量子時代の暗号導入概要
量子時代の暗号対応は、将来に備えた研究投資ではない。すでに始まっている情報インフラの更新工事である。問われているのは技術の細部ではなく、暗号の利用実態を把握し、順序立てて更新する判断である。これが、今後の情報セキュリティにおける競争力を左右する重要な要素である。
1.量子コンピュータが突きつけた暗号の使用期限
これまで私たちが使ってきた暗号技術は、解くのに膨大な計算時間がかかるという前提の上に安全性が成り立ってきた。代表例が現在も広く使われている公開鍵暗号である。しかし、量子コンピュータが実用化されると、この前提そのものが揺らぐことになる。量子計算では、従来の計算機では現実的でなかった計算を高速に行えることから、将来的には、現在の公開鍵暗号が依存してきた数学的な難しさが突破される恐れがある。
特に深刻なのがHarvest Now, Decrypt Later(今収集して後で解読)と呼ばれる問題である。これは、現在は解読できない暗号通信や暗号化データであっても、第三者がそれを保存しておけば、将来、量子コンピュータが実用化された時点で一気に解読されてしまう可能性があるというリスクである。つまり、量子コンピュータが完成してから慌てて対策するのでは遅く、機密情報の保存期間が長い分野ほど、前倒しで暗号の更新が求められるという現実が生まれている。
2.世界の主戦場は※格子暗号※中心の耐量子計算機暗号へ収斂
量子コンピュータの進展を背景に、世界の暗号対策は大きな転換点を迎えている。現在、量子時代に向けた暗号対策は大きく二つの系統に分けられる。
ひとつは、既存のインターネットや企業ネットワークの上で動作するPost-Quantum Cryptography(耐量子計算機暗号)である。これはソフトウェア更新を中心とした対策で、量子コンピュータを用いても解くことが難しい数学問題に安全性の根拠を置く。具体的には、格子理論、誤り訂正符号、多変数方程式、ハッシュ関数などの数学的困難性を利用する方式が含まれる。
もうひとつは、量子力学の性質そのものを利用して盗聴の有無を検知する Quantum Key Distribution(量子鍵配送)である。こちらは専用回線や通信装置など、通信インフラ寄りの投資が必要になる。
現実の世界展開を見ると、まず汎用システムを広く守ることができ、既存インフラに載せやすい耐量子計算機暗号が圧倒的な主戦場となっている。一方、量子鍵配送は、政府、軍事、基幹通信など、特に高い保証が求められる限定領域で併用される、という役割分担が明確になりつつある。ここで重要なのは、実務・標準・実装の観点では、この耐量子計算機暗号の中でも「格子暗号」が事実上の中核になっているという点である。理論的には、耐量子計算機暗号は格子暗号だけで構成されるものではなく、符号理論暗号やハッシュベース暗号なども含む広い概念である。しかし実際の標準化と実装の現場では、格子暗号を主軸に据え、ハッシュベース暗号などを補助的・保険的に組み合わせる構造へと収斂している。
※格子暗号とは、無数に並んだ点の中から正解の点を探し出すのが極めて難しい性質を利用した暗号のことである。
3.米国標準化が世界共通の道筋を示した
耐量子計算機暗号を一気に実用段階へ押し上げたのが、NIST(National Institute of Standards and Technology米国国立標準技術研究所)による標準化である。同研究所は2024年8月、政府として正式に利用可能な最初の耐量子暗号標準を公表した。これらはいずれも、耐量子計算機暗号の中核を成す「格子暗号」に基づく方式である。これにより、研究中の方式ではなく、政府が保証する実装基準が明確に示された。この標準には、通信開始時に使う鍵の受け渡しを担う方式と、電子署名を担う方式が含まれている。企業にとって重要なのは、これにより暗号対応が様子見から実装前提の段階に移行した点である。世界中の企業が、同じ基準を前提にシステム更新を進められる環境が整ったと言える。
4.暗号は通信と信頼の二本柱で成り立っている
