無料 オンライン相談はこちら まずはお気軽にご相談ください

耐量子計算機暗号(PQC: Post-Quantum Cryptography)/ 量子コンピュータ / クリプトアジリティ / ハーベスト攻撃

耐量子計算機暗号(PQC: Post-Quantum Cryptography)/ 量子コンピュータ / クリプトアジリティ / ハーベスト攻撃

データ活用やDX成功に必要な考え方を、各種キーワードの解説で理解できる用語解説集です。

今回は、よく話題にされるようになってきた、量子コンピュータ(量子計算機)と暗号技術の安全性の関係について解説をします。

耐量子計算機暗号(PQC: Post-Quantum Cryptography)とは

耐量子計算機暗号(PQC: Post-Quantum Cryptography)とは、十分な能力を持った量子コンピュータ(量子計算機)が開発され、そのコンピュータの計算能力を用いて攻撃が行われても、解読などができず安全性が保たれる暗号技術のことです。

量子コンピュータの開発が実際に進みつつあること、および現在世の中で広く利用されている「公開鍵暗号」が安全性の根拠としている、素因数分解や離散対数問題の計算困難性について、量子コンピュータでは効率的に解を求めるアルゴリズムが見つかっていることから、量子コンピュータ時代になっても安全性が確保される耐量子計算機暗号が注目されるようになっています。

量子コンピュータが十分に実用化する時期はまだ先だと考えられますが、「今データを取得し、後で解読する」ことで後日攻撃を行う「ハーベスト攻撃」(HNDL:Harvest Now, Decrypt Later)のリスクが現時点でも生じており、一方で耐量子計算機暗号の標準規格がすでに策定され利用可能になっていることから、できるだけ早い対応、および今後の新たなリスクに備えての「クリプトアジリティ」(必要に応じて利用する暗号技術を変更できる能力)の実現が望まれる状況となっています。

量子コンピュータ登場後に、今使っている暗号は安全だろうか?

耐量子計算機暗号(あるいは耐量子暗号)が注目されるようになったのは、量子コンピュータ(量子計算機)の実用化が進みつつあることが、既存の暗号技術にとってリスクとなっているためです。

現代社会の安全安心を支える基盤となっている暗号技術

昨今ではITの利活用におけるセキュリティ確保の重要性は高まるばかりの状況であり、データの「安全安心」を確保する手段としての「暗号技術の活用」も重要になるばかりの状況です。利用者が自分自身で明示的にデータを暗号化して保護するような場合(暗号化ZIPファイルの活用など)のみならず、暗号技術は「インターネットでの安全安心なデータ転送」を「一般的に実現する手段」として非常に広範に利用され活躍しています。

暗号技術が安全に利用できなくなった場合には、安全なVPNやWeb会議など「リモートワーク」の実現、クラウドサービス一般の安全な利用、さらにはクレジットカード番号や住所などを安全に送信できなくなることからインターネット上での商取引自体も困難になるなど、社会活動そのものにも大きな悪影響が及ぶことが避けられません。

  • 「暗号なんて私に関係あるかな」と思ったかもしれません。でも暗号技術がダメになると、インターネットから安全安心が消え去り、多くの社会活動も止まってしまう大変なことが起こるかもしれない

「量子コンピュータ」が暗号技術にとってリスクとなる理由

では、量子コンピュータの開発が進んでいることが、どうして暗号技術にとってリスクなのでしょうか。それは、「量子コンピュータの計算能力が、我々が今使っているコンピュータよりも本質的に高い」と考えられているためです。

暗号化したデータが安全であるということはどういうことでしょうか。データが悪意のある人の手に渡って、解読や改ざんを試みても実施できないことです。現在広く利用されている暗号技術は、標準化されて技術の詳細が公開されているものなので「どうやって暗号化しているか」は解っているが「既知の解読方法では解読に必要な計算量が莫大すぎて実質的に解読できない」ことにより、暗号の安全性が保たれています。

つまり、「解読方法が解らない」からではなく「計算時間がかかり過ぎる」ことが現代の暗号の安全性の根拠なのです。そこで問題となるのは、「量子コンピュータは従来のコンピュータより計算能力が本質的に高い」と考えられていることです。そのため、従来のコンピュータでは時間がかかり過ぎて解読できないはずの暗号技術が、量子コンピュータを使えば実用的時間で解読できてしまう可能性が危惧されるようになりました。

  • 暗号技術が安全であるとは「既知の解読方法では、解読に必要な計算量が多すぎて実質解読できない」こと
  • 量子コンピュータにより、「実質解読できない」はずの暗号が「実用的な計算時間で解読できるようになる」ことが危惧されている

そして、広く使われてきた暗号技術の中に、量子コンピュータでは実用的時間で解読可能なことが解ったものが出てきたため(具体的には、インターネット上での通信の安全確保などで広く用いられてきた「素因数分解の難しさなど」を根拠にした暗号技術)、量子コンピュータ時代に備えて「暗号技術による安全安心」を確保しなおすことは避けられない状況となっていました。

「量子コンピュータ登場の脅威から守る」ことの難しさ

この状況を簡単に言うなら「暗号技術を量子コンピュータ時代にあわせてアップデートする」ことですが、実際には「それ以上」のことをせねばならないのが難しいポイントとなっています。

前述の通り、十分に実用的な水準の量子コンピュータが完成すれば、一部の暗号は解読できることが解っています。暗号が解読できるようになることは「国家レベルの安全保障上の問題」でもあるので、各国では巨額の予算を使った研究開発も進められています。そのため、最初にできあがる量子コンピュータとは非常に高価なものになる可能性が高く、さらには完成したこと自体が秘密にされる可能性もあります。

