要旨
「量子コンピュータが普及するのは数十年先の話だ」と思っているとしたら、PQC(Post-Quantum Cryptography:耐量子計算機暗号)への移行は「まだ急がなくていい」という結論になります。しかし、それは正確ではありません。国家支援型の攻撃者はすでに暗号化されたデータを収集・蓄積しており、将来の量子コンピュータでまとめて解読する「Harvest Now, Decrypt Later(HNDL)」攻撃を今まさに実行しています[1]。2024 年 8 月、NIST は 8 年にわたる選定プロセスの末に PQC の最初の正式標準(FIPS 203/204/205)を公開しました[2]。日本も 2025 年 11 月、政府機関のPQC移行目標を 2035 年とする中間とりまとめを発表しています[3]。本記事では、PQC を「遠い未来の技術」ではなく、今の設計・実装判断に直結する喫緊の課題として論じます。
記事本文
1. なぜ今、PQC を考えなければならないのか
まず根本的な問いから始めます。RSA や ECC(楕円曲線暗号)の何が、量子コンピュータによって壊れるのでしょうか。
RSA の安全性は「大きな数の素因数分解が古典コンピュータには現実的に不可能」という計算量的困難性に依存しています。ECC の安全性も同様に、楕円曲線上の離散対数問題の困難性に拠っています。これらの問題をショアのアルゴリズム(Shor's Algorithm)で実行できる規模の量子コンピュータが登場した瞬間に、現代のほぼすべての公開鍵暗号インフラが崩壊します[4]。
現時点では、実用的な暗号解読が可能なレベルの量子コンピュータ(CRQC:Cryptanalytically Relevant Quantum Computer)はまだ存在しません。しかし、そのことが「今は問題ない」を意味しないのが HNDL 攻撃の核心です。
2. Harvest Now, Decrypt Later(HNDL)——「今収集して後で解読する」現在進行形の脅威
HNDL は将来の脅威ではありません。FBI・CISA・NIST が「現在進行中の脅威」として公式に認めています[1]。
攻撃の論理はシンプルです。
攻撃のタイムライン:
2025年 現在
攻撃者:RSAで暗号化された通信トラフィックを傍受・蓄積
(現在は解読不能だが、コストは保存容量のみ)
202X年 Q-Day(量子コンピュータが RSA を破れる日)
攻撃者:蓄積データを量子コンピュータで一括解読
→ 2025年当時の機密情報が流出
特に問題なのは、長期保護が必要なデータほど早期移行が必要という逆説です[4]。
- 外交文書・国家機密:数十年の保護が必要
- 医療情報・個人情報:GDPR/個人情報保護法に基づく長期保護義務
- 金融取引記録:長期監査対応
- 知的財産・研究データ:製品ライフサイクル全体の保護が必要
今日 RSA で暗号化して送信したデータが、10 年後に量子コンピュータで解読される可能性があるとすれば、そのデータの「安全な保護期間」はすでに終わっているかもしれないのです。
ISACA の 2025 年調査では、2,600 人以上のセキュリティ専門家のうち 62% が量子コンピュータによる暗号危殆化を懸念しているが、量子戦略を持つ組織はわずか 5% という深刻な認識と行動のギャップが明らかになっています[1]。
3. NIST PQC 標準化——8 年の選定プロセスと現在の標準
NIST は 2016 年に PQC アルゴリズムの公募を開始し、世界中の暗号研究者から提案を募りました。2024 年 8 月、8 年間の審査・評価の末に最初の 3 つの正式標準を公開しました[2]。
正式標準アルゴリズム一覧
| FIPS | アルゴリズム名 | 旧称 | 用途 | 数学的基盤 |
|---|---|---|---|---|
| FIPS 203 | ML-KEM | CRYSTALS-Kyber | 汎用暗号・鍵カプセル化(主要) | 格子問題(Module-LWE) |
| FIPS 204 | ML-DSA | CRYSTALS-Dilithium | デジタル署名(主要) | 格子問題(Module-LWE) |
| FIPS 205 | SLH-DSA | SPHINCS+ | デジタル署名(バックアップ) | ハッシュ関数 |
| FIPS 206 | FN-DSA | FALCON | デジタル署名(補完) | 格子問題(NTRU格子) |
NIST は業界に対して、これらの標準の「即時統合」を呼びかけています[5]。
なぜバックアップアルゴリズムが必要なのか