暗号というと一つの技術のように見えるが、実務上は大きく二つの役割に分かれている。一つは、通信を始める際に安全な共通鍵を共有するための鍵交換である。インターネット通信の多くは、最初にこの鍵交換を行い、その後は高速な共通鍵暗号でデータをやり取りしている。この部分を量子耐性のある方式に置き換えることが、耐量子暗号移行の中核となる。
もう一つは、電子署名である。電子署名は、ソフトウェア更新の正当性確認、電子証明書、本人認証など、その情報を信頼してよいかを保証する役割を担っている。企業活動の根幹に関わるため、こちらの更新も極めて重要である。したがって今回の暗号移行は、単なる技術変更ではなく、通信の安全性と信頼の仕組みという二本の背骨を、段階的に差し替える大規模なインフラ更新と理解すべきである。
5.現場で選ばれたハイブリッド方式という現実解
実際の運用現場では、いきなり新しい耐量子暗号だけに切り替えることは避けられている。その代わりに広がっているのが、従来の暗号方式と耐量子計算機暗号を同時に使うハイブリッド方式である。この方式では、どちらか一方に未知の弱点が見つかった場合でも、もう一方で安全性を維持できる。慎重さが求められる金融・通信分野において、現実的な落としどころとして受け入れられている。この考え方は、IETF(Internet Engineering Task Forceインターネット技術標準団体)でも正式に受け入れ、通信の安全を守る国際標準に組み込まれつつある。
6.実用化の本質は期限ではなく順番にある
各国政府や標準化団体が共通して強調しているのは、ある日を境に全面切替を行うという考え方ではない。重要なのは、どの順番で暗号を置き換えるかである。一般的には、まず医療情報や国家機密、知的財産、金融中枢といった長期間守る必要のあるデータを耐量子暗号で保護する。次に、インターネット通信そのものをハイブリッド方式へ移行し、最後に電子証明書や電子署名といった信頼基盤を全面的に更新するという流れが推奨されている。
この移行で最も重要なのは、量子コンピュータがいつ完成するかを予測することではない。自分たちがどこで暗号を使っているかを把握し、暗号を差し替え可能な設計にしておけるかが成否を分ける。すでにCloudflareやAppleといった世界的企業は大規模な実装を開始しており、世界は研究段階を越え、移行設計と運用実装の段階に入ったと言える。
分野別暗号実用化の動向
量子時代への移行は、暗号を全部入れ替えるのではなく、要所から差し替える仕事である。業界によって最初に守るべき資産は異なる。金融は外部との入口である通信が効きやすく、通信は相互接続と設備更新が急所になり、行政は証明書と公文書署名が根となる。製造はコード署名と装置認証が止血点になり、医療は保存データと鍵管理が先行する。しかし、差し替える暗号の部品はほぼ共通である。鍵の受渡しはML-KEM(移行期は従来方式との二重化)、署名はML-DSAを中心に、SLH-DSAを保険として組み合わせる。この流れが世界標準になりつつある。重要なのは、暗号を変えるではなく、どこから順に差し替えるか、組織・会社の資産と運用実態に合わせて設計することである。
1.全業界共通の結論
最初に置き換えるべきは「鍵の受け渡」しと「署名」である。量子時代の暗号移行は、暗号を全部入れ替えるという話ではない。実務の本質は、これまで公開鍵暗号が担ってきた二つの役割である。一つは鍵交換(鍵カプセル化方式、いわゆる鍵の受け渡し)であり、もう一つは電子署名(Digital Signature)である。それらをどのシステム層から順番に差し替えるかをいかに設計するかという問題である。
世界の流れとしては、米国の標準化機関であるNIST(米国国立標準技術研究所)が定めた耐量子暗号を軸に、鍵交換ではML-KEM(Module-Lattice Key Encapsulation Mechanismモジュール格子型鍵カプセル化方式)、署名ではML-DSA(Module-Lattice Digital Signature Algorithmモジュール格子型電子署名方式)と、保険としてSLH-DSA(Stateless Hash-based Digital Signature Algorithmステートレス・ハッシュ型電子署名方式)を使う方向に収れんしている。
