耐量子暗号への移行が2026年に加速——NIST標準化とHarvest Now, Decrypt Laterの脅威
2024年8月、米国国立標準技術研究所(NIST)が3つの耐量子暗号(Post-Quantum Cryptography、以下PQC)アルゴリズムを正式に標準化した。ML-KEM(旧CRYSTALS-Kyber)、ML-DSA(旧CRYSTALS-Dilithium)、SLH-DSA(旧SPHINCS+)の3つだ。そしていま、2026年に入り、この標準を受けた実装と移行が一気に加速している。Google Chrome、Apple iMessage、Signal、NordVPNなど、数億人が日常的に使うサービスがすでにPQCを組み込み始めた。
なぜこれほど急ぐのか。その最大の理由は**「Harvest Now, Decrypt Later(HNDL)」と呼ばれる攻撃シナリオだ。量子コンピュータが完成するのは10年後かもしれないが、攻撃者は今日の暗号化通信を記録し、将来量子コンピュータで一括解読する**ことができる。つまり、暗号の切り替えは量子コンピュータが完成してからでは遅い。この記事では、PQC移行の全体像を解説する。
Harvest Now, Decrypt Laterとは何か
「Harvest Now, Decrypt Later」は、国家レベルの攻撃者がすでに実行していると強く疑われている攻撃手法だ。仕組みは単純で、以下の3ステップからなる。
- 収集(Harvest): 暗号化されたインターネット通信を大量に傍受・保存する
- 保管(Store): 量子コンピュータが実用化されるまでデータを保管し続ける
- 解読(Decrypt Later): 十分な能力を持つ量子コンピュータでRSAやECCを破り、過去のデータを一括解読する
以下の図は、HNDL攻撃のシナリオとPQC移行タイムライン、そして推奨される防御策であるハイブリッド暗号方式を示しています。
この攻撃が特に危険なのは、データの機密性に時間制限がない分野だ。例えば、政府の機密文書、医療記録、金融取引履歴、企業の知的財産などは、10年後に解読されても深刻な被害をもたらす。米国NSAは2022年の時点でこの脅威を認識し、CNSA 2.0(Commercial National Security Algorithm Suite 2.0)で連邦政府機関にPQC移行のタイムラインを設定した。
NISTが標準化した3つのアルゴリズム
NISTは8年にわたる選定プロセスを経て、2024年8月に以下の3アルゴリズムを正式な標準として発表した。
ML-KEM(FIPS 203)── 鍵カプセル化
旧名CRYSTALS-Kyberとして知られるML-KEMは、格子問題(Lattice-based cryptography) に基づく鍵カプセル化メカニズムだ。TLS通信における鍵交換で、現在のECDH(楕円曲線ディフィー・ヘルマン)を置き換える用途が想定されている。最大の強みは、PQCアルゴリズムの中で鍵サイズと暗号文サイズが比較的小さいこと。ML-KEM-768の場合、公開鍵が1,184バイト、暗号文が1,088バイトで、TLSハンドシェイクへの影響が最小限に抑えられる。
Google Chromeは2024年後半からML-KEMをTLS 1.3のハイブリッドモードで導入しており、すでに全HTTPS通信の一部でPQC鍵交換が行われている。
ML-DSA(FIPS 204)── デジタル署名
同じく格子問題に基づくデジタル署名アルゴリズムだ。コード署名、証明書署名、ドキュメント署名など幅広い用途に対応する。ただし、署名サイズが3,293バイトとRSA-2048の256バイトに比べて約13倍に膨れ上がるため、帯域が制約される環境では課題が残る。
SLH-DSA(FIPS 205)── ハッシュベース署名
SPHINCS+として知られていたアルゴリズムで、ハッシュ関数のみ に安全性の根拠を置く。格子問題が将来破られるリスクに対する「保険」として位置づけられている。公開鍵は32〜64バイトと小さいが、署名サイズが最大49,856バイト(約49KB)と非常に大きく、汎用的な利用には向かない。ファームウェア署名やルート証明書署名など、署名サイズが問題にならない用途での利用が想定されている。
以下の図は、3つのNIST標準アルゴリズムの鍵サイズ・署名サイズの比較と、RSA-2048との対比、そしてモバイル/IoTへの課題を示しています。
主要サービスのPQC対応状況
2026年3月時点で、PQCを実装済みまたは実装中の主要サービスをまとめた。
| サービス | 対応アルゴリズム | 導入方式 | 対応時期 |
|---|---|---|---|
