Cisco Systems Japan Advent Calendar 2025

2025年現在における PQC と QKD の実情と比較

Last updated at 2025-12-14Posted at 2025-12-14

この記事は Cisco の同志による Advent Calendar の一部として投稿しています。

本記事は2025年版 Advent Calendar の13日目の投稿です。

1. なぜ PQC や QKDが必要なのか

現代暗号の安全性は、解読するための計算に非常に時間がかかるということによって担保されています。しかし、量子コンピュータが発展することによって、従来の暗号方式が破られるおそれがあります。特に、現在公開鍵暗号において広く使われている RSA 暗号や楕円曲線暗号は、Shor のアルゴリズムという量子アルゴリズムによって高速に解けることが知られています。そこで、量子コンピュータに耐えられる暗号である PQC (Post-Quantum Cryptography) や量子の特性を活用することによって盗聴を検知できる QKD (Quantum Key Distribution) が注目されています。

2. なぜ「今から」対策していく必要があるのか

　量子コンピュータが実用化し現代の暗号を破ることができるようになる時期については、専門家の間でも意見が分かれていますが、2035〜2050年ごろではないかと言われています。では、量子コンピュータが実用化する2035年以降に、 PQC や QKD を導入していけば良いのでしょうか？答えは No です。理由は大きく２つあります。
　１つ目の理由は、ハードウェアの交換サイクルを考慮する必要があるからです。仮に2034年にインフラの更改を済ませ、2035年に量子コンピュータが実用化したとします。いくら量子コンピュータによる暗号解読のリスクがあるからといって、急遽予算をとり、昨年公開したばかりのインフラを再度更改するのは現実的ではありません。このように、ハードウェアの交換サイクルを意識し、数年単位で先手の対応をしていく必要があります。
　２つ目の理由は、 Harvest Now decrypt Later (HNDL) 攻撃を考慮する必要があるからです。¹ Harvest Now decrypt Later を直訳すると、「今収穫し、後で解読する」となります。たとえ量子コンピュータが実用化する前であっても、今のうちに暗号化された通信を保存しておき、将来まとめて復号するといった攻撃が考えられます。特に、数年後にも解読されたくないような機密情報を扱う場合には、この HNDL 攻撃についても考慮する必要があります。

3. PQC (Post-Quantum Cryptography)

3.1 PQC とは？

PQC は Post-Quantum Cryptography の略で、日本語では耐量子計算機暗号といいます。読んで字の如く、量子計算機に耐えられる暗号のことで、量子コンピュータを用いても解くのが困難であると考えられている、格子問題といった数学問題に基づく暗号方式です。

3.2 NIST による標準化

米国の標準化団体である NIST (National Institute of Standards and Technology) は、2024年にPQC標準として、以下のFIPSを公開しています。²³⁴

FIPS 203：ML-KEM（鍵共有/鍵確立の中核）
FIPS 204：ML-DSA（署名）
FIPS 205：SLH-DSA（署名：ハッシュベース）

4. QKD (Quantum Key Distribution)

4.1 QKD とは？

QKD (Quantum Key Distribution) は、量子の性質を活用することで盗聴を検知し、安全に鍵配送を行う方式です。先に挙げた計算量による安全性ではなく、情報理論的安全性を達成できるとしてミッションクリティカルな領域で特に注目されています。なお、QKD はあくまで鍵の配送を担っており、実際の通信の暗号化や認証の設計は別途必要となります。

4.2 導入・運用でのハードル

QKD では、量子鍵配送装置や量子通信路といった、新規設備の導入が必要なため、PQC と比較すると導入のコストやハードルは高いです。また、QKD ネットワークでは、伝送距離を伸ばすためにトラステッドリピータを使う構成が一般的ですが、これも信頼境界の観点などから導入のハードルとなります。⁵

5. PQCとQKDの比較

PQC と QKD はいずれも量子コンピュータ時代における公開鍵暗号の危殆化対策として挙げられるものではありますが、競合するものというよりは補完関係にあるものといえます。下記は PQC と QKD の「守る対象」、「安全性」、「導入の容易さ」、「制約」、「2025年現在の優先度」に関する比較表です。

観点	PQC	QKD
守る対象	エンドポイントからインターネット全域まで（HW SUDI/TLS/VPN等）	特定区間・特定用途
安全性	耐量子計算機水準の計算量的安全性	情報理論的安全性
導入の容易さ	ソフトウェアアップデートや相互接続試験が中心で比較的容易	装置・回線・信頼境界の再設計などが必要でハードルが高い
制約	実装・互換性・性能	距離・鍵レート・回線要件・ノード信頼など
2025年現在の優先度	高	限定的

上記のとおり、PQC はエンドポイントからインターネット全域にいたる幅広い対象に対して、比較的容易に耐量子計算機水準の計算量的安全性を提供できるため、2025年現在における優先度は QKD より高いといえます。一方で、防衛・金融・医療といった、情報の価値が高くミッションクリティカルな業界においては、情報理論的安全性の実現に向けて、並行して QKD の導入も検討していくべきかもしれません。