また移行期の現実解として多く採られているのが、従来方式と新方式を同時に使う二重化である。たとえば、TLS(※Transport Layer Security通信路を暗号化する仕組のことでいわゆる通信の暗号化標準)では、従来の鍵交換とML-KEMを組み合わせて使う方式が、実運用の落としどころとして整備されつつある。
2.優先順位の基本
どの業界でも共通して有効な進め方は、どこで公開鍵暗号を使っているかを棚卸しし、優先順位を付けて潰していくことである。典型的には、次の順番が最も分かりやすい。まず手を付けるべきは、外部からの入口にあたるTLS(Transport Layer Security通信路暗号化)と、拠点間接続を守るVPN(Virtual Private Network仮想専用線いわゆるVPN)である。ここが量子対応でないと、いま盗まれて保存され、将来まとめて解読されるリスクに弱いことになる。
次に重要なのが、組織の信頼の土台であるPKI(Public Key Infrastructure公開鍵基盤・証明書の仕組)と、ソフトウェアの正当性を担保するCS(Code Signingコード署名・ソフトウェア署名)である。署名が破られると、正規を装った更新や偽のソフトウェア配布が成立してしまい、長期運用の安全性が根元から崩れる。
その後に、鍵を保管・配布する仕組であるKMS(Key Management Service鍵管理サービス)やHSM(Hardware Security Module耐タンパー鍵保護装置)を確認し、最後にデータベース暗号化やバックアップ暗号化といった保存データ側を整理するという流れが現実的である。保存データの暗号化自体は多くの場合、共通鍵(高速に暗号化する方式)で行われているため、問題になりやすいのは鍵の受渡に公開鍵が残っていないかという点である。
3.金融分野
金融分野では、まず入口の通信を固め、次に証明書と署名を計画的に更新する。金融は、取引履歴、本人確認情報、与信情報、決済ログなど、盗まれた後も価値が残り続けるデータが多い。そのため、最優先は入口の通信、すなわちTLS(Transport Layer Security通信路暗号化)とVPN(Virtual Private Network仮想専用線)の量子対応である。移行期は、従来方式とML-KEMを組み合わせる二重化により、互換性と安全性の両方を確保しながら進めるのが合理的である。
次に重要なのが、証明書と署名の世界である。金融のシステムは信頼の鎖で動いており、その中心にPKI(Public Key Infrastructure公開鍵基盤)とCS(Code Signingコード署名)がある。ここは一気に変えると障害が出やすいので、証明書の更新周期や階層構造(ルート、中間、端末)を踏まえ、段階的に署名方式を切り替える計画が必要になる。現実的には、ML-DSAを中心に据え、重要領域ではSLH-DSAを保険として併用する設計が手堅い。
また、データベースやバックアップの暗号化は、多くが共通鍵方式であり、量子対応の中心は鍵長や運用方針の調整になる。ただし注意点は、鍵管理の仕組(Key Management Service鍵管理サービス)で公開鍵暗号が使われている場合である。ここに古い方式が残っていると、将来そこが回収点になり得るため、鍵の包み方(鍵を安全に渡す仕組)をML-KEMへ置き換えることが実務上の急所となる。
4.通信分野
通信分野は相互接続の通信と、設備更新の署名を先に固める。通信事業者は、相互接続が多く、通信の終端(暗号を解いて再度暗号化する地点)が増えやすい。したがって最初に固めるべきは、相互接続点や社内APIなどのTLS(Transport Layer Security通信路暗号化)である。TLSでML-KEMを使えることと、移行期は従来方式との二重化で既存互換を維持できることが調達要件になる。