現在の標準の大部分が「格子問題(Lattice Problem)」という数学的困難性に依存しています。これは安全性の多様性という観点から潜在的なリスクを持ちます。格子暗号に対する数学的ブレイクスルーが発見された場合、世界中のセキュリティシステムが一斉に脆弱化するという「単一障害点(Single Point of Failure)」問題です[4]。
このためNISTは、格子問題とは異なる数学(ハッシュ関数)に基づく SLH-DSA をバックアップとして標準化しています。また 2025 年には符号ベース暗号の HQC が追加候補として選出されており、多様性の確保が進んでいます[5]。
4. PQC の主要アルゴリズムの技術的解説
格子ベース暗号(ML-KEM・ML-DSA・FN-DSA)
格子暗号(Lattice-based Cryptography)は、高次元空間の格子(Lattice)における計算問題の困難性を安全性の根拠とします。具体的には「Learning With Errors(LWE)問題」などが代表的です[6]。
格子問題の特徴:
- 古典コンピュータでも量子コンピュータでも効率的なアルゴリズムが知られていない
- ML-KEM は「鍵サイズが小さく交換しやすい」「処理速度が速い」という実用的な優位性がある[2]
- 現在最も広く実装が進んでいるカテゴリ
ハッシュベース署名(SLH-DSA)
SLH-DSA(旧 SPHINCS+)は、ハッシュ関数の一方向性のみを安全性の根拠とします。「ハッシュ関数が安全である限り署名が安全」という非常に保守的で堅牢な設計です[6]。
- 長所:格子問題に依存しないため、格子暗号が破られても安全
- 短所:署名サイズが大きく(数KB〜数十KB)、高頻度の署名処理には不向き
- 用途:証明書の発行など、署名頻度が低くかつ長期的安全性が重要な用途に最適
符号ベース暗号(HQC)
符号ベース暗号(Code-based Cryptography)は、1978 年に McEliece が提案した、誤り訂正符号の復号問題の困難性を安全性の根拠とします。50 年近い研究史があり、安全性評価の蓄積が厚い点が強みです。HQC は 2025 年に NIST の追加標準候補として選出されました[5]。
5. 世界各国・企業の移行タイムライン
規制・政府の動き
| 主体 | 内容 | 期限 |
|---|---|---|
| NIST(米国) | FIPS 203/204/205 正式公開 | 2024 年 8 月(達成済み) |
| NSA CNSA 2.0(米国) | 国家安全保障システムの新規調達で量子安全アルゴリズムを必須化 | 2027 年 1 月 |
| NSA CNSA 2.0(米国) | 全アプリケーションの完全移行 | 2030 年 |
| NIST(米国) | 連邦システムから RSA・ECC を全廃 | 2033 年 |
| EU 重要インフラ | 21 加盟国のサイバーセキュリティ機関が設定した移行期限 | 2030 年 |
| DORA(EU) | EU 金融機関に暗号俊敏性・量子脅威監視を義務化 | 2025 年 1 月(発効済み) |
| 日本 政府機関 | 内閣官房 国家サイバー統括室が PQC 移行方針を中間とりまとめ | 2035 年をめどに移行 |
| 日本 重要インフラ | 自民党デジタル社会推進本部が提言する最優先対応 | 2030 年を目途 |
NIST は 2033 年に RSA と ECC を連邦システムで全廃する方針を打ち出しています[1]。Gartner の試算では Q-Day(量子コンピュータが RSA-2048 を破れる日)が 2030 年頃に到来する可能性があるとも指摘されており、規制の期限と量子コンピュータの進化が同時に近づいています[4]。
日本の状況
日本では 2025 年 3 月に CRYPTREC(暗号技術検討会)が「CRYPTREC 暗号技術ガイドライン(耐量子計算機暗号)2024 年度版」を公開し、同年 6 月には「政府機関等における耐量子計算機暗号(PQC)利用に関する関係府省庁連絡会議」が設置されました[3][7]。2025 年 11 月には政府機関の PQC 移行に向けた中間とりまとめが公表され、移行目標として 2035 年 が示されています[3]。
CRYPTREC では現在、NIST 標準として公開された FIPS 203(ML-KEM)・FIPS 204(ML-DSA)・FIPS 205(SLH-DSA)の安全性評価・実装性能評価を実施中です[7]。
6. 実装事例——主要サービスにおける PQC 移行の最前線