6. 2025年現在における Cisco のPQC対応状況

Cisco PQC 対応状況について、(1) いま導入できる移行期の現実解（PPK/SKIP）、(2) 標準PQC（ML-KEM/ML-DSA等）への本格移行、(3) 装置の信頼基盤（Trust Anchor / Secure Boot）のPQC化と、タイムラインごとにまとめます。⁶⁷

6.1 いま導入できる移行期の現実解（PPK/SKIP）

　今から導入できる PQC ソリューションの代表例が、IKEv2/IPsec における PPK（Post-Quantum Preshared Key）です。RFC 8784では、鍵導出に際して追加の事前共有鍵（PPK）を混ぜることで、耐量子なセッション鍵を共有する設計を定義しています。⁸ CiscoのIOS XE設定ガイドでは、RFC 8784とCisco SKIP（Secure Key Integration Protocol）を実装していることが明記され、設定例と確認方法まで含めて公開されています。⁹¹⁰
　ただし、PPKは標準PQC（ML-KEM等）そのものではなく、あくまで移行期のリスク低減策として位置づけるのが適切です。運用上はPPKの生成・配布・ローテーション・監査がボトルネックになり得るため、PoCで“動く”を確認したあとに、鍵管理をどう設計に落とすかが肝になります。⁶⁷

6.2 標準PQC（ML-KEM / ML-DSA 等）への本格移行

PQC の本筋は、NIST 標準の ML-KEM / ML-DSA などを、TLS / SSH / VPN / 署名/ PKI の各所に組み込んでいくことです。Ciscoは Trust Center の PQC ページや関連ホワイトペーパーで、量子計算が暗号へ与える影響と、PQC 移行の考え方（暗号アジリティ、段階的な移行、対象の棚卸しなど）を体系立てて公開しています。⁶⁷ 一方、ネットワークの世界では相互接続が最優先です。移行期の設計パターンとしては、古典 KEXとPQC KEMを組み合わせるハイブリッド鍵交換が重要になり、TLS 1.3のハイブリッド設計は IETF で文書化が進んでいます。¹¹

6.3 装置の信頼基盤（Trust Anchor / Secure Boot）のPQC化

通信路の暗号だけでなく、装置そのものの信頼（Secure Boot / Trust Anchor）が崩れると、ネットワーク全体の前提が崩れます。Ciscoは「Post-Quantum Trust Anchors」ホワイトペーパーで、量子時代の脅威と対策を整理しつつ、Trust Anchor Technologies が製品信頼の基盤であること、そして量子耐性へ向けた要素技術を説明しています。¹² また、Cisco Live の公開資料でも“PQC Secure Boot”への言及があり、ルート・オブ・トラストから量子安全を積み上げる方向性が示されています。¹³ 加えて、量子時代に向けたビジョン文書でも、量子安全な Secure Boot を含む整理が提示されており、「変更しづらい基盤から先に固める」という戦略が公開情報から読み取れます。⁷¹²¹³

7. CloudflareでPQC鍵共有が有効になってるかを確認してみる

　ここまでで述べたとおり、PQCは「将来の技術」ではなく、すでにインターネットの一部では実運用に入り始めています。ここでは、手元のPCだけでPQCを使った鍵共有が実際に有効になっているかを確認してみます。まずは、下記リンクから Cloudflare Research: Post-Quantum Key Agreement にアクセスし、お使いの端末から Cloudflare 間の接続で PQC を含む鍵共有が有効になっているかを確認します。
Cloudflare Research: Post-Quantum Key Agreement（チェッカー）¹⁴
　このページは、あなたの接続において「耐量子鍵共有が有効かどうか」を表示してくれます。もし緑色の文字で**“post-quantum secure”**と表示されていれば、クライアントと Cloudflare のエッジ間で HNDL（Harvest Now, Decrypt Later）リスクを意識した鍵共有が行われている、と理解できます。¹⁵

一方で、赤色の文字で**“not post-quantum secure”**と表示されている場合、あなたの端末とCloudflareのエッジ間で耐量子鍵共有が無効になっています。

　また、注意点として、このチェッカーはプロキシやSSL復号の影響を強く受けます。たとえば、企業ネットワークで TLS インスペクションが入っていると、ブラウザから見える終端が社内の中継点となり、Cloudflare 側との鍵共有がそのまま観測できないことがあります。¹⁴