そういう状況ですから、実用的な量子コンピュータができ上がったとしても、我々の手元にも量子コンピュータの恩恵がすぐに届くとは考えにくい状況です。つまり、当面の間、このような「さらに厳しい状況」になってしまうと考えられます。

  • 暗号の攻撃者:実用的な量子コンピュータを所有し、さらには巨費を使って運用することができる前提
  • 我々:従来型のコンピュータしか持っておらず、さらには限られた能力のハードウェアの限られた演算能力しか使えない場合もある前提

つまり暗号技術を量子コンピュータ時代にアップデートするだけでは近い将来の「安全安心」を守るには不十分なのです。

攻撃者の側「だけ」が高い能力の量子コンピュータを保持し、莫大な予算を用いて攻撃ができる状況を想定する必要があり、なおかつ暗号技術を利用する側(防御側)は「量子コンピュータは当然に無い前提で、さらにはスマホ程度の限定された演算能力しかないこともある」という非対称すぎる状況を想定せざるを得ません。そのような前提でもなお「攻撃に耐え、安全安心が守られる」ことを実現しなければ、「量子コンピュータ登場後の安全安心」を守ることはできないのです。

このような「非対称すぎてかなり大変な状況」でもなお「安全安心が保たれる暗号技術」のことを「耐量子計算機暗号(PQC: Post-Quantum Cryptography)」と呼んでいます。

「量子コンピュータ」と「従来のコンピュータ」の能力の差異

さて、そこで本質的な問題となってくるのが「量子コンピュータとはそもそもどれくらいスゴイのか」ということになります。我々が今使っているコンピュータと「本質的に能力差が無い」のなら、暗号解読能力は全く同じなので影響は何もないことになります。一方で、「あらゆる問題を解いてしまう圧倒的能力がある」のなら、防御方法を見つけることは非常に困難になります。

世間で「量子コンピュータがスゴイ」としてなんとなく話題になっている時には、これまでのコンピュータと隔絶した能力がある、びっくりするくらいにすごいもので「恐ろしい能力差がある」という印象を持たれていることもあるように思います。しかしながら、能力差はあるけれども「世間で思われているよりも能力差は限定的」なところがあります。

本質的には「並列計算」

量子コンピュータは本質的には並列計算です。従来のコンピュータは各ビットに「1」か「0」を指定して入力し出力しますが、量子コンピュータでは「1」と「0」の量子重ね合わせ状態のままデータを入出力できます。

例えば、16bitのデータを入力して計算させるとするなら、従来のコンピュータでは当然に「具体的な入力値を一つ」選んで処理させる必要があります。対して量子コンピュータでは「16bitのデータが取りうる可能性全部」を一気に入力して全部計算させることができます。つまり、

  • 従来のコンピュータ:16bitの入力空間を全部調べるには、65536回(2の16乗)データを入力してそれぞれ計算させる必要がある
  • 量子コンピュータ:16bitの入力空間で入力できる値の可能性を全部「重ね合わせて」一回で入力して計算できる。

このようにして16bitの量子ビットなら理論上65536回までの計算を一度に、32bitなら理論上43億回までの計算を一度に実施できることになります。量子ビット数が増えると並列で探索できる解が一気に増えます。

言い換えれば「並列計算」以上のことはできない

しかしながら言い換えると、「それ以上のことは起こらなさそうである」ということになります(難しいと思った人も雰囲気だけ解っていただければ大丈夫です)。

  • 従来のコンピュータでは「一般的に解く方法がないことが証明されている問題」は引き続き解くことができない
    • 計算停止性問題など
  • 従来のコンピュータで「NP困難」(計算量が指数爆発して実用的に解けない)の問題が一般的に、量子コンピュータなら「実用的な時間」(多項式時間:P時間)で解けるようになるわけではない
    • 巡回セールスマン問題などは量子コンピュータでもNP問題のまま

「NP困難」「P時間」「解くことができない問題」などについてはこちらの記事もご覧ください
アルゴリズム / 計算複雑性理論(computational complexity theory) / P / NP|用語集

「量子コンピュータはすごい」という印象がひとり歩きし過ぎて、「NP困難な問題も解けるようになる」と思われていることもあるようですが、「量子コンピュータを用いても、NP困難な問題は多項式時間で解くことができない」と考えられています。

P<量子P<NP困難(と考えられている)

すなわち、量子コンピュータとは「実用的な時間(多項式時間:P時間)で計算できる問題」が、従来のコンピュータよりも増えると予想されていますが、「困難な問題(NP困難な問題)」は引き続き実用的に解けないと予想されています。

※「ではないか」「と予想されている」という表現が多いですが、実のところ量子コンピュータの能力は「きっちりと証明される形で解っていない」ことが多いためです。

ただし、今回のテーマである「暗号技術の安全性」においては、「その差分」が致命的な結果を生むことが危惧されています。

共通鍵暗号(AES)への影響はあるが「限定的」と考えられている

共通鍵暗号で実質的に世界標準の「AES」では、「影響はある」けれども「限定的」(対処できる範囲の影響)であると考えられています。

AESについてはこちらの記事もご覧ください
共通鍵暗号 / DES / AES(Advanced Encryption Standard)|用語集

すでにAESの暗号解読に用いることができる量子アルゴリズム(グローバーのアルゴリズム、サイモンのアルゴリズム)が見つかっているのですが、その影響は「暗号鍵の長さが半分相当になる程度の暗号強度の低下」ではないか、と考えられています。