規制のタイムラインを待たず、技術的先行者としてすでに PQC を実装している事例があります。
Signal:PQXDH(Level 2)
Signal は、既存の X25519 Diffie-Hellman 鍵交換と ML-KEM(当時の Kyber)を組み合わせた PQXDH(Post-Quantum Extended Diffie-Hellman) プロトコルを実装しました。これは「ハイブリッドアプローチ」——既存の古典暗号と PQC の両方を組み合わせることで、古典暗号の堅牢性を維持しながら量子耐性を追加する設計です[8]。
セキュリティ分類上の「Level 2」——初期鍵確立に量子耐性を持つが、セッション継続中の鍵更新には対応していないレベルに相当します。
Apple iMessage:PQ3(Level 3)
Apple は 2024 年 2 月、iMessage に PQ3 プロトコルを導入しました。Signal の Level 2 を超える Level 3——初期鍵確立だけでなく、会話継続中の継続的な鍵更新(ポスト量子リキーイング)にも量子耐性を適用する世界初の大規模実装です[9]。
PQ3 の設計思想:
1. 初期鍵確立:Kyber(ML-KEM)による量子耐性
2. 継続的なリキーイング:セッション中も定期的にPQ鍵を更新
3. 自己修復機能:仮に鍵が侵害されても、以降の通信が自律的に回復
→ 「今日傍受されたデータが将来解読される」HNDL攻撃への直接的な対策
PQ3 は ECC と Kyber を組み合わせたハイブリッド設計で、Apple Security Research Blog に安全性証明論文も同時公開されています[9]。
Google Chrome:ハイブリッド鍵交換
Google は 2023 年 8 月に Chrome 116 から X25519 + Kyber768 のハイブリッド鍵交換を TLS に統合しました[10]。これにより数十億規模のウェブトラフィックに PQC が適用されています。
Zoom:PQC E2EE
Zoom は 2024 年 5 月に、ビデオ会議への PQC E2EE(エンドツーエンド暗号化)の導入を発表し、「世界初のビデオ会議向け PQC E2EE ソリューション」と主張しています[10]。
7. PQC 移行の実務的な課題:エンジニアが直面する壁
PQC への移行は「ライブラリをアップデートするだけ」ではありません。Linux/Windows の PrivEsc 対策や AD 攻撃対策が「ツールを入れれば終わり」でないのと同様に、組織全体のデジタル基盤を見直す多年度プロジェクトです[11]。
課題1:鍵・証明書サイズの大幅増加
ML-KEM や ML-DSA の公開鍵・署名サイズは RSA と比べて大きくなります。
典型的なサイズ比較(概算):
RSA-2048
公開鍵: 256バイト、署名: 256バイト
ML-KEM-768(FIPS 203)
公開鍵: 1184バイト、暗号文: 1088バイト
ML-DSA-65(FIPS 204)
公開鍵: 1952バイト、署名: 3309バイト
SLH-DSA-128s(FIPS 205)
公開鍵: 32バイト、署名: 7856バイト(シンプルモード)
この変化は TLS ハンドシェイクのオーバーヘッド、X.509 証明書のサイズ、PKI インフラ全体に影響します。特に IoT デバイスやネットワーク帯域が制限された環境では、実装コストが跳ね上がります。
課題2:クリプト・インベントリの構築
移行の第一歩は「自組織がどこで・どのような暗号を使っているか」を把握することです。これクリプト・インベントリ(Cryptographic Inventory)または CBOM(Cryptography Bill of Materials)と呼びます[4]。
実際、多くの組織では暗号の使用箇所が「アプリケーション」「ミドルウェア」「ライブラリ」「ハードウェア(HSM/スマートカード)」「プロトコル(TLS/SSH/IPsec)」に分散しており、全容の把握だけで数か月を要するケースがあります[3]。
課題3:クリプト・アジリティの設計
「今 ML-KEM を入れれば終わり」でもありません。暗号技術は将来的に危殆化する可能性があります。クリプト・アジリティ(Cryptographic Agility)——暗号アルゴリズムを柔軟に切り替えられるように設計すること——が長期的な観点から最も重要な設計原則です[11]。
EU の DORA は 2025 年 1 月より金融機関にクリプト・アジリティの確保を義務付けており[4]、今後この考え方は規制上の標準要件になっていくと考えられます。
