こんばんは!
GMOコネクト 執行役員CTOな菅野 哲(かんの さとる)です。
今回は、PQC(Post-Quantum Cryptography)に関する技術動向シリーズとして、GSMAのPQTN(Post Quantum Telco Network)関連文書、その中でも特に注目度が高い PQ.05(4G/5Gローミングの量子耐性) を、実装目線で整理します。
※GSMA(GSM Association)は、世界中の携帯電話事業者を中心に、端末メーカや関連企業が加盟するモバイル業界の国際的な業界団体です。
TL;DR(忙しい人向け)
PQ.05の最優先は「署名」より先に「鍵交換(KEX)」です。理由は HNDL(Harvest Now, Decrypt Later) が"今すぐ"効くからです。5Gローミングの要は SEPP間のN32(N32-c/N32-f) で、ここで使われるTLS/IKE系の鍵確立が古典DH/ECDH依存だと、将来CRQCで"あとから復号"され得ます。
対策の中心は TLS 1.3 / IKEv2 / IPsec の鍵確立を量子耐性(KEM/ハイブリッド/PSK混合)へ寄せることです。署名(PKI/証明書/JWS)は重要ですが、HNDLの文脈では「機密性」ほど切迫していないケースが多く、とはいえ PKI移行は時間がかかるので着手は今すぐ必要です。
1. 背景:なぜTelcoでPQCが"急に現実"になったのか
量子計算機(Quantum Computer)の進展は、現在の公開鍵暗号(特にDH/ECDH/RSA/ECDSAなど)に対して、中長期で深刻な影響を与えます。
特に通信で問題になりやすいのが HNDL(Harvest Now, Decrypt Later) です。これは攻撃者が「今」暗号化トラフィックを収集・保存しておき、将来CRQC(Cryptographically Relevant Quantum Computer)が利用可能になった時点で復号を試みる攻撃です。
Telcoは「国境を跨ぐ」「中継事業者が入る」「制御プレーンが広域に流れる」という特性があるため、収集点が多いのが現実です。だからHNDLは"机上の空論"になりづらく、対策が急務となっています。
2. GSMA PQTN Task Force とPQシリーズ
GSMAは量子脅威への対処として、PQTN(Post Quantum Telco Network) の枠組みで文書群(PQ.01〜)を公開しています。
PQ.01(Impact Assessment) は通信ネットワーク全体への量子影響を初期整理する文書で、まず現状の棚卸しを行います。PQ.02(Quantum Risk Management) では事業者向けのリスク評価方法論と管理戦略を提示しています。
PQ.03(Telecom Use Cases) は、機密データ発見、暗号インベントリ、移行戦略、標準影響、PKI影響など、"移行は技術だけじゃない"という視点を具体的に示した文書です。PQ.04(IoT Ecosystem) は3GPP接続を使うIoTに焦点を当て、性能制約・運用制約が主役となります。
そして本記事の主役である PQ.05(Quantum-safe Cryptography for 4G and 5G Roaming) は、Version 1.0 / 26 June 2025 として公開され、4G/5Gローミングを CRQCの脅威 から守るための要件・移行戦略を定義しています。
3. PQ.05の結論を先に言う:優先順位はこうなる
PQ.05の主張を"実装優先順位"に落とすと、明確な2段階構成になります。
最優先:鍵交換(KEX)を量子耐性へ(HNDL対策)
HNDLは「今集めて、後で復号」 という攻撃なので、対策は"今"必要になります。したがって、TLS 1.3 / IKEv2 / IPsec でセッション鍵を作る部分(DH/ECDH等)を、量子耐性(KEMやハイブリッド、PSK混合)に寄せることが最優先です。
次のターゲット:PKI/証明書/署名(時間がかかるので着手は早くしたいっ)
署名系は「後で復号」ではなく「将来なりすまし」側の脅威が主です。ただしPKI移行は構築・運用・相互接続の調整が重いため、緊急性はKEXより下でも、着手は最上位で早めに開始することが合理的な戦略となります。
4. 5Gローミング:SEPPとN32(N32-c / N32-f)が戦場
PQ.05の中心は、5Gローミングにおける SEPP(Security Edge Protection Proxy) と N32インターフェース です。
N32インターフェースは2つの役割に分かれます。N32-c はSEPP間のハンドシェイク(制御)を担当し、N32-f はN32-cで確立したセキュリティパラメータを使って、制御プレーンメッセージを保護して転送します。
N32は、加入者情報や認証素材、鍵素材などを運び得るため、漏えいするとプライバシー影響が直撃します。このため、N32の保護は5Gローミングセキュリティの要となっています。
5. SEPP間のセキュリティモード:Direct TLS と PRINS
5.1 Direct TLS
SEPP同士が mTLS で直接つながる想定です。ここでのポイントは「TLSで守る」ではなく、"鍵確立が何に依存しているか" です。DH/ECDHに依存したセッション鍵確立だと、HNDLで将来復号され得ます。
⚠️ 注意:TLS 1.3は暗号スイート名や構成がTLS 1.2と異なります
たとえばECDHE_ECDSA_WITH_AES_128_GCM_SHA256のような表記はTLS 1.2系です(TLS 1.3はTLS_AES_128_GCM_SHA256など)。
なお、PQ.05原文のSection 5.2でもTLS 1.2形式の表記が使われていますが、これは「現在の実装状況の説明」として理解した方が安全です。 TLS 1.3への移行時は正しい表記と仕様に従ってくださいね!
