2024年8月、NISTは長年にわたる標準化プロセスを経て、最初の3つのポスト量子暗号(PQC)標準——FIPS 203(ML-KEM)、FIPS 204(ML-DSA)、FIPS 205(SLH-DSA)——を最終化した。これらは「即時使用可能」とされ、暗号移行の新たな時代が幕を開けた。しかし、標準化と実装は別の問題である。

2026年1月、FBI、CISA、NISTは連邦機関向けのPQC移行ロードマップを発表し、本格的な移行フェーズへの移行を促した。本稿では、「Harvest Now, Decrypt Later」リスクの現実、NIST標準の概要、そしてエンタープライズが2035年期限に向けて今着手すべき具体的アクションを解説する。

「Harvest Now, Decrypt Later」——今そこにある危機

「Harvest Now, Decrypt Later(HNDL)」とは、攻撃者が現在の暗号化通信を傍受・保存し、将来の量子コンピュータで復号化するという脅威モデルである。この攻撃は、理論上の話ではなく、すでに進行中である。

米連邦準備制度理事会(FRB)の2025年10月の報告書は、この脅威の深刻さを明確に警告している。100以上の一次資料を分析した結果、今日暗号化されている医療記録の98〜100%、政府機密データの95〜100%が、HNDLモデル下で遡及的な復号化のリスクにさらされている可能性がある。

量子コンピュータの進歩は予想より速い。RSA-2048の破壊に必要な物理量子ビット数は、以前は2000万と見積もられていたが、2025年初頭の研究では100万未満で、実行時間も数世紀から数時間〜数日に短縮された。RSA-2048を破壊できる量子コンピュータは2030年±3年で出現すると予測されており、2035年のNIST期限は決して余裕のあるスケジュールではない。

ブロックチェーン台帳をコピーした攻撃者や、暗号化通信を傍受した攻撃者は、十分な能力を持つ量子コンピュータが実現すれば、過去の通信、金融取引、個人記録を読み取り可能なテキストに変換できる。PQC移行は「いつか」の問題ではなく「今」の問題である。

NIST PQC標準の全体像

NISTが標準化したアルゴリズムは、鍵交換と電子署名の両方をカバーしている。

ML-KEM(FIPS 203、旧CRYSTALS-Kyber)は、格子ベースの鍵カプセル化メカニズムであり、NISTがポスト量子安全な鍵交換の主力標準として選定した。Module-LWE問題の困難性に基づき、量子能力を持つ攻撃者に対しても安全とされる。ML-KEM-512、768、1024の3つのパラメータセットがあり、それぞれAES-128、192、256相当のセキュリティレベルを提供する。NISTは一般用途にはML-KEM-768を推奨している。

ML-DSA(FIPS 204、旧CRYSTALS-Dilithium)は、同じく格子ベースのデジタル署名アルゴリズムである。SLH-DSA(FIPS 205、旧SPHINCS+)は、ステートレスハッシュベースの署名スキームであり、格子問題とは異なる数学的基盤を持つため、アルゴリズム多様性を提供する。

2025年3月11日には、HQC(Hamming Quasi-Cyclic)が5番目のアルゴリズムとして選定された。これはコードベースの鍵カプセル化メカニズムであり、ML-KEMのバックアップとして位置付けられている。最終標準化は2026〜2027年頃の見込みである。追加の署名アルゴリズム(Falcon等)も標準化に向けて進行中であり、NISTは現在14の署名候補をラウンド2で評価している。

連邦政府の移行ロードマップ

2026年1月、CISAは新たな連邦調達ガイダンスを発行し、PQCが広く利用可能な製品カテゴリを特定した。当該カテゴリでは、機関は量子耐性製品のみを調達することが求められる。これにより、PQC採用は長期計画から日々の調達判断へと移行した。

CISA、NSA、NISTは共同ファクトシート「Quantum-Readiness: Migration to Post-Quantum Cryptography」を公開し、組織が独自の量子対応ロードマップを確立するための必要ステップとガイダンスを提供している。これには、暗号資産インベントリの作成方法、技術ベンダーとの連携、サプライチェーンの量子脆弱暗号への依存度評価が含まれる。

主要なタイムラインは以下の通りである。CNSA 2.0(商用国家安全保障アルゴリズムスイート2.0)の下、2027年1月1日以降、すべての新規NSS(国家安全保障システム)調達はCNSA 2.0準拠が必須となる。2025年12月31日は、既存NSSがCNSA 1.0を満たすか、免除を申請する期限である。最終的な必須準拠日は、ほとんどのシステムタイプで2033年となっている。