課題4:ハイブリッド移行期間の管理
移行期間中は古典暗号と PQC の両方を同時にサポートする「ハイブリッドアプローチ」が必要になります。これは通信相手がPQCに対応しているかどうか不確かな過渡期において、後方互換性を維持しながら量子耐性を段階的に確保するための現実解です[8]。Signal・Apple・Google が揃ってハイブリッドアプローチを採用しているのは、この移行期間の現実的な管理を反映しています。
8. 防御側の視点:PQC 移行チェックリスト
攻撃のメカニズムを理解したうえで、実務として今すぐ着手すべき項目を整理します。
(1)現状把握:クリプト・インベントリの構築
- 組織内で使用している暗号アルゴリズム(RSA・ECC・ECDH・ECDSA 等)をすべて棚卸しているか
- TLS 証明書・SSH 鍵・コード署名・VPN・PKI の棚卸しは完了しているか
- 長期保護が必要なデータを特定・分類しているか(HNDL リスクの優先度づけ)
(2)リスク評価:移行優先度の決定
- 長期機密データ(10 年以上保護が必要なもの)から優先的に PQC 移行を計画しているか
- 規制対象(金融機関・重要インフラ)の場合、DORA・CNSA 2.0 等の規制タイムラインを把握しているか
(3)技術検討:アルゴリズム選定と実装計画
- ML-KEM(FIPS 203)を鍵交換の主要候補として評価しているか
- ハイブリッドアプローチ(古典暗号 + PQC)の移行設計を検討しているか
- クリプト・アジリティを考慮したアーキテクチャ設計になっているか
(4)パイロット実装
- TLS 1.3 + ML-KEM のハイブリッド鍵交換を低リスクな環境で試験しているか
- OpenSSL 3.x・BoringSSL・Bouncy Castle 等の PQC 対応ライブラリを評価しているか
(5)ガバナンス
- 経営層が PQC 移行を組織の重要課題として認識・意思決定しているか
- サプライチェーン全体(ベンダー・委託先)の PQC 対応状況を確認しているか
9. セキュリティエンジニアとして考えるべきこと
これまでのシリーズ記事では「攻撃者が人間の設定ミスや心理的盲点を突く」構造を論じてきました。PQC は、それとは次元の異なる問題を提示します。現在の暗号技術の安全性そのものが、将来の技術進歩によって根拠を失うという、設計の根底を揺るがす問いです。
特に重要な思考の視点は次の二点です。
第一に、「Q-Day がいつか」は問題の本質ではないという点です。HNDL 攻撃は Q-Day を待たずに今日すでに機能しています。長期保護が必要なデータを今日 RSA で保護することは、10 年後のリスクを今日引き受けることを意味します。
第二に、PQC 移行は技術的問題であるとともに組織的問題であるという点です。ISACA の 2025 年調査が示すように、「懸念している(62%)」と「行動している(5%)」の間の57ポイントのギャップは、技術的解決策の不在ではなく「リーダーシップの欠如」と「資格ある暗号専門家の不足」によるものとされています[1]。セキュリティエンジニアに求められるのは、技術を理解するだけでなく、その重要性を組織の意思決定層に伝え、行動を促す力です。
量子コンピュータが現実になる日、それは数十年後かもしれません。しかしその日に向けて「今日から積み重ねる時間」は有限であり、開始が遅れるほど移行コストと残留リスクは指数関数的に増大します。本日の暗号設計が、10 年後のセキュリティを決めるという認識が、PQC 時代のエンジニアリングの出発点です。
シリーズ記事との関連
本記事は以下の記事シリーズの一環です。
| # | テーマ | 核心的な問い |
|---|---|---|
| 1 | 電話番号偽装 | 技術による「信頼の偽造」はなぜ通じるのか |
| 2 | Linux PrivEsc | 管理者の設定ミスはなぜ生まれるのか |
| 3 | Windows PrivEsc | 仕様通りの動作がなぜ脆弱性になるのか |
| 4 | Active Directory 攻撃 | 正規の認証が攻撃に変わるとはどういうことか |
| 5 | AI による攻撃の高度化 | 人間の盲点を突く攻撃が「自動化」されたとき何が起きるか |
| 6 | PQC(本記事) | 「今は安全な暗号」が将来壊れると知ったとき、今日何をすべきか |
参考文献
[1] Horizen Labs. "Harvest Now, Decrypt Later: Why the Quantum Threat Is Active Today." April 2026.