  • AES128:非常にビット数の多い実用性の高い量子コンピュータが実用化したとして
    • 従来コンピュータでは「128ビットの鍵長」の分だけの強度
    • 量子コンピュータでは「64ビット相当」の強度まで落ちるかもしれない

「64ビットの鍵長のAES暗号」であっても従来のコンピュータでも解読困難ですが、非常に高い計算能力のあるコンピュータを使えば解読できるかもしれないくらいの強度となってしまいます。つまり危うい感じになります。でも「半分になる」のなら単に「鍵のビット数を倍にする」ことでも対策できてしまいます。

  • AES256:非常にビット数の多い実用性の高い量子コンピュータが実用化したとして
    • 従来コンピュータでは「256ビットの鍵長」の分だけの強度
    • 量子コンピュータ「128ビット相当」の強度まで落ちるかもしれない(解読できるとは考えにくい強度)

AESは現時点でも256ビットの鍵長で利用できるので、「AES256で暗号化しておけば、量子コンピュータが十分に実用化されても、現在知られている限りでは大丈夫そうである」ということになります。さらには実際に攻撃を行うためには、当面は実現が期待できないと考えて差し支えないくらいの「大量の量子ビット」を持つ量子コンピュータが必要になります。

なおも不安なら512ビットのモードを新たに設けるなどの対策も今後取られるかもしれません。AESに限らず、量子コンピュータの共通鍵暗号への影響は限定的であると考えられており、「鍵長を長くしておく」程度で対処できることが多いと考えられます。

ハッシュ関数への影響もあるが「限定的」だと考えられている

同じく、安全安心の実現で重要な役割を果たしている技術である「暗号学的ハッシュ関数」についても、共通鍵暗号と同じく「影響はあるが限定的」であると考えられています。

現在広く使われている「SHA-2」「SHA-256」では、強度低下は予想されるものの容易に攻撃できるようになることはないと考えられており、同じくビット数を増やすことで十分に強度を保てる程度ではないか、と予想されています。

影響が危惧されているのは「公開鍵暗号」

世間では暗号技術全般に深刻な事態が起きるかのように話題になっていることがありますが、量子コンピュータ時代になっても共通鍵暗号(あるいはAES)やハッシュ関数については致命的な影響はなさそうな情勢です。しかしながら、「公開鍵暗号」については事情が異なっており、量子コンピュータが実用化した後に現状のままでは大きな問題が起こることが懸念されています。

しかしながら公開鍵暗号、「インターネット上での安全な通信の実現」を実現する一般的手段として利用されており、自由に複製改ざんできるはずのデジタルデータで「改ざんできない電子署名」を実現する手段となっているなど、現代社会の安全安心そのものを広範に支えている非常に重要な技術となっています。もし公開鍵暗号が安全に利用できなくなると世の中に甚大な影響が及びます。

公開鍵暗号(および一方向性関数)については、こちらの記事もご覧ください
公開鍵暗号 / 電子署名 / 一方向性関数|用語集

現在広く使われている公開鍵暗号で「問題が起こること」が分かっている

上記リンク先の記事で説明したとおり、公開鍵暗号の実現においてカギになっているのは「一方向性関数」の存在です。詳しくは上の記事を参照してほしいですが、「AからBへの演算」は実用的な時間で行えるが、その逆である「BをAに戻す演算」は時間がかかり過ぎて現実的に実施できないような「何らかの処理」のことです。

RSA暗号など現在まで広く使われてきた公開鍵暗号では「一方向性関数」として「素因数分解の困難性」などが用いられていました。

  • 手計算、および従来のコンピュータでの素因数分解
    • 順方向の計算:手計算でも計算できる
      •  乗算は困難な処理ではない
      • 素数同士の掛け算(本当に素数):104381×103687=10822952747
    • 逆方向の計算:理論上は計算可能だが現実的な計算量ではない
      • 多項式時間(実用的な時間)では計算できない
      • 10822952747を因数分解してください:それはちょっと…

ところが量子コンピュータでは、素因数分解を現実的な時間(多項式時間:P時間)で実行できる「ショアのアルゴリズム(Shor's algorithm)」がすでに発見されています。

  • 量子コンピュータでの素因数分解
    • 順方向の計算:多項式時間(現実的な計算時間)で計算できる
      • 乗算は困難な処理ではない
    •  逆方向の計算:多項式時間で計算できるアルゴリズムが見つかっている
      • 桁数の多い数の素因数分解も現実的に行えてしまう

つまり、量子コンピュータでは「素因数分解は一方向性関数として機能しない」ことになります。素因数分解以外で従来から一方向性関数として利用されていたもの、例えば「離散対数問題」についても、同じくショアのアルゴリズムにより現実的な計算時間で解けることが解っています。

すなわち、我々が従来から使っていた公開鍵暗号は、量子コンピュータ時代には「実用的な時間で逆向きの演算ができる」ために「解読可能になりそうである」ということになります。