また、CISAとNSAは2025年12月1日までに量子安全製品カテゴリのリストを公開することが求められ、TLS 1.3(またはその後継)の採用は2030年1月2日までに必須となる。NISTは2035年までに量子脆弱アルゴリズムを標準から非推奨化し、最終的に削除する方針である。

エンタープライズが今着手すべきアクション

第一ステップ:暗号資産インベントリの作成
組織は、システム、アプリケーション、API、データベース、ネットワークコンポーネント全体で現在使用中のすべての暗号アルゴリズムを詳細に記録した包括的なアルゴリズムインベントリを維持する必要がある。CISAは、自動暗号発見・インベントリ(ACDI)ツールの使用を推奨しており、機関がCRQC脆弱暗号を含むシステムと資産のインベントリを作成するのを支援している。

第二ステップ:ベンダーへの早期エンゲージメント
ハードウェア、ソフトウェア、クラウドプロバイダーにPQC移行計画を確認し、彼らの準備状況を調達およびリスク管理の意思決定に組み込むべきである。HSM(ハードウェアセキュリティモジュール)におけるPQCサポートは登場しつつあるが、ML-DSAとML-KEMの検証済み実装には時間がかかる。初期認証が進行中であり、より広い可用性は2025〜2026年に期待されている。

第三ステップ:ハイブリッド暗号の採用
新しいPQCアルゴリズムは「ドロップイン置換」ではない——組織は異なるパフォーマンス特性、より高い計算コスト、新しい運用上の複雑さを予期すべきである。NISTは、移行期間中の互換性維持のために、古典的アルゴリズムとPQCアルゴリズムを組み合わせた中間的なハイブリッド実装が必要になると予想している。ハイブリッドアルゴリズムは、片方のコンポーネントがNIST承認であれば(例:ML-DSA)、FIPS 140-3の下で検証可能である。

第四ステップ:優先順位付けと段階的移行
暗号移行、特に公開鍵インフラストラクチャは、10年以上かかる可能性がある。量子タイムラインの確実性を待つのではなく、連邦ガイダンスは段階的アクションを強調している。量子脆弱暗号に依存するシステムをインベントリ化し、長寿命かつ高価値データを優先し、既存暗号と並行してポスト量子アルゴリズムの統合を開始する。

業界別の実装状況

主要テクノロジー企業はすでにPQC実装を開始している。MicrosoftのコアクリプトAPI(SymCrypt)はKyber(ML-KEM)、Dilithium(ML-DSA)、Sphincs+(SLH-DSA)をサポートし、Windows 11、Windows Server、Azureサービスへの更新を行っている。AppleのiMessageやZoomも同様にML-KEMの実装を開始している。Cloudflareは段階的にML-KEMのバージョンを有効化しており、Google Chromeはハイブリッドケムスキームのサポートを積極的に展開中である。

最初のポスト量子証明書は2026年に登場すると予想されているが、すべてのブラウザで広く利用可能になり信頼されるのは2027年以降になる可能性が高い。それまでは、ハイブリッドデプロイメントが一般的であり続けるだろう。

PCI DSS、FIPS 140-3、NIST、NIS 2、HIPAAなどの規制基準やコンプライアンスフレームワークの下で運用されている企業は、PQC準備の強制に直面することになる。コンプライアンス監査は、暗号強度の検証にとどまらず、量子安全準備の証拠を求めるようになる。これは将来の話ではなく、今から準備を始めるべき現実である。

FAQ

ポスト量子暗号への移行はいつまでに完了すべきですか?

NISTは2035年までに量子脆弱アルゴリズムを標準から削除する方針である。ただし、連邦機関や高リスクシステムはより早い移行が求められる。CNSA 2.0では2033年が最終期限とされており、重要インフラを扱う企業は2030年までの移行完了を目指すべきである。

ハイブリッド暗号とは何ですか?

従来の暗号アルゴリズム(RSA、ECCなど)とPQCアルゴリズムを組み合わせて使用するアプローチである。片方が破られても他方で保護される冗長性を持ち、移行期間中の互換性と安全性を両立させる。FIPS 140-3の下でも検証可能である。

現在使用中のシステムはすぐに危険にさらされますか?

現時点では、RSAやECCを破壊できる量子コンピュータは存在しない。しかし、「Harvest Now, Decrypt Later」攻撃により、今日傍受されたデータが将来復号される可能性がある。長期間機密性を維持すべきデータ(医療記録、金融取引、政府機密など)は優先的に移行すべきである。

中小企業でもPQC移行は必要ですか?

規模に関わらず、機密データを扱うすべての組織に影響がある。ただし、中小企業は自社で暗号インフラを管理するよりも、PQC対応クラウドサービスやSaaSを採用することで移行を効率化できる。ベンダーのPQC対応状況を確認することが第一歩となる。

参考文献