1.はじめに
量子コンピュータの商用化が現実味を帯びてきています。Googleは、2029年までに100万量子ビット搭載の量子コンピュータの開発をめざすロードマップを公開し、2024年12月には新しい量子チップ「Willow」(※1)を発表したことで、話題を呼びました。
量子コンピュータが実現すると問題になるのが、暗号の危殆化です。2025年5月には、ある一定の条件下において、100万量子ビット未満で1週間以内にRSA-2048を解読できる、とする論文(※2)が発表され、従来見積もられていたよりも短時間でRSAを解読できる可能性が示されました。
さらに、米国国立標準技術研究所(NIST)からは、2035年までにRSAをはじめとする公開鍵暗号を「量子コンピュータでも破られない暗号アルゴリズム=耐量子計算機暗号(Post-Quantum Cryptography; PQC)」へ移行する案が示されており、PQCへの移行が喫緊の課題となっています。
そこで本稿では、NISTによるPQCの標準化動向や各国のセキュリティ機関の動向、また移行先の暗号アルゴリズムについて解説していきたいと思います。
NTT DATAでもPQC移行に関して積極的に取り組んでおり、開発中の鍵管理システム内で動作する暗号ライブラリにPQCを組み込む計画を立て、鋭意開発中です(※3)。
2.NISTによるPQCの標準化動向
2024年12月、NISTからPQC移行に関する期限を定めたNIST IR 8547のドラフト(※4)が公開されました。ドラフト内には、2030年までに既存の公開鍵暗号の内、一定の鍵長以下のものを非推奨に、2035年までに全ての鍵長のものを使用禁止にすると記載されています(図1)。
図1:NIST IR 8547(ドラフト版)に記載されている既存アルゴリズムの使用期限
NIST IR 8547については、NISTから初めて既存アルゴリズムの利用期限が示されたことから、多くの注目を集めました。公開後、集まったパブリックコメント(※5)では、「2035年は早いのでは」「2035年の根拠を示すべきだ」「使用期限を定めるのであれば、同時に移行先も明記すべきだ」といったコメントが寄せられ、今後の正式版の公開にも注目が集まっています。
NISTでは、2016年からPQCの標準化活動が進められています。現在、2つの鍵交換アルゴリズムと3つの署名アルゴリズムが標準に決定していて、署名アルゴリズムについては追加で審査が進められています(図2)。
図2:NISTのPQC標準化スケジュール
標準化が決まった5つのアルゴリズムを表1に示します。
表1:標準化に決定したアルゴリズムとその特徴
鍵交換・署名カテゴリのそれぞれについて、メインで利用するアルゴリズムと、そこで脆弱性が見つかった際の代替となるアルゴリズムが定められています。また、署名については、セキュリティ的により強固だが署名サイズが大きいSLH-DSAや、より省リソース環境でも動作可能なFN-DSAが代替として選定されていて、ユースケースごとの使い分けができるようになっています。
3.各国のセキュリティ機関の動向
米国のNISTに加えて、各国のセキュリティ機関でも、独自でPQCへの移行推奨事項をまとめつつあります(表2、図3)。
表2:各国のPQC移行ガイドラインの公開状況と見解
図3:各国の既存アルゴリズムの利用期限
PQCへの移行時期については、緊急度の高いケースについては2030年までに、それ以外については2035年までの移行完了を目途としている機関が多くなっています。また、移行先のアルゴリズムについては、NIST標準化アルゴリズムを推奨する機関が多い一方で、ドイツやフランスなど独自のアルゴリズムを推奨する機関もあります。既存のアルゴリズムとPQCを組み合わせたハイブリッドモードを導入するか否かといった点については、各国でも見解が分かれています。
米国については、2025年6月に、サイバーセキュリティに関する大統領令(※6)の内容が訂正され、量子コンピューティングに関する取り組みが一部縮小されました。具体的には、「米国の調達要件にPQCを含めること」「できるだけ早くネットワークセキュリティ製品にPQC鍵確立もしくはPQCを含むハイブリッド鍵確立を実装すること」「NISTが標準化したアルゴリズムへの移行を推奨すること」といった条項が削除されました。これにより、今後の標準化活動へどのような影響を与えるのか、注目したいところです。
4.移行先どうする?
PQCへ移行する際、PQC単体に移行するか、既存のアルゴリズムとPQCを組み合わせたハイブリッドモードを導入するか、といった問題があります。PQC単体で利用する場合とハイブリッドモードを採用する場合のメリット・デメリットは以下の通りです(表3)。
表3:ハイブリッドモードのメリット・デメリット
現状、ハイブリッドモードについては許可または推奨している国の方が多いですが、ハイブリッドモードについては論点が複数存在しているため、実装を検討する際にはこれらについてきちんと考慮する必要があります(表4)。
表4:ハイブリッドモードに関する論点
5.パブリッククラウドの対応状況
NISTの標準化動向に合わせて、各パブリッククラウドベンダでも、PQCへの移行の動きがみられます(表5)。
表5:パブリッククラウドのPQC対応状況
主要パブリッククラウド3社(Amazon Web Service、Microsoft Azure、Google Cloud)は全て、NISTのPQC標準化活動に関してアルゴリズムの提案段階から関与しています。また、各クラウドで採用している暗号ライブラリに、標準化文書が公開済みの3アルゴリズム(ML-KEM、ML-DSA、SLH-DSA)を実装するなど、積極的にPQC移行に取り組んでいることが分かります。
NTT DATAのPQCコンサルティングサービスについてはこちら:
https://www.nttdata.com/global/ja/news/topics/2024/112900/
NTT DATAのPQCに関するホワイトペーパーについてはこちら:
https://www.nttdata.com/jp/ja/-/media/nttdatajapan/files/services/security/whitepaper_pqc_migration_ja_20230920.pdf?rev=3786783653ba4a91a9df25297ef188a9
あわせて読みたい: