耐量子暗号とは
耐量子暗号(PQC:Post-Quantum Cryptography)は、将来の量子コンピュータでも解読できない暗号アルゴリズムです。現在広く使われているRSAや楕円曲線暗号(ECDSA/ECDHE)は、十分な性能の量子コンピュータが実現すると解読されるリスクがあります。
量子コンピュータの脅威
「Harvest Now, Decrypt Later」攻撃
最大の脅威は「今暗号化されたデータを収集しておき、将来量子コンピュータで解読する」という攻撃です。国家機関レベルでは既にこの戦略が取られていると言われています。長期間機密性が求められるデータ(政府情報、医療データ、知的財産等)は早急な対策が必要です。
NISTの標準化
NISTは2024年8月に以下の3つのPQCアルゴリズムを正式に標準化しました。
| アルゴリズム | 用途 | NIST文書 |
|---|---|---|
| ML-KEM(CRYSTALS-Kyber) | 鍵交換・鍵カプセル化 | FIPS 203 |
| ML-DSA(CRYSTALS-Dilithium) | デジタル署名 | FIPS 204 |
| SLH-DSA(SPHINCS+) | デジタル署名(ハッシュベース) | FIPS 205 |
企業への影響
TLS通信
TLS 1.3でのPQC対応が進んでおり、ChromeやFirefoxは既にML-KEMを使ったハイブリッド鍵交換(X25519MLKEM768)をサポートしています。Webサーバー側もOpenSSL 3.5以降でPQC対応が進む見込みです。
VPN
IPsec/IKEv2やWireGuard等のVPNプロトコルもPQC対応が議論されています。FortiGateやPalo Alto等の主要VPN製品のPQC対応はこれからです。
証明書・PKI
サーバー証明書の署名アルゴリズムもPQCへの移行が必要ですが、証明書チェーン全体の移行には時間がかかるため、当面はハイブリッド方式(従来暗号+PQC)が推奨されます。
対応ロードマップ
| 時期 | アクション |
|---|---|
| 今すぐ | 自社で使用している暗号アルゴリズムを棚卸し(TLS、VPN、メール暗号化等) |
| 2026年 | 暗号移行の影響範囲を把握し、移行計画を策定 |
| 2027〜2028年 | TLSサーバーのPQCハイブリッド対応を順次実施 |
| 2030年まで | NSAの推奨期限。CNSAスイート2.0への完全移行を完了 |
まとめ
耐量子暗号は「将来の話」ではなく、NISTの標準化が完了し、ブラウザやTLSライブラリでの実装が始まっています。まずは自社の暗号利用状況の棚卸しから始めましょう。