| Google Chrome | ML-KEM-768 | TLS 1.3 ハイブリッド | 2024年後半〜 |
| Apple iMessage | ML-KEM | PQ3プロトコル | 2024年3月〜 |
| Signal | ML-KEM-1024 | PQXDH プロトコル | 2023年9月〜 |
| NordVPN | ML-KEM | NordLynx + PQC | 2025年〜 |
| Cloudflare | ML-KEM-768 | TLS 1.3 ハイブリッド | 2024年〜 |
| AWS KMS | ML-KEM | ハイブリッドTLS | 2025年〜 |
特筆すべきは、いずれのサービスもハイブリッド方式を採用していることだ。従来の暗号(X25519やECDH)とPQCアルゴリズムを組み合わせることで、万が一PQCアルゴリズムに脆弱性が見つかった場合でも、従来暗号の安全性でカバーできる。この「ベルトとサスペンダー」のアプローチは、NISTやNSAも公式に推奨している。
Google ChromeのPQC実装
Google Chromeは世界シェア約65%を持つブラウザであり、そのPQC対応は事実上のインターネット標準を形作る。Chrome 124以降、TLS 1.3ハンドシェイクでX25519Kyber768(X25519 + ML-KEM-768のハイブリッド)がデフォルトで有効化されている。これにより、対応するWebサーバーとの通信は自動的にPQCで保護される。
ユーザー側で特別な設定は不要だ。chrome://flags でPQCの有効/無効を確認できるが、デフォルトでオンになっている。
Apple iMessage PQ3
Appleは2024年3月のiOS 17.4で、iMessageに「PQ3」と名付けた独自のPQCプロトコルを導入した。これはML-KEMをベースに、定期的な鍵再生成(rekeying)を組み合わせたもので、仮に1つのセッション鍵が漏洩しても、過去や未来のメッセージは解読できないポスト量子前方秘匿性を実現している。Appleはこれを「レベル3セキュリティ」と位置づけ、Signalの初期PQC実装(レベル2)を上回ると主張した。
NordVPNの耐量子暗号対応
NordVPNは、独自のVPNプロトコル「NordLynx」にML-KEMベースの耐量子暗号を統合した。これにより、VPNトンネルを通る通信が将来の量子コンピュータ攻撃からも保護される。VPN通信は特にHNDL攻撃の標的になりやすい(通信内容がまとめて傍受できるため)ことを考えると、VPNプロバイダーのPQC対応は重要な差別化要因だ。
CNSA 2.0と米国政府の移行タイムライン
米国NSAが策定したCNSA 2.0は、連邦政府機関と国防関連企業に対して以下のタイムラインを設定している。
| 期限 | 要件 |
|---|---|
| 2025年 | ソフトウェア・ファームウェア署名をPQCに移行開始 |
| 2027年 | WebサーバーのTLS通信でPQC鍵交換を義務化 |
| 2030年 | すべてのネットワーク通信でPQC必須化 |
| 2033年 | レガシー暗号(RSA、ECC、DH)の完全廃止 |
このタイムラインは米国政府機関向けだが、サプライチェーンを通じて世界中の企業に波及する。米国政府と取引のある日本企業は、間接的にCNSA 2.0への準拠を求められる可能性が高い。
署名サイズの増大がもたらす課題
PQC移行で最も議論されている技術的課題が、署名サイズの劇的な増大だ。現在のRSA-2048の署名は256バイトだが、ML-DSAでは3,293バイト、SLH-DSAでは最大約49KBにもなる。
この影響が特に深刻なのは以下の領域だ。
- IoTデバイス: メモリが数KBしかないセンサーデバイスでは、PQC署名の検証すら困難
- モバイル通信: TLSハンドシェイクのパケットサイズ増大により、低帯域環境でのレイテンシが悪化
- ブロックチェーン: トランザクション署名の増大がブロックサイズとスケーラビリティに影響
- 証明書チェーン: X.509証明書チェーンにPQC署名が入ると、証明書全体のサイズが数倍に
IETFでは現在、TLS 1.3向けのPQC最適化プロファイルや、証明書圧縮の仕様策定が進められている。また、ML-DSAの署名サイズを半分程度に抑える「Dilithium-lite」のような軽量バリアントの研究も進んでいる。
企業が今すぐ始めるべきPQC移行ステップ
PQC移行は一夜にしてできるものではない。NISTやCISA(米サイバーセキュリティ・インフラセキュリティ庁)が推奨する段階的な移行アプローチを紹介する。