同時に、通信業界で特に痛いのは設備管理の信頼が壊れることである。基地局やルータ、監視サーバなどの更新は広域に分散し、運用上の生命線となる。もし署名が偽造できる状態になると、正規を装った更新で設備全体が危険にさらされる。したがって、ファームウェア更新や設定配布の署名を、早期にML-DSA中心へ寄せることが合理的である。必要に応じて、性質の異なるSLH-DSAをバックアップとして持つ設計が長期運用には向いている。
また高保証が求められる区間、たとえばデータセンター間や基幹区間では、PQC(Post-Quantum Cryptography耐量子計算機暗号)で広く底上げしつつ、区間限定でQKD(Quantum Key Distribution量子鍵配送)を併用するという現実的な構図が採られるだろう。全域展開ではなく最重要区間の追加保証として使うのが、投資対効果の面でも整合的である。
5.行政分野
行政分野は保存期間が長いからこそ証明書と文書署名から逆算する。行政の価値は、住民情報や公文書、証明書の真正性が長期間保たれる点にある。言い換えると、行政は保存期間が長い真正性そのものが資産であり、署名が根である。したがって行政の第一優先は、通信から入るのではなく、PKI(Public Key Infrastructure公開鍵基盤)と電子署名の更新計画から逆算して作ることが重要である。
具体的には、電子申請、住民関連の基盤、電子契約、公文書の真正性を支える署名を、ML-DSA中心で切り替えていくことが必要になる。証明書は階層構造で動いているため、ルートから端末までの更新順序とタイミングを設計し、長期的に法的安定性が揺らがないように進めることが要点である。
一方、国民向けの多数のサービスを抱える行政では、TLS(Transport Layer Security通信路暗号化)やVPN(Virtual Private Network仮想専用線)は一括更新した方が管理が容易である。個別システムをばらばらに改修するより、入口となるゲートウェイ層で二重化し、移行速度を上げる設計が現実的である。
さらに行政では調達の力が大きい。端末やエージェント、配布ソフトウェアに対し、コード署名の将来切替を前提にした要件(暗号方式を差し替え可能な設計)を明記することで、ベンダ側の実装を強制できる。長い更新サイクルを持つ行政ほど要件化が効果的である。
6.生産分野
生産分野は、生産が止まるのは盗聴より偽更新なので、署名と装置認証を最優先に行う。製造業の本丸は、工場設備や運用技術(いわゆるOT領域)とサプライチェーンにある。ここでは、通信の盗聴以上に、偽の更新、偽の制御ソフト、偽の装置認証によって現場が止まることが最大のリスクとなる。したがって最優先は、更新経路の正当性を担う署名と装置認証の仕組である。
具体的には、制御機器やゲートウェイの更新を支えるCS(Code Signingコード署名)をML-DSA中心で固め、装置認証を担うPKI(Public Key Infrastructure公開鍵基盤)を同時に整備するのが重要である。耐量子暗号の標準が確定したことで、産業機器ベンダも共通仕様に合わせやすくなる。
工場内の通信はレガシーが多く、一気に更新しにくい。そこで現実的には、新設・更新する経路(リモート保守、データ収集の入口、クラウド連携)から段階的にTLS(Transport Layer Security通信路暗号化標準)の二重化を行い、境界装置で吸収する進め方が適している。
保存データやバックアップは、長期保存が必要な設計データや品質データを優先する。その際、鍵管理の仕組に古い公開鍵暗号が残っていないかを先に潰すことが重要である。KMS(Key Management Service鍵管理サービス)やHSM(Hardware Security Module耐タンパー鍵保護装置)が実務のボトルネックになりやすい。
7.医療分野
