耐量子暗号(PQC)とは
耐量子暗号(PQC: Post-Quantum Cryptography)とは、将来の大規模量子コンピュータによる攻撃に対しても安全性を維持できる暗号アルゴリズムの総称です。現在広く使われているRSAや楕円曲線暗号(ECC)は、量子コンピュータのショアのアルゴリズムにより解読可能になると理論的に示されており、量子コンピュータの実用化に先立って暗号の移行を進める必要があります。
PQC市場は2025年に約4.2億ドルと評価され、2030年には約28.4億ドルに成長すると予測されています(CAGR 46.2%、MarketsandMarkets調べ)。別の調査では2026年の約23億ドルから2034年には約300億ドル近くに達するとの見通しもあり(CAGR 37.72%、Precedence Research調べ)、企業のPQC移行投資が急速に拡大しています。
なぜ今PQCへの移行が必要なのか
Harvest Now, Decrypt Later攻撃
攻撃者が現在の暗号化データを収集・保存し、将来量子コンピュータが実用化された際に一括復号する「Harvest Now, Decrypt Later(HNDL)」攻撃が懸念されています。政府機密、医療記録、金融データなど長期保護が必要な情報は、既にリスクにさらされている可能性があります。
暗号移行には長い時間がかかる
過去の暗号移行(DESからAES、SHA-1からSHA-2等)は完了までに10〜15年を要しました。組織内のあらゆるシステム、プロトコル、ライブラリで使用されている暗号を特定し、置き換えるには膨大な作業が必要です。NISTは2035年までにRSAをはじめとする公開鍵暗号をPQCへ移行する方針を示しており、逆算すると今から準備を開始する必要があります。
規制・標準化の加速
日本でも内閣官房国家サイバー統括室が政府機関等のPQC移行について中間とりまとめを公表し、2035年をめどにPQCへ移行する方針を示しています。米国ではNSAのCNSA 2.0により、2027年1月までに新規の国家安全保障システム調達がPQC準拠必須となり、2033年までに全面的な移行が求められています。
NIST PQC標準化の現状
NISTは8年にわたる標準化プロセスを経て、2024年8月に3つのPQC標準を最終確定しました。
| 標準 | アルゴリズム名 | 用途 | 特徴 |
|---|---|---|---|
| FIPS 203(ML-KEM) | CRYSTALS-Kyber | 鍵カプセル化(鍵交換) | 格子ベース。高速で鍵サイズが比較的小さい |
| FIPS 204(ML-DSA) | CRYSTALS-Dilithium | デジタル署名 | 格子ベース。汎用的な署名に推奨 |
| FIPS 205(SLH-DSA) | SPHINCS+ | デジタル署名 | ハッシュベース。格子問題と異なる数学的基盤でバックアップ用 |
さらに2025年3月、NISTはバックアップの鍵カプセル化アルゴリズムとしてHQCの標準化を決定しました。ML-KEMが何らかの脆弱性を持つ場合に備えた冗長性の確保が目的です。
企業のPQC移行ステップ
ステップ1: 暗号資産の棚卸し(Cryptographic Inventory)
組織内で使用されている全ての暗号アルゴリズム、プロトコル、証明書、鍵を特定します。TLS/SSL証明書、VPN、コード署名、データベース暗号化、IoTデバイスの通信暗号など、対象は広範囲に及びます。自動スキャンツールを活用して暗号利用状況を可視化することが第一歩です。
ステップ2: 量子リスク評価
棚卸し結果をもとに、各暗号資産の量子リスクを評価します。データの機密度、保護期間の要件、量子攻撃に対する脆弱性を掛け合わせて優先度を判定します。HNDL攻撃のリスクが高い長期保護データから優先的に対応します。
ステップ3: ハイブリッド暗号の導入
NISTも推奨する移行戦略として、現行の古典暗号とPQCアルゴリズムを組み合わせたハイブリッド実装があります。これにより、PQCアルゴリズムに未発見の脆弱性があった場合でも古典暗号で保護が維持され、段階的な移行が可能になります。TLS 1.3でのハイブリッド鍵交換は既にChromeやCloudflareで実装が進んでいます。
ステップ4: パイロット導入とテスト
限定的なシステムでPQCアルゴリズムを導入し、パフォーマンス影響(鍵サイズの増大、署名検証速度の変化等)を検証します。PQCアルゴリズムは古典暗号と比較して鍵サイズや署名サイズが大きく、ネットワーク帯域やストレージへの影響を事前に評価する必要があります。