ステップ1: 暗号資産のインベントリ作成
まず、自社のシステムで使われているすべての暗号アルゴリズムを棚卸しする。TLS証明書、VPN設定、データベース暗号化、コード署名、APIトークンなど、暗号が使われている箇所は想像以上に多い。この作業は「Cryptographic Bill of Materials(CBOM)」と呼ばれ、PQC移行の出発点となる。
ステップ2: リスク優先度の評価
すべてのシステムを同時に移行するのは現実的ではない。HNDL攻撃のリスクが高い順、つまり長期間の機密性が求められるデータから優先的に移行する。例えば、医療記録や金融データは最優先、一方で数時間で無効になるセッショントークンは後回しでよい。
ステップ3: ハイブリッド暗号の導入
いきなりPQCのみに切り替えるのではなく、既存暗号(RSA/ECC)とPQCを併用するハイブリッド方式から始める。これなら、PQCアルゴリズムに未知の脆弱性が見つかっても既存暗号でカバーでき、既存暗号が量子コンピュータで破られてもPQCでカバーできる。
ステップ4: テストと性能評価
PQCの導入により、鍵生成・暗号化・復号の処理時間、パケットサイズ、メモリ使用量が変化する。本番環境に導入する前に、十分な負荷テストとパフォーマンス測定を行うことが不可欠だ。
日本への影響と対応状況
日本政府もPQC移行に動き始めている。CRYPTREC(暗号技術検討会)は2025年に耐量子暗号に関するガイダンスを公開し、NISTの標準アルゴリズムを日本でも推奨する方針を示した。ただし、日本独自の移行タイムラインはまだ明確に定められていない。
日本企業にとって注意すべきは以下の3点だ。
- グローバルサプライチェーン: 米国CNSA 2.0の要件は、サプライチェーンを通じて日本の下請け企業にも波及する。防衛・航空宇宙・IT系の受注企業は早期対応が必要
- 金融機関: FISCの安全対策基準にPQC要件が追加される可能性が高い。メガバンクや証券会社は暗号インベントリの作成を急ぐべき
- マイナンバー関連: マイナンバーカードの電子証明書はRSA-2048を使用しており、将来的なPQC移行が不可避。更新サイクルを考慮した計画策定が求められる
個人ユーザーができる対策
企業レベルの話に聞こえるかもしれないが、個人ユーザーにもできることはある。
- ブラウザを最新版に保つ: Google Chromeを最新版にアップデートするだけで、対応サーバーとの通信はPQCで保護される
- PQC対応VPNを使う: NordVPNのようなPQC対応VPNを使えば、VPNトンネル全体が耐量子暗号で保護される
- PQC対応メッセージアプリを選ぶ: iMessageやSignalはすでにPQCに対応している
- パスワードマネージャーで認証情報を管理: 1Passwordのようなゼロナレッジ設計のパスワードマネージャーで、認証情報を一元管理しておくことが基本的なセキュリティ対策として重要だ
まとめ——「量子コンピュータはまだ先」は通用しない
PQC移行の緊急性は、量子コンピュータの完成時期ではなく、Harvest Now, Decrypt Laterの脅威が今この瞬間にも進行しているという事実に基づいている。10年後に解読されるリスクがあるデータは、今日から保護しなければならない。
具体的なアクションステップをまとめる。
- 今すぐ: ブラウザとOSを最新版にアップデートし、PQC対応VPN(NordVPNなど)の導入を検討する
- 3ヶ月以内: 自社システムの暗号インベントリ(CBOM)を作成し、HNDL攻撃のリスクが高い箇所を特定する
- 6ヶ月以内: 優先度の高いシステムからハイブリッド暗号方式のテスト導入を開始する
- 1年以内: CNSA 2.0のタイムラインを参照し、自社のPQC移行ロードマップを策定する
量子コンピュータの脅威は「まだ先の話」ではない。データを守る行動は、今日から始める必要がある。
「セキュリティ」カテゴリの記事
- セキュリティ
Drift Protocolから$2.85億流出——Solana史上2番目のDeFiハッキング
- セキュリティ
FCC、外国製ルーターの新規輸入を禁止——Salt Typhoon攻撃が引き金に
- セキュリティ
DatabricksがAIエージェント型SIEM「Lakewatch」発表——セキュリティ運用コスト80%削減
- セキュリティ
FBI盗聴システムに重大サイバー侵害——中国ハッカーの影
- セキュリティ
Cisco DefenseClawが登場——AIエージェント時代のセキュリティをOSSで変える
- セキュリティ
Tenex.aiが$2.5億調達でユニコーンに——AIセキュリティの新星