医療分野は通信より先に保存データと鍵管理を固め、真正性の署名計画を持つことが重要である。医療は、カルテ、検査結果、遺伝情報、画像データなど長期間にわたり機密性が高い情報が多い。したがっていま盗まれて保存され、将来まとめて解読されるリスクの影響が大きく、通信だけを先に固めても不十分になりやすい。医療ではむしろ、バックアップやアーカイブを含む保存データの鍵管理から逆算して、公開鍵暗号が使われている箇所をML-KEMへ置き換えるのが合理的である。
その上で、院外接続(クラウド連携、遠隔医療、委託先接続など)の露出が高い部分から、TLS(Transport Layer Security通信路暗号化標準)の二重化を行い、内部は更新周期に合わせて追随させるのが現実的である。入口で吸収できる設計にしておけば、個別改修を減らしながら移行速度を上げられる。
また医療は真正性が重要である。医師署名、電子処方、監査ログ、医療機器の更新などは説明責任と直結するため、署名方式の移行計画が欠かせない。ここはML-DSAを中心にしつつ、重要文書や長期運用ではSLH-DSAをバックアップとして併用する設計が手堅い。
国別暗号政策
暗号政策は国家戦略の鏡である。各国の方針は違って見えるが、本質は共通している。暗号はもはや技術の選択ではなく、国家の安全保障、産業の競争力、社会インフラの信頼性を支える設計図になっている。各国の政策を見ると、方向性は違っても、共通して標準・実装・ルールの三点をセットで進めている。
1.アメリカ
アメリカは、暗号の世界で標準を決める国であり、同時にその標準を巨大産業で一気に広げる国である。標準の司令塔はNIST(National Institute of Standards and Technology米国国立標準技術研究所)である。ここが、量子時代を見据えた PQC(Post-Quantum Cryptography耐量子計算機暗号)の標準化を進め、世界が共通に使える土台を固めた。これにより、企業側はどれを採用するかで迷う局面を越え、どの順番で入れ替えるかという移行設計へ軸足を移している。
もう一つの軸が安全保障である。米国では、政府の安全保障要件としてCommercial National Security Algorithm Suite(商用国家安全保障アルゴリズム群)の改訂版を示し、政府調達や重要インフラに求める暗号要件を具体化している。ここでは暗号方式だけでなく、鍵をどう作り、どう保管し、どう更新するかという運用要件まで含めて実装の方向を示している。
米国は、標準と産業実装を結びつけ、世界の移行を牽引している。アメリカの強みは、標準を作るだけで終わらず、Google、Microsoft、Amazon、Cloudflare、Ciscoといった巨大企業が、クラウド、オペレーティングシステム、インターネット基盤、ネットワーク機器に組み込み、実サービスとして普及させる点にある。
2.欧州連合と英国
欧州では、単一国家というより欧州連合と英国という広域単位で政策が進んでいる。特徴は、暗号を努力目標ではなく守るべき義務に寄せている点にある。欧州連合では European Union Agency for Cybersecurity(欧州連合サイバーセキュリティ機関) が技術動向を整理し、標準化から移行の考え方までをまとめ、域内での共通理解を作ろうとしている。さらに欧州連合はGeneral Data Protection Regulation(一般データ保護規則)という強力なデータ保護ルールを持ち、暗号化の徹底が法令順守の側面を持つ。ここに量子時代の暗号移行が重なり、企業にとっては性能改善ではなく規制対応として重要度が上がりやすい。英国では National Cyber Security Centre(国家サイバーセキュリティセンター)が、移行のタイムラインや優先順位の考え方を示し、通信・金融・公共サービスなどにどこから始めるべきかを提示している。欧州は、標準を採用するだけでなく、法制度と行政ガイダンスで導入を進める仕組を強く持つのが特徴である。
3.日本
日本は、暗号の国際標準化そのものを主導する立場では欧米ほど強くない。一方で日本の強みは、世界標準をそのまま輸入するのではなく、国内の政府調達・重要インフラ・企業実務へ落とし込む仕組を持っている点にある。