【余談】"Quantum-safe Cryptography for 4G and 5G Roaming Version 1.0"の誤記発見✨
2256bitな素数となると鍵長がめちゃ長いっすね笑
5.2 PRINS(仲介者=IPX等がいる)
仲介者(IPX、ローミングハブ等)が入ると、Hop-by-Hop TLSだけでは仲介者が各ホップで復号できてしまいます。そのため、アプリケーション層でも追加の保護が入ります。
JWE(JSON Web Encryption) は機密属性を暗号化し、AEADで暗号文と認証タグを生成します。JWS(JSON Web Signature) は仲介者が行った変更に対する認証・整合性を提供します(署名)。
JWEで鍵合意(Key Agreement)を使用する場合、一般的にECDH等の古典的な鍵交換が使われるため、これもHNDLの対象になります。したがって JWEの鍵確立も量子耐性へ移行することがテーマになります。
6. IPUPS(Inter-PLMN User Plane Security)
PQ.05では、ユーザプレーン側(例:N9でのGTP-U保護)にも触れています。hUPF/vUPF間の相互認証にX.509を使い、NDS/IPとして IKEv2/IPsec ESP で保護します。さらにGTP-Uとしての不正パケット排除やTEID整合なども要件に含まれます。
ここも結局、IKEv2の鍵交換がDH依存のままだとHNDL耐性が弱い、というのが論点です。
7. 4Gローミング:Diameter(DEA/DRA)と"ホップバイホップ保護の限界"
4GはDiameter(S6a/S6d/S9など)で制御・課金・ローミング情報が流れます。Diameter自体は"デフォルトで機密性/整合性を提供しない"ため、IPsec/TLSでホップバイホップ保護するのが基本です(エンドツーエンドではない点に注意が必要です)。
4G側も、TLS/IPsecの鍵確立が古典DH/ECDHだとHNDLの対象になり得るため、PQC(やハイブリッド/PSK混合)の導入でHNDL緩和という方向性になります。
8. VoNR / VoLTEローミング:IMS+SIP+RTP/SRTP
VoNR/VoLTEはIMSで実現され、SIPがシグナリング、RTP/SRTPがメディアです。
典型的な構成では、S8HR(S8 Home-Routed)アーキテクチャが使われます。シグナリングとメディアの両方がHPLMN(ホームネットワーク)にアンカーされ、制御プレーンはS6a/Nh等のインターフェースを経由し、ユーザプレーンはS8(LTE)またはN9(5G SA/NSA)を経由します。音声セッションには専用のQoSベアラが使用され、QCI 1 が音声トラフィック用、QCI 5 がシグナリング用として割り当てられます。
量子脅威の観点
量子脅威の観点では、2つのポイントがあります。
シグナリング/制御(SIPやDiameter等) では、TLS/IPsecの鍵確立が古典依存ならHNDL対象となります。また IMS AKA手順で認証ベクタがS6a(Diameter)やHTTP/2で転送される際も保護が必要です。
メディア(SRTP等) については、共通鍵暗号自体は量子計算機で"即死"ではありませんが、Groverのアルゴリズムで有効強度が落ちます。したがって、一般に AES-256を選ぶ設計は筋が良い選択です(AES-128は実効強度がより下がります)。
※「AESは量子安全」という雑な言い方は危険です。正しくは "公開鍵ほど壊れ方が致命的ではないが、強度は下がるので鍵長設計が重要" という理解が必要です。
VoLTE/VoNR固有の対策
VoLTE/VoNRでは、鍵交換について現在のDH/ECDHをML-KEMまたはHQC(標準化後)に置き換える必要があります。暗号化では3DESではなくAESを使用し(AES-256を強く推奨)、署名/整合性についてはHMAC/SHAをML-DSA(FIPS 204)またはSLH-DSA(FIPS 205)に移行します。端末側の計算能力を考慮するとML-DSAが有力な選択肢となります。
9. 推奨暗号スイート(VoNR/VoLTE向けの指針)
PQ.05は、VoNR/VoLTE向けのポスト量子暗号スイートとして、以下の方向を示しています(Table 3, p.14より)。Primary/Secondaryは状況・標準化で変動し得るので、実装では追従が必要です。