「公開鍵暗号」が安全ではなくなるとどうなってしまうか

公開鍵暗号は、安全安心を支える技術として広範に利用されているため、もし利用できなくなると世の中に大きな影響があります。

  • インターネット上での安全安心な通信が難しくなる
    • 「HTTPS」での通信が解読されてしまう
    • クレジットカード番号や個人情報(名前や住所など)を安全に送信できなくなって、ネット上での経済活動に大きな悪影響が出てしまう
    •  簡単な手順では安全な通信経路を作れなくなってVPNが実現困難になり、リモートワークなどが実施困難になる
  • 電子署名が捏造できるようになって「何が本物か」が判断できなくなる
    • 通信相手のWebサイトが本物である電子証明が信用できなくなる
      • 成りすましサイトではないことを検証できなくなり、通信経路で細工をされてニセのサイトに接続していても解らなくなる
    • スマホアプリやソフトウェアのアップデートの電子証明書が機能しなくなる
      • 真正で安全なものなのか、ニセモノなのかが解らなくなる
    • 電子メールが確かに本人から送信されたものか署名から確認できなくなる
      • あるいは手元にある電子的な文書が相手方企業から本当に届いたものなのかを、電子署名により確認できなくなる
    • 電子的な行政手続きが安全にできなくなってしまう
      • 真正であることの証明、本人であることの証明などが一般的にできなくなるため
    • ブロックチェーンが機能しなくなって、暗号資産が仕組みごと崩壊する可能性
      • ブロックチェーン上にあるデータについて権利の主張ができなくなり、改ざんや捏造による資産の盗難も可能になる(例えば、ビットコインにおける銀行口座番号のような存在である「アドレス」は電子署名の公開鍵)

ただし、実際に攻撃を成立させるためには、「十分に多くの量子ビット数を持った量子コンピュータ」が実用化している必要があります。現状の研究開発で実現している量子ビット数とは大きくかけ離れているため、近いうちに量子コンピュータのリスクが現実のものになる見込みがあるわけではありません。

なので、危機が差し迫っている状況というわけではないのですが「このまま量子コンピュータの研究開発が進んだら、いずれはどうなりますか?」ということは、考えておかなければいけない情勢にはなっています。

例えるなら、「来週にも超大型台風が東京を直撃しそうだ」というような切迫した状況にはないけれども、「今後30年以内に南海トラフ地震が発生する確率は80%である」くらいの感じにはなっているということです。

求められる対策:「代わりの一方向性関数」を見つけて置き換える

では、このような量子コンピュータの脅威に対して、どのような対策が必要でしょうか。幸いにして、公開鍵暗号の仕組みそのものが機能しなくなったわけではありません。

  • AESなどの共通鍵暗号は鍵長を伸ばす程度で対策可能とみられている
  • SHA-256などの暗号学的ハッシュ関数についても同様
  • 公開鍵暗号についても仕組みそのものが根こそぎダメになったわけではない。これまで広く利用されてきた「具体的な一方向性関数」がダメになっただけ

すなわち、「代わりの一方向性関数」を見つけて、量子コンピュータが実用化するより前に「新しい公開鍵暗号技術(すなわち「耐量子計算機暗号」)への乗り換えを済ませる」ことで対策ができます。

一方向性関数(および公開鍵暗号)については、こちらの記事もご覧ください
公開鍵暗号 / 電子署名 / 一方向性関数|用語集

そして幸いにして、代替となる一方向性関数として複数の候補が存在しており(代替技術自体が見当たらないような恐ろしい情勢ではない)、どの技術を採用するかなどの検討がすでに進められつつあります。

最有力なのが「格子問題」を用いた公開鍵暗号「格子暗号」

量子コンピュータでも実用的な時間で逆方向の計算ができない、新しい一方向性関数として以下のものなどが候補として挙げられています。

  • 格子暗号(Lattice-Based Cryptography)
    • 高次元空間上での、格子点(ベクトルによる座標が整数になるような規則的な点)に関連した問題である「格子問題」を解くことが難しいことを用いたもの。
      • 格子問題の例:最近ベクトル問題 (CVP: Closest Vector Problem)
        • 与えられた高次元空間上の点に対し、最も近い格子点を探す問題。二次元空間なら容易(周囲の4点から探すなど:4 = 2の2乗)に思えたりしますが、次元数が増えると(同じイメージなら「2の64乗」は「1844京」)指数的に絶望的な難しさになってきます。
  • ハッシュ暗号(Hash-based Cryptography)
    • ハッシュ関数の一方向性を用いたもの。原本のデータからハッシュ値を計算することは容易にできるが、そのハッシュ値になるような原本のデータを後から作ることは困難であることを用いたもの。
  • 多変数多項式暗号(Multivariate Public Key Cryptography)
    • 多変数の二次方程式を解くことが困難であることを利用したもの。
  • 符号暗号(Code-based Cryptography)
    • 通信エラーによって通信経路で一部のビットが化けても元のデータを復元できる技術である「誤り訂正符号」を用いたもの。エラーを起こしたデータから元のデータに戻すことは簡単にできるが、その逆はそうではない場合があることを用いたもの。
  • 同種写像暗号(Isogeny-based cryptography)
    •  二つの楕円曲線(超特異楕円曲線)が与えられた時、それらの間を結ぶ「同種写像」を見つける問題を用いたもの。

これらはいずれも、従来のコンピュータでも順方向の計算は実用的にできるけれども、逆方向の計算は量子コンピュータを用いても困難であると考えられている問題です。ただし、いずれも安全性が厳密に証明されているわけないことには注意は必要です。

アメリカ国立標準技術研究所(NIST)による耐量子計算機暗号の標準規格策定

「AES暗号が生み出された経緯」と同じように、アメリカ国立標準技術研究所(NIST)によって耐量子計算機暗号の策定作業が進められている状況です。AES暗号が作られるまでの経緯、および今回もどうしてそのような仕組みで暗号を決めているのかについては、以下の記事をご覧ください。

