量子コンピュータが現行の公開鍵暗号を破る「Q-Day」はまだ来ていない。しかし、その日に備える時間は刻一刻と減っている。NISTは2024年に耐量子暗号(PQC: Post-Quantum Cryptography)の標準アルゴリズム3種を確定し、EU・米国ともに2030年までにRSA・ECDSAの非推奨化、2035年までの完全禁止を表明した。2026年は「Year of Quantum Security」と位置づけられ、最初の拘束力あるPQCコンプライアンス要件が発効する年となる。本稿では、PQC移行の現在地と、組織が今すぐ着手すべき理由を分析する。

「今日盗んで明日復号」― Harvest Now, Decrypt Later

量子コンピュータの脅威を理解する上で最も重要な概念が「Harvest Now, Decrypt Later(HNDL)」である。国家レベルの攻撃者は、現時点では復号できない暗号化データを大量に収集・蓄積し、将来の量子コンピュータで一括復号することを狙っている。

この攻撃が深刻なのは、データの寿命が長い場合である。医療記録、外交通信、軍事機密、金融取引記録、知的財産――これらの情報は10年、20年の保護が必要だが、現行の暗号が10年以内に無効化されるリスクがある。「暗号の移行には時間がかかり、失った時間は取り戻せない」とNIST関係者は警告している。

Gartnerは、量子コンピューティングの進歩により、現在組織が依存している非対称暗号が2030年までに安全でなくなると予測している。つまり、Q-Day自体が到来する前から、HNDL攻撃によって実質的な被害は始まっているのである。

標準化の進展 ― NISTの3+1アルゴリズム

2024年、NISTは最初の耐量子暗号標準3種を正式にリリースした。鍵カプセル化メカニズムML-KEM(旧CRYSTALS-Kyber)と、デジタル署名アルゴリズムML-DSA(旧CRYSTALS-Dilithium)およびSLH-DSA(旧SPHINCS+)である。いずれも格子ベースまたはハッシュベースの数学的構造に依拠し、量子コンピュータによる攻撃に耐性を持つ。

2025年3月には4番目のアルゴリズムとしてHQC(Hamming Quasi-Cyclic)が選定された。これは符号ベースの方式であり、格子ベースのML-KEMとは異なる数学的基盤を持つ。万が一格子ベースの暗号に脆弱性が発見された場合のバックアップとして重要な冗長性を提供する。HQCのドラフト標準は2026年前半に公開され、2027年に最終化される予定である。

規制の加速 ― 2026年は「量子セキュリティの年」

2026年1月、FBI、NIST、CISAの幹部が一堂に会し、「Year of Quantum Security 2026(YQS2026)」の開幕を宣言した。米国政府はトランプ大統領の大統領令14306に基づき、CISAが連邦調達における耐量子技術製品の義務化ガイダンスを発表している。

EUもPQC移行のタイムラインを明確化した。加盟国は2026年末までにPQC移行を開始し、2030年までに非推奨化、2035年までに現行アルゴリズムの完全禁止を求めている。Europolは金融機関向けの移行優先順位フレームワークを公表し、リスクベースのアプローチで段階的な移行を促している。

Palo Alto Networksは2026年1月30日にQuantum-Safe Securityソリューションの提供を開始した。2026年は、PQCが「理論的な備え」から「拘束力あるコンプライアンス要件」へと転換する元年となる。

業界の準備状況 ― 91%がロードマップ未策定

Trusted Computing Groupの報告書は、業界の深刻な準備不足を浮き彫りにしている。91%の専門家が正式なPQCロードマップを持たず、80%が現行の暗号ライブラリとHSM(ハードウェアセキュリティモジュール)がPQC統合に未対応であると回答している。コンプライアンス準備評価を開始した組織はわずか39%にとどまる。

一方で、半数以上が2026年中に少なくとも1つのPQCアルゴリズムを導入する見込みと回答している。量子コンピューティング企業への投資も加速しており、2025年1〜9月で37.7億ドルの資金調達が行われた。これは2024年通年の13億ドルのほぼ3倍である。

移行戦略 ― 3つの実践原則

PQC移行は「暗号アルゴリズムの差し替え」という単純な作業ではない。ソフトウェア、ハードウェア、調達サイクル、コンプライアンスフレームワーク、グローバルサプライチェーンに波及する複雑な工程である。公開鍵基盤(PKI)の場合、移行に10年以上を要することもある。

専門家が推奨する移行の3原則は以下の通りである。第一に暗号インベントリ――組織内のすべての暗号資産(アルゴリズム、鍵、証明書、プロトコル)を棚卸しし、依存関係を可視化する。第二に暗号アジリティ――将来のアルゴリズム変更に柔軟に対応できるよう、暗号をハードコードせず抽象化レイヤーを設ける。第三に暗号の多層防御――単一のアルゴリズムに依存せず、複数の暗号方式を組み合わせて耐性を高める。

暗号移行は「アップグレード」ではなく「変革」である。Q-Dayを待ってから動くのでは遅い。HNDL攻撃に対しては、今日の暗号化データがすでに脅威にさらされている。2026年は、PQC移行を「いずれやる課題」から「今すぐ着手する必須事項」へと格上げすべき年である。

FAQ

耐量子暗号(PQC)はなぜ今必要なのか?

量子コンピュータが現行暗号を破るQ-Dayはまだ到来していないが、「今日盗んで明日復号」するHNDL攻撃は既に進行中である。また、暗号移行には数年から10年以上を要するため、2030年の非推奨化に間に合わせるには2026年の着手が不可欠である。

NISTの耐量子暗号標準とは何か?

NISTが2024年に確定した3種の標準アルゴリズム(ML-KEM、ML-DSA、SLH-DSA)と、2025年に追加選定されたバックアップアルゴリズム(HQC)の計4種である。格子ベースとハッシュベース、符号ベースの異なる数学的基盤を持ち、冗長性を確保している。

PQC移行で最初にすべきことは何か?

暗号インベントリの作成である。組織内で使用されているすべての暗号アルゴリズム、鍵、証明書、プロトコルを棚卸しし、どのシステムがPQC非対応かを特定することが移行の第一歩となる。

参考文献