8. まとめ

　本記事では、量子コンピュータの発展が RSA/ECC といった既存の公開鍵暗号に与える影響を出発点に、なぜ PQC や QKD が必要なのか、そしてなぜ「量子コンピュータが実用化してから」では遅いのかを、HNDL（Harvest Now, Decrypt Later）の観点も含めて整理しました。¹ PQC は NIST により標準化が進んでおり、インターネットの一部ではすでにハイブリッド方式として展開が進みつつあります。²³⁴¹⁵ 一方で、QKD は情報理論的安全性という魅力がある反面、設備・回線・信頼境界まで含めた設計が必要になり、ユースケースが合う区間に絞って検討するのが現実的です。⁵
　PQC への取り組みは「今すぐ導入しやすい移行期の現実解」と「標準PQCを本線として組み込む中長期対応」を並行して進める形で整理できます。具体的には、移行期の対策として PPK（RFC 8784）や SKIP により VPN/IPsec を量子安全へ寄せられること、同時に NIST によって標準化された ML-KEM/ML-DSA 等を前提に、相互接続性を確保しながら段階的に実装・移行していく考え方が示されています。⁶⁷⁸⁹¹⁰ さらに、通信路の暗号だけでなく、装置の信頼基盤（Trust Anchor / Secure Boot）のようなハードウェアセキュリティから量子安全を積み上げていく必要があります。⁷¹²¹³
　PQC と QKD は、守れる対象や前提条件（コスト・運用・信頼境界）が異なり、競合するものというより補完関係にあります。したがって 2025 年現在においては、まずは PQC を主軸に暗号インベントリの棚卸しをし、HNDL 観点での優先順位付けを行い、移行可能な領域から段階的に適用していくのが現実的です。そのうえで、QKD はユースケースが明確に合う区間に限定して検討し、PQC と併走させていくという形が、既存の IP ネットワークと共存させながら量子時代へ移行していくうえでの一つの指針になると考えます。

免責事項
本サイトおよび対応するコメントにおいて表明される意見は、投稿者本人の個人的意見であり、Cisco の意見ではありません。本サイトの内容は、情報の提供のみを目的として掲載されており、Cisco や他の関係者による推奨や表明を目的としたものではありません。各利用者は、本 Web サイトへの掲載により、投稿、リンクその他の方法でアップロードした全ての情報の内容に対して全責任を負い、本 Web サイトの利用に関するあらゆる責任から Cisco を免責することに同意したものとします。

Cloudflare Blog, State of the post-quantum Internet in 2025 https://blog.cloudflare.com/ja-jp/pq-2025/ ↩ ↩²
NIST CSRC, FIPS 203 (Final): ML-KEM (2024-08-13) https://csrc.nist.gov/pubs/fips/203/final ↩ ↩²
NIST CSRC, FIPS 204 (Final): ML-DSA (2024-08-13) https://csrc.nist.gov/pubs/fips/204/final ↩ ↩²
NIST CSRC, FIPS 205 (Final): SLH-DSA (2024-08-13) https://csrc.nist.gov/pubs/fips/205/final ↩ ↩²
NIST, Worldwide standardization activity for quantum key distribution (2014) https://www.nist.gov/document/worldwide-standardization-activity-quantum-key-distribution ↩ ↩²
Cisco Trust Center, Post-Quantum Cryptography https://www.cisco.com/site/us/en/about/trust-center/post-quantum-cryptography.html ↩ ↩² ↩³ ↩⁴
Cisco, A Vision for Securing Networks in the Quantum Compute Era (PDF) https://www.cisco.com/c/dam/en/us/products/switches/securing-networks-quantum-compute-era.pdf ↩ ↩² ↩³ ↩⁴ ↩⁵ ↩⁶
RFC Editor, RFC 8784: Mixing Preshared Keys in IKEv2 for Postquantum Security https://www.rfc-editor.org/rfc/rfc8784.html ↩ ↩²
Cisco, Configuring Quantum-Safe Encryption Using Postquantum Preshared Keys (PPK) https://www.cisco.com/c/ja_jp/td/docs/routers/ios/config/17-x/sec-vpn/b-security-vpn/m-sec-cfg-quantum-encryption-ppk.html ↩ ↩²
IETF Datatracker, draft-cisco-skip-02: Secure Key Integration Protocol (SKIP) https://datatracker.ietf.org/doc/draft-cisco-skip/02/ ↩ ↩²
IETF Datatracker, Hybrid key exchange in TLS 1.3 (draft-ietf-tls-hybrid-design-16) https://datatracker.ietf.org/doc/draft-ietf-tls-hybrid-design/16/ ↩
Cisco, Post-Quantum Trust Anchors White Paper (PDF) https://www.cisco.com/c/dam/en_us/about/doing_business/trust-center/docs/post-quantum-trust-anchors-wp.pdf ↩ ↩² ↩³
Cisco Live 2025, BRKARC-1012 Investment Protection with Catalyst 9000 Series Switches (PDF) https://www.ciscolive.com/c/dam/r/ciscolive/global-event/docs/2025/pdf/BRKARC-1012.pdf ↩ ↩² ↩³
Cloudflare Research, Post-Quantum Key Agreement https://pq.cloudflareresearch.com/ ↩ ↩²
Cloudflare Blog, State of the post-quantum Internet in 2025 https://blog.cloudflare.com/pq-2025/ ↩ ↩²

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up