共通鍵暗号 / DES / AES(Advanced Encryption Standard)|用語集

今回も同じく、耐量子計算機暗号の要件が示され、世界中から提案が公募されています(2016年12月20日)。同じく、公募から決定までのすべてのプロセスをオープンで透明なものとし、権利関係などにも問題がなく、技術自体も全てオープンなものとして、世界中の誰でも無料で自由に利用できる暗号技術となる予定です。

公募に対して世界中から暗号技術が提案され、その中から次世代暗号となるべき技術の選定作業が行われていますが、次世代の公開鍵暗号で用いる一方向性関数として最も有望と考えられ本命なのが格子問題を用いた「格子暗号」です。

格子問題は優れた性質が多いとされるため有望視されていますが、暗号技術としての利用では歴史が長くないために、現在見つかっていない攻撃法や解読法が突然見つかって大変なことになってしまう可能性も懸念されており、他方式も併せて検討が進められています。

最初の「耐量子計算機暗号の最終標準規格」が策定されている

そしてとうとう、2024年8月13日に「最初の標準技術」が策定されています。つまり、耐量子計算機暗号への対応は、すでに「実際に取り組みを進めることができる」状況となっています。以下の三つで策定作業は終わりではなく、引き続いて他の技術の検討も進められています。

  • ML-KEM(FIPS 203):公開鍵暗号を用いた安全安心な通信の実現(鍵交換用)に用いる、格子暗号の一種
  • ML-DSA(FIPS 204):電子署名の実現に用いる、格子暗号の一種
  • SLH-DSA(FIPS 205):電子署名の実現に用いる、ハッシュ暗号の一種

「ML-KEM」はいわゆる公開鍵暗号で、公開鍵を用いて暗号化したデータ(以後の通信で用いる共通鍵の暗号鍵)を、秘密鍵を持っている相手に送付することで安全ではない通信経路での安全なデータ通信を実現します。格子問題の難しさを用いて実現されている格子暗号です。HTTPS(TLS)での安全な通信や、VPNを実現するような用途で今後活躍することが見込まれます。

「ML-DSA」は電子署名に用いる技術で、こちらも格子問題がベースとなっています。

「SLH-DSA」も電子署名に用いる技術ですが、格子問題そのものに「もしもの事態が起こる可能性」を考え、同種のリスクが低いと考えられるハッシュ暗号で実現されています。「ML-DSA」のバックアップの役割を果たし、効率性よりも安全性重視で作られており、何かが起こった場合にはこちらで置き換えられます。

これ以外にも「ML-KEM」のバックアップとなる格子問題ベースではない暗号技術も標準として策定される予定のようです。それまでは、従来技術(だが素因数分解ベースではない)の楕円曲線ディフィー・ヘルマン鍵共有などがバックアップとして用いられることになるようです。

耐量子計算機暗号への移行が既に進められている

具体的に「乗り換えるべき新技術」もできているわけですが、今後の移行はどのように進むでしょうか。

各国政府は2035年ごろまでの完全移行を目指していることが多い

世界の各国政府では耐量子計算機暗号への切り替えが進められようとしています。具体的には米国や英国で「2035年ごろまで」の完全移行、EUについても同様の時期までの完全移行が目指して加盟国間の調整を行っています。日本についても原則として2035年までの移行完了が方針として示されています。

アメリカについては、紹介してきた耐量子計算機暗号技術を策定した機関がそもそもアメリカ政府の機関(アメリカ国立標準技術研究所:NIST)ですから、技術策定は完了しておりすでに移行作業に着手している状態です。

それ以外の国は、技術的検討を行うところからになりますが、現実的にはそれぞれの国でゼロからの検討をやり直すのではなく、NISTの策定結果を独自に再検討して、概ね同じ技術が採用される(「ML-KEM」が他国でも採用されるなど)のではないかと考えられます。

「ハーベスト攻撃」のリスク(Harvest Now, Decrypt Later)

各国政府が対策を急いている背景には、量子コンピュータの実用化時期に関係なく対策が急がれる事情があります。

2035年までに量子コンピュータの実用化が予測されているわけではない

すでに書きましたが、量子コンピュータは差し迫った脅威というほどではありません。100量子ビット超の量子コンピュータが作られた話題や1000量子ビットを目指しているような話もあれこれ出てくるようになったものの、実際に暗号解読が実現できるようになるのはまだまだ先であると思われます。

量子ビット数以外の点においても、まだまだ難しい状況があります。例えば量子ビットの誤り耐性についても、量子状態を維持できる時間(コヒーレンス時間)についても、まだまだ実用化に向けて課題だらけの状況です。各国が移行目標としている2035年においても、公開鍵暗号を解読できる水準の実用的な量子コンピュータが実現しているとは考えにくい状態です。

早期の完全移行は容易ではない

一方で「完全移行する」とは、公的機関が利用している暗号技術を(気が付かずに利用しているものなども含めて)すべて洗い出して、場合によってはシステムの作り直しや新たな機器を導入するなどの手間をかけた上で、それらでの対応を全て済ませるということになります。2035年までの完全移行とは結構大変なスケジュールなので、移行が容易だから早めに対策しておこう、という話でもありません。

量子コンピュータの実用化がずっと先でも、リスクはすでに生じている

では、なぜ対策を急いでいるのでしょうか。

「もしかすると予想外に量子コンピュータが急速に実用化するかもしれない」リスクもありますが、「ハーベスト攻撃」(Harvest Now, Decrypt Later:今データを取得し、後で解読する)のリスクが懸念されており、それにより早期の対策が求められています。