ステップ5: 全社展開と暗号アジリティの確保
パイロット結果を踏まえて全社的に展開し、将来のアルゴリズム変更にも迅速に対応できる「暗号アジリティ(Crypto-Agility)」をアーキテクチャに組み込みます。特定のアルゴリズムにハードコードされた実装を避け、構成ファイルやポリシーで暗号を切り替えられる設計が推奨されます。
業界別のPQC対応状況
金融業界
決済システム、オンラインバンキング、顧客データ保護にPQCの導入が急務です。SWIFT(国際銀行間通信協会)は量子安全な通信プロトコルの検討を進めており、金融規制当局もPQC移行のガイドラインを策定中です。
通信業界
5G/6Gネットワークの暗号化にPQCを組み込む取り組みが進んでいます。通信プロトコル(TLS、IPsec、SSH等)のPQC対応は、インターネット全体のセキュリティに直結する重要課題です。
製造業・IoT
リソース制約のあるIoTデバイスへのPQC実装は技術的な課題が大きく、軽量PQCアルゴリズムの研究が進んでいます。TOPPANデジタル・NICT・ISARA社によるPQC対応ICカード「SecureBridge」のように、ハードウェアレベルでのPQC実装も始まっています。
公共・政府機関
米国CNSA 2.0、日本の政府PQC移行方針など、各国政府が率先してPQC移行を推進しています。政府調達要件にPQC準拠が含まれることで、サプライチェーン全体への波及効果が期待されます。
PQC移行の注意点
パフォーマンスへの影響
PQCアルゴリズムは古典暗号と比較して鍵サイズが大きく(ML-KEMの公開鍵は約800〜1,500バイト、RSA-2048は256バイト)、一部の処理でレイテンシが増加します。特にTLSハンドシェイクやIoTデバイスへの影響を事前に評価することが重要です。
相互運用性の確保
取引先、クラウドプロバイダー、外部サービスとの暗号通信の相互運用性を維持するため、移行タイミングとプロトコルバージョンの調整が必要です。ハイブリッド暗号の活用により、移行期間中の互換性を確保できます。
長期的なアルゴリズム安全性
PQCアルゴリズムの安全性は現時点の数学的知見に基づいており、将来新たな攻撃手法が発見される可能性があります。NISTがHQCをバックアップとして標準化したのも、特定のアルゴリズムへの依存リスクを分散するためです。暗号アジリティの確保が長期的な安全性の鍵です。
よくある質問(FAQ)
Q. 量子コンピュータはいつ現在の暗号を解読できるようになりますか?
大規模な暗号解読が可能な量子コンピュータの実現時期は不確実ですが、一般的に2030年代後半から2040年代が有力視されています。しかし、HNDL攻撃のリスクを考慮すると、長期保護が必要なデータについては既に対策を開始すべきです。NISTが2035年までの移行を推奨しているのもこの理由からです。
Q. PQC移行にはどの程度のコストがかかりますか?
組織の規模やシステムの複雑さにより大きく異なります。主なコスト要素は、暗号資産の棚卸し、リスク評価、ライブラリ・プロトコルの更新、テスト、人材育成です。段階的に進めることでコストを分散でき、まずは量子リスク評価から着手し、優先度の高いシステムから順次移行するアプローチが推奨されます。
Q. 中小企業でもPQC対応は必要ですか?
直ちに自社で暗号実装を変更する必要はないかもしれませんが、利用しているSaaS、クラウドサービス、TLS証明書のPQC対応状況を確認し、ベンダー選定時にPQC対応をチェック項目に含めることを推奨します。また、取引先(特に政府機関や大企業)からPQC準拠を求められる可能性があるため、動向を把握しておくことが重要です。
まとめ
耐量子暗号(PQC)への移行は、量子コンピュータの実用化を見据えた中長期的なセキュリティ戦略の核心です。NISTによる標準化の完了、各国政府の移行方針の明確化により、企業のPQC対応は「いつ始めるか」ではなく「どう計画的に進めるか」のフェーズに入っています。暗号資産の棚卸しから始め、ハイブリッド暗号による段階的移行と暗号アジリティの確保を通じて、量子時代に備えた堅牢なセキュリティ基盤を構築してください。
株式会社renueでは、セキュリティ戦略の策定やDX推進のコンサルティングを提供しています。PQC移行計画の立案や暗号アジリティの実装についてお気軽にご相談ください。