https://horizenlabs.io/blog/harvest-now-decrypt-later-the-quantum-threat-your-risk-register-isn-t-tracking
[2] NIST. "NIST Releases First 3 Finalized Post-Quantum Encryption Standards." August 13, 2024.
https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards
[3] 内閣官房 国家サイバー統括室. "政府機関等における耐量子計算機暗号(PQC)への移行について(中間とりまとめ)." November 2025.
https://www.cas.go.jp/jp/seisaku/pqc/pdf/report_202511.pdf
[4] PwC Japan. "未来を見据えた次世代暗号技術「耐量子暗号」への移行戦略." December 26, 2025.
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/post-quantum-cryptography.html
[5] postquantum.com. "Post-Quantum Cryptography (PQC) Standardization - 2025 Update." September 24, 2025.
https://postquantum.com/post-quantum/cryptography-pqc-nist/
[6] GMOサイバーセキュリティ byイエラエ. "CRYPTRECガイドラインに見る耐量子計算機暗号移行の最前線." June 25, 2025.
https://gmo-cybersecurity.com/blog/cryptrec-pqc/
[7] CRYPTREC 暗号技術調査ワーキンググループ. "CRYPTREC 暗号技術ガイドライン(耐量子計算機暗号)2024年度版." March 2025.
https://www.cryptrec.go.jp/report/cryptrec-gl-2007-2024.pdf
[8] Apple Security Research. "iMessage with PQ3: The new state of the art in quantum-secure messaging at scale." February 2024.
https://security.apple.com/blog/imessage-pq3/
[9] The Hacker News. "Apple Unveils PQ3 Protocol - Post-Quantum Encryption for iMessage." February 24, 2024.
https://thehackernews.com/2024/02/apple-unveils-pq3-protocol-post-quantum.html
[10] NEC サイバーインテリジェンス. "耐量子計算機暗号に関連する動向2025." March 19, 2025.
https://jpn.nec.com/cybersecurity/intelligence/250319/index.html
[11] Cloudflare Blog. "2025年のポスト量子インターネットの現状." October 28, 2025.
https://blog.cloudflare.com/ja-jp/pq-2025/
[12] NRI セキュアテクノロジーズ. "耐量子計算機暗号(PQC)とは?|標準化が進む次世代暗号と各国の対応状況を解説." November 13, 2025.
https://www.nri-secure.co.jp/blog/pqc1
[13] サイバーセキュリティ総研. "量子コンピューターが暗号を破る日:サイバーセキュリティ担当者が今すぐ行動すべき理由." April 2026.
https://cybersecurity-info.com/column/cryptography-migration-timeline/
[14] CRYPTREC. "新着情報 — CRYPTREC 暗号技術ガイドライン(耐量子計算機暗号)2024年度版の公開." April 2, 2025.
https://www.cryptrec.go.jp/whatsnew.html