執筆現在の2026年における量子コンピュータは十分な能力あるとは言い難い状態であり、近いうちに暗号解読を実現できるようになるとは思えない状況です。しかしそれでも、2026年のうちに「暗号化された通信データをキャプチャしておく」ことは可能です。

キャプチャしても今すぐには解読はできませんが、将来十分な能力のある量子コンピュータが実現したなら、その時点で「2026年に取得しておいたデータを解読する」ことが可能になります。

つまり「量子コンピュータの実用化がまだ先でも、耐量子計算機暗号を使っていないなら、『今行っている通信』の内容が将来に解読される可能性がありえる」ことになります。そのようなリスクを防ぎたいなら、早期に耐量子計算機暗号を導入して対策をしておくべきということになりました。

クリプトアジリティ:「必要に応じて迅速に、最新の暗号技術に切り替えられる」環境

危機は差し迫っているわけではなく、全ての暗号技術に重大な問題が出るわけではない、しかしながら「今すぐの対策」が求められることも解りました。では、具体的にどのような対策が必要になるでしょうか?

Webブラウザでは耐量子計算機暗号への切り替えが進んでいる

量子コンピュータへの対策が必要だと言われても、何をすればよいのか想像もつかないかもしれませんが、実は世の中ではすでに耐量子計算機暗号への切り替えが進められつつあります。

例えばWebブラウザでの対応が、すでに進んでいる状態です。「Chromeウェブブラウザ」ならは、2024年5月にリリースされたバージョン124から耐量子計算機暗号である「ML-KEM」でのHTTPS通信がデフォルトで有効になっています。「Firefoxウェブブラウザ」でも2024年10月にリリースされたバージョン132から「ML-KEM」が有効になっています。

実際にWebブラウジング時に耐量子計算機暗号での安全な通信(ML-KEMでのTLS)が行われるためには、Webブラウザ側での対応に加えて「通信先のクラウドサービス等もML-KEMに対応している必要」がありますが、こちらでも対応が進みつつあります。

例えば、代表的なWebサーバである「Apache HTTP Server」や「Nginx」でも OpenSSL 3.5以降を「HTTPS通信を実現するソフトウェア」として利用すれば対応できるようになっています。大手クラウドサービス、例えばAWSでも主要サービスでの対応が既に行われています。

問題は「十分に新しいバージョンにアップデートされている」状況とすること

このような状況はWebブラウザに限ったものではなく、広く利用されているソフトウェアの多くでは同様に耐量子計算機暗号への対応が進められつつあります。つまり、利用しているソフトウェア等を十分に新しいバージョンにアップデートすることができれば、多くの場合には「対応がなされた環境」となるような状況となってきています。

つまり実質的に問題となるのは、自社のITシステムやIT利用環境が「十分に新しいバージョン」になっているかどうかです。

加えて考える必要があるのは「今後に発生するかもしれないリスク」です。例えば「格子暗号に問題点が見つかってしまい、代替技術への置き換えが必要になった」事態が起こる可能性が心配されているわけですが、そのようなリスクへの備えとしても「必要に応じて対策がなされた新バージョンへ迅速にアップデートができる」環境であることが重要となります。

  • 自社が直接的・間接的に利用している暗号技術を把握する
  • 耐量子計算機暗号に対応しているバージョンに更新する
  • さらには「暗号技術に関係するソフトウェア等」を、必要に応じて十分に新しいバージョンに迅速にアップデートできるようになっていることが望ましい(クリプトアジリティ)

つまり、「新しい暗号に対応済み」とすることに加えて、「必要に応じて適切な暗号技術に素早く切り替えできる」こと、つまり自社で利用する暗号技術(クリプト)切り替えの俊敏性(アジリティ)が確保されていることが量子コンピュータ時代への対策として望まれます。

具体的には何をすべきか

Webブラウザであれば、一か月に一回程度は自動的にアップデートがなされるので「必要に応じた適切なアップデートが迅速になされる」状況が整っています。大手クラウドサービスについても、概ねはサービス側での対応が期待できることが多いはずです。

問題は「それ以外」がどうなっているかです。

自社で抱えているIT資産は大丈夫か?

例えば自社のWebサイトはどうなっているでしょうか。外部のWeb制作会社に丸投げで構築を依頼して、その後そのままになっているようなことは現実的に多いと思います。そのような場合、利用しているWebサーバが耐量子計算機暗号に対応していない古いバージョンのままになってしまう可能性があります。未対応のままになりそうなものがないか、確認が必要です。

大手クラウドサービス等を利用している場合でも、特に何もしなくても対応済みの状態が維持される場合ばかりではありません。定期的に何らかの作業を行わないとアップデートされた状態にならないこともあります。

また、適切なアップデートがそもそも利用できない場合もあります。利用しているパッケージソフトウェアやクラウドサービスによっては、適切なアップデートがそもそも提供されない場合もあるかもしれません。「代替となるものを探して置き換える」か、あるいは今使っているものを利用し続けるなら、通信やデータを「別の方法で保護しなおす」など、何らかの方法で安全性を確保しなおす必要があります。

自社で独自のITシステムを開発し運用している場合には、そのシステムで暗号に関連して利用しているミドルウェアを確認し、適宜アップデートできるようにする必要があります。

データの確認も必要

「データ」についても確認する必要があります。暗号化して保存してあるデータについては、量子コンピュータが十分に実用化した後にも安全性が保てることが期待できる方式であるかどうか、確認しておく必要があるでしょう。

