC対応ロードマップについて、
以下の点をご教示いただけますでしょうか。
1. PQC対応の予定時期
2. 対応予定のアルゴリズム(ML-KEM、ML-DSA等)
3. 移行に際して必要な作業・コスト
ご多忙のところ恐れ入りますが、よろしくお願いいたします。
🎯 アクション3: 社内で「PQC」という単語を1回使う
認知がすべての始まりです。次のミーティングで、こう言ってみてください:
「最近、オーストラリア政府が2030年までにPQC移行を求めるガイダンスを出したんですが、うちは大丈夫ですかね?」
次回予告
第2部では、NIST標準の技術的詳細と各国の動向比較を解説します。
- 「ML-KEM、ML-DSA、SLH-DSAって具体的に何が違うの?」
- 「なぜオーストラリアはNIST標準に準拠するのか?」
- 「日本のCRYPTRECはどう動いているのか?」
- 「米国、英国、EUのタイムラインは?」
これらの疑問にお答えします。
議論しましょう!
この記事を読んで、あなたの組織のPQC対応状況はいかがでしたか?
- 「うちはもう動き始めている」
- 「正直、初めて聞いた」
- 「ベンダー任せで大丈夫だと思ってた」
- 「2030年は無理だと思う」
ぜひコメント欄で教えてください!
また、この記事が参考になったら、いいね・ストックをお願いします 🙏
参考資料
- Australian Cyber Security Centre: Planning for Post-Quantum Cryptography
- ACSC Annual Cyber Threat Report 2024-25
- NIST Post-Quantum Cryptography Standardization
- Post-Quantum Cryptography Coalition
シリーズ記事
- 【2030年問題】オーストラリア政府が突きつけた"暗号全取替え"の衝撃 ― LATICEフレームワーク完全解説(本記事)
- オーストラリア政府のPQC移行方針 (2/3): NIST標準と国際動向
- オーストラリア政府のPQC移行方針 (3/3): 実装課題と推奨事項
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。
お問合せ: https://gmo-connect.jp/contactus/