| 暗号機能 | 現在の選択肢 | Post Quantum (Primary) | Post Quantum (Secondary) |
|---|---|---|---|
| 鍵交換 | DH, ECDH | ML-KEM | HQC |
| 機密性 | 3DES, AES-128, AES-192, AES-256 | AES-256 | - |
| 署名/整合性 | HMAC SHA-1, SHA-256, SHA-512 | ML-DSA | SLH-DSA, FN-DSA |
※この表は原文ではVoNR/VoLTE向けとして記載されていますが、より広い適用範囲(N32保護、IPUPS等)の指針としても理解できます。
10. 依存関係:標準・規制・ベンダー・事業者・ローミングパートナー
PQ.05が現実的なのは、「どれが自分だけで完結しないか」 をちゃんと書いている点です。
3GPP では、N32/SEPP/保護プロファイル/NDS/IP等がTS 33.501、TS 33.210、TS 33.310などで定義されています。IETF では、TLS 1.3(RFC 8446)や今後のKEM/ハイブリッド取り込み、IKEv2/IPsecの量子耐性(例:PSK混合の考え方としてRFC 8784)、そしてJOSE(JWT/JWS/JWE:RFC 7519/7515/7516/7518)とその暗号スイート更新が進行中です。
PKI については、証明書・失効(CRL/OCSP)・運用が長期戦となります。ベンダー実装 では、SEPP/DRA/SecGW/PKI製品が追いつく必要があり、事業者間調整 では、ローミングは"相手がいる"ため、片側だけ先行しても成立しないという現実があります。
11. 移行に向けたアクション
11.1 即時(HNDL対策の主戦場)
最優先は N32(SEPP間)の鍵確立を量子耐性へ寄せることです。TLS 1.3ではKEM/ハイブリッド/PSK混合等の採用を検討し、IKEv2/IPsecではPSK混合や将来のKEM導入の設計余地を確保します。
Diameter等の事業者間インターフェースについても同様に「KEXが何か」を点検する必要があります。"TLS/IPsec使ってます"だけでは不十分です。
JWE使用時の鍵合意方式についても確認が必要で、Key Agreementを使う場合は量子耐性KEMへの移行を検討します。
11.2 中期(PKIがボトルネックになる)
証明書更新(CA/RA/中間/ルート) の移行計画を作る必要があります。移行期間は ハイブリッド/併存(新旧ルート並走) が現実的になりやすく、証明書サイズ増大・拡張領域・機器性能・運用(失効配布)を事前評価することが重要です。
11.3 長期(完全移行)
レガシーを段階的に落とし、PQC(または新標準の安定解)へ収束させます。ただし"完全移行"は外部要因(相互接続・規制・標準化)に支配されやすいため、Crypto Agilityを前提にするのが現実解となります。
12. 結論:落ち着いて粛々と、ただし「優先順位」は間違えない
GSMA PQ.05が強く示しているのは、次の一点です。
HNDLが効くのは「鍵交換(KEX)」 であり、だから最優先は TLS/IKE/IPsecの鍵確立を量子耐性へ 移行することです。署名(PKI/JWS等)は重要ですが、HNDL文脈の緊急度は相対的に下がりやすく、とはいえPKIは時間がかかるため 着手は今すぐ 必要です。
要するに、「KEXを最優先で守る」+「PKIは長期戦として前倒しで着手」 ということです。これが、ローミング領域でPQC移行を成功させる一番現実的な順序です。
参考文献
GSMA公式
- GSMA PQTN Task Force(Post-Quantum)
https://www.gsma.com/solutions-and-impact/technologies/security/post-quantum/ - PQ.05(本文PDF)
https://www.gsma.com/solutions-and-impact/technologies/security/wp-content/uploads/2019/03/PQ.05-Post-Quantum-Cryptography-for-5G-Roaming-use-case-1.pdf
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。