さらには、過去に電子署名(デジタル署名)を行ったデータについても、同様に確認しておく必要があります。例えば、安全性を保てないリスクがある方式なら、将来に「偽の電子署名」や「電子署名したデータの内容改ざん」などが行えるようになり、過去に電子署名した真正なデータと区別不可能になってしまう事態に、今から備えておく必要があります。

レガシーシステムの耐量子計算機暗号対応

「新しいものに適宜アップデートできることが望ましい」となると、おそらく一番問題になるのは「昔からずっと使われてきたITシステム」(やクラウドサービス)をどうするかではないかと思います。いわゆる「レガシーシステム」と呼ばれるような存在をどうするかです。

「レガシーシステム」についてはこちらもご覧ください
レガシーシステム / レガシー連携|用語集

暗号が安全ではなくなるので対策が必要である、というホラーストーリーの圧力は強力ですし、古いものはダメだから新しくすべきなのだというのも強い主張になりやすい正論として定番かもしれません。ですが、現実とはそんなに簡単ではなかったりするものです。

例えば、メインフレームみたいな古いものは廃止すべきです、と言われたので「最新」のクラウドやパッケージソフトウェアに巨費をかけて移行したところ新システムで業務が廻らなくなってビジネスが崩壊してしまったとか、苦労して移行したものの多くの投資に見合っただけの効果はなかった、みたいなことは残念ながらありがちな結末です。

今はERPパッケージの時代だから、今はクラウドの時代だから、今はDXの時代だから、耐量子計算機暗号への対応が必要だから、「何か言われるたび」にシステム刷新をしていてはきりがありません。むしろ現実的には、レガシーシステムを上手に残しつつ、今の時代の機能が求められる部分にはクラウドサービスを採用して、新旧システムをうまく「連携」させた方が、結果的に「迅速かつ低コストに、時代に合ったITシステムを実現できる」ことがあります。本件でも現実的に、そのような対応が望ましい場合も多いはずです。

「以前からある」ソフトウェアでも対応十分なことがある

システムそのものでの対応が難しい場合においても、データや通信において「外界と接点がある部分」を量子コンピュータの脅威から保護しなおすことで対応ができます。刷新せずとも、レガシーシステムを上手に残すことは十分に可能になります。

また、「以前からあるソフトウェア等」だからと言って対応ができていないわけではありません。例えばメインフレーム、IBM社のものでは耐量子計算機暗号対応がすでに進められていて、特に問題なく利用できる環境の整備がなされています。

「レガシーシステム」と「最新のIT世界」をうまく併存させる手段になる、ファイル連携ミドルウェア「HULFT」

他にも同様に「対策がなされている」ものがあります。

弊社のファイル連携ミドルウェアの「HULFT」(ハルフト)は、メインフレームやUNIXでの利用を中心として、安全安心確実なデータ連携を実現する基盤製品のデファクトスタンダードとして、長い間利用いただいておりますが、以前から「AES暗号に対応」しており、これからも「状況に応じて耐量子計算機暗号への対応が続けられる」ことになっています。

さらに今ではHULFT、AWS上の「Amazon S3とのファイル連携」などオブジェクトストレージへの対応や、「マイクロサービスアーキテクチャのシステムのコンテナ上での動作を想定した機能整備が行われている」など、「最新のIT世界での利用」への対応も進んでいます。

むしろ、HULFTで「つない」でおけば、メインフレームやUnix、クライアントサーバシステムなどの「レガシーシステム」と、クラウド時代の「新しいITシステム」との新旧世界を、量子コンピュータへの対策も考慮した万全の「安全安心」で、自在に連携させて活用できる基盤として利用することができます。

ファイル連携ミドルウェア「HULFT」(ハルフト)についてはこちらをご覧ください
HULFTシリーズ|サービス

クラウドサービスやパッケージソフトウェアの切り替えを容易にする「つなぐ」技術

耐量子計算機暗号への適切な対応が利用できないので「代替となるクラウドサービスやパッケージソフトウェアを探して置き換える」対応を取るのだとしても、「すでに利用しているものから置き換える」のは一般的に、簡単なことでも、迅速に行えるものでもありません。

利用中のシステムからのデータ移行は大抵必要になりますし、新旧システムの双方にデータ連携できるようにした上で必要なデータ変換処理を用意するなど、それだけで大変な手間がかかることが良くあります。

さらには、ある日を境に一気に利用システムを切り替えできるとは限らず、並行稼働期間を経て移行せざる得ないのなら、なおさら手間と時間がかかることになります。

あるいは、そのような事情により、クラウドサービスなどを「移行したいと考えていてもできていない」ことや「複数のクラウドサービス間で、手作業でのデータの出し入れが頻繁に必要になってしまった」ようなこともよくあることではないかと思います。

本質は「データ連携」の問題である

このような状況はビジネスとしても望ましくありません。例えば生成AIが登場して、自社でも利用してみたい、と考えた時に、既存システムとのデータ連携はどうするんでしょうか?となって導入が難航するのも、あるいはその辺の事情はとりあえず無視して導入してみたが、他のITシステムとデータがつながっていないため、うまく活用できず成果が出ないようなことも避けるべきでしょう。これらも同種の問題であり、なおかつ「ありがちな状況」でもあります。

耐量子計算機暗号対応でも求められる「代替となるクラウドサービスやパッケージソフトウェアを迅速に導入できる」ようにするためには、このような「データ連携の問題」が解決されていることが望まれます。

「つなぐ」技術を活用ください

このような各種の「連携処理」を、「GUIだけ」で効率的に開発できる手段が存在します。EAI」や「ETL」、「iPaaS」と呼ばれる、「DataSpider」や「HULFT Square」などの「つなぐ」技術です。これらを活用することで、新旧システムをスムーズかつ効率的に連携させることができます。

データ連携ソフトウェア「DataSpider」についてはこちらもご覧ください
DataSpider Servista|サービス

「つなぐ」ことができるクラウドサービス「HULFT Square」についてはこちらもご覧ください
HULFT Square|サービス

おわりに:正しく恐れるべき「量子コンピュータの脅威」

世の中では、量子コンピュータとは従来のコンピュータとは隔絶した処理能力があるような印象の説明がなされていることがどうもあるように思えていますが、現実には「NP困難」の問題が一般的に解けるようになるとは考えられておらず、「実用的に解くことができる問題の種類が増える」程度でしかないところもあります。

既存の暗号技術に対する脅威としても、既存の暗号はすべて破られてしまうような印象を与える説明がなされていることがどうもあるように思えていますが、しかし説明したとおり、「公開鍵暗号」や「ハッシュ関数」については、「AES256」での暗号化を心がけるようにするなど「鍵長を十分に取る」ことにより、十分に対処可能なのではないかと考えられている状況です。

一方で、社会全体の安全安心の実現にとって重要な技術である「公開鍵暗号」では、従来から利用している暗号技術が量子コンピュータ実用化後に解読されることが危惧される状況にあります。

具体的には「今日、HTTPS通信で送信した個人情報やクレジットカード番号」が将来解読されてしまうリスクが「現時点」で発生しているので「今すぐの対策」が望ましいことや、これまでに行った「電子署名」の信用が、捏造や改ざんが自由にできるようになることで将来に失われるかもしれないことは、理解しておく必要があるのではないかと思います。

ただし公開鍵暗号についても、既に量子コンピュータの脅威に対処した、格子暗号などの「新しい暗号技術」が既に作られており、世の中への普及も既に始まっている状況でした。量子コンピュータの実用化はまだ先ですが、それでも「今すぐの対応」が望まれる状況です。

しかしながら、我々が取るべき具体的対策とは「常に最新バージョンにアップデートできるようにしておきましょう」という、むしろ以前から馴染みのあるような対策でした。ただし「既存のIT資産」がある場合には、どう対処すべきかを考えるべき状況もあります。そして、その悩みの本質は「つなぐ」ことで緩和できる問題ではないかと思われます。

また量子コンピュータ、安全安心にとっての脅威であるだけではなく、これまでのコンピュータでは難しかった問題を解くことで、「我々に新たなる恩恵をもたらしてくれる存在」でもあるはずです。AES暗号には致命的な影響はないが、一方でRSA暗号には致命的な影響が出てしまうという「まだら模様」の現実は、量子コンピュータ実用化後に何が起こり何をすべきかの理解のヒントにもなるのではないかと思っています。

同じく、量子コンピュータには「劇的に解けるようになる問題」と「そうではない問題」がおそらく出てくるはずで、劇的に解けるようになったことをビジネスでどう活躍させるか、どう活用すれば大きな成果につながるかを思いつくことができるかが将来問われることになるのではないかとも思います(「脆弱になったRSA暗号をハーベスト攻撃で解読して悪いことをする」以外で)。

関係するキーワード(さらに理解するために)

「iPaaS」や「つなぐ」技術に興味がありますか?

オンプレミスにあるITシステムからクラウドサービスまで、様々なデータやシステムを自在に連携し、IT利活用をうまく成功させる製品を実際に試してみてください。

「つなぐ」ツールの決定版、データ連携ソフトウェア「DataSpider」および、データ連携プラットフォーム「HULFT Square」

当社で開発販売しているデータ連携ツール「DataSpider」は長年の実績がある「つなぐ」ツールです。データ連携プラットフォーム「HULFT Square」はDataSpiderの技術を用いて開発された「つなぐ」クラウドサービスです。

通常のプログラミングのようにコードを書くこと無くGUIだけ(ノーコード)で開発できるので、自社のビジネスをよく理解している業務の現場が自ら活用に取り組めることも特徴です。

DataSpider / HULFT Squareの「つなぐ」技術を試してみてください:

簡易な連携ツールならば世の中に多くありますが、GUIだけで利用でき、プログラマではなくても十分に使える使いやすさをもちつつ、「高い開発生産性」「業務の基盤(プロフェッショナルユース)を担えるだけの本格的な性能」を備えています。

IT利活用の成功を妨げている「バラバラになったシステムやデータをつなぐ」問題をスムーズに解決することができます。無料体験版や、無償で実際使ってみることができるハンズオンも定期開催しておりますので、ぜひ一度お試しいただけますと幸いです。


「HULFT Square」で貴社のビジネスが変えられるか「PoC」をしてみませんか:

貴社のビジネスで「つなぐ」がどう活用できるのか、データ連携を用いた課題解決の実現可能性や得られる効果検証を行ってみませんか?

  • SaaSとのデータ連携を自動化したいが、その実現可能性を確認したい
  • データ利活用に向けて進めたいがシステム連携に課題がある
  • DXの実現に向けてデータ連携基盤の検討をしたい

用語集 コラム一覧

英数字・記号

あ行

か行

さ行

た行

な行

は行

ま行

や行

ら行

わ行

» データ活用コラム一覧

おすすめコンテンツ

関連コラム