中心にあるのが CRYPTRECである。CRYPTRECは、国内で推奨される暗号の評価やガイドラインを整理し、国際標準の動きを日本の実装計画に翻訳する役割を担う。さらに運用面ではIPA(情報処理推進機構)が、鍵管理の実務ガイダンスを整備し、現場で詰まりやすい鍵の生成・保管・配布・更新を支える。
研究と実証では、情報通信研究機構、NTT、大学、通信事業者、装置メーカーが、耐量子計算機暗号や量子鍵配送の実証に取り組み、社会実装の手触りを作っている。日本は、世界標準に追随しながらも、官民横断で運用設計と実装を詰める段階にある。
4.中国
中国は、暗号と量子通信を国家戦略として強く位置づけ、政府主導で研究・標準化・実装を進めている。政策面では国家の暗号管理機関が標準や運用の枠組みを整え、重要インフラや政府通信に適用している。研究面では、大学・研究機関が量子通信で存在感を示し、長距離ネットワークの実証も進めている。産業側でもクラウド、通信機器、端末といった分野で導入を視野に入れ、国家計画と整合する形で進んでいる。中国の特徴は、標準と実装が「市場」だけでなく国家計画によって加速されやすい点である。
5.韓国
韓国は、政府方針と研究機関、民間企業が連動しやすい構造のもとで、耐量子暗号や量子通信の研究・検証を進めている。研究機関が方式の評価や実装検証を進め、通信事業者や端末・装置メーカーと連携して実運用に耐えるかを早期に試す動きが目立つ。世界標準を意識しつつも、国内での導入モデルを早く作ることが政策上の狙いになっている。
6.イスラエル
イスラエルは、防衛技術とサイバーセキュリティ産業が密接で、暗号も実装で負けないことに重心が置かれている。大学や研究機関の成果がスタートアップや製品へ流れ込み、鍵管理や実装の堅牢性(現場で破られにくい作り)に強い関心が向く。加えて米国や欧州との共同研究が多く、国際標準との相互運用を前提にした動きが進みやすい。
7.インド
インドは、急速に拡大するインターネット・金融・行政の基盤を守る必要から、政府主導で暗号政策と研究を進めている。標準の整備と研究開発を進めながら、国内の大手ITサービス企業と連携して実装・検証を進める流れがある。狙いは、世界標準への追随だけでなく、国内インフラを支えるための実装力を産業として育てることにある。
8.ロシア
ロシアは伝統的に独自の暗号体系を重視し、国家安全保障上の通信や重要インフラでは自国仕様を維持しやすい。西側標準との互換性よりも、国家としての独立性、つまり外部に依存しない暗号基盤を優先する傾向が強い。量子時代の暗号でも、同様である。
日本の暗号研究と実用化
日本は耐量子計算機暗号で広く守り、量子鍵配送は区間で上積みする二層戦略で進めている。世界標準の主役は、耐量子計算機暗号であり、移行期は従来方式との併用を含めて広域対策を作る流れが固まってきた。その上で日本は、CRYPTRECの評価と推奨、IPAの鍵管理ガイダンスで国内移行の足場を固めつつ、通信分野では量子鍵配送の実証を重ね、最重要区間だけを追加で強くする方向性を現場で進めている。言い換えるなら、日本は新しい暗号を発明する国というより、世界標準を安全に・確実に・運用できる形にして社会に押し出す国として、実用化を前に進めているのが現状である。
1.世界は標準選定から移行段階へ
世界の流れは、すでにどの暗号を選ぶかから、どういう順番で入れ替えるかへ移っている。米国のNIST(National Institute of Standards and Technology米国国立標準技術研究所)が、PQC(Post-Quantum Cryptography耐量子計算機暗号)の最初の標準群を確定させたことで、企業や政府は迷いながら試す段階を抜け、移行計画を具体化する段階に入った。
さらに通信の世界では、IETF(Internet Engineering Task Forceインターネット技術標準団体)が、移行期に現実的な方式(従来方式と新方式を併用する二重化)を、通信の標準仕様に落とし込む流れを進めている。要するに世界は、研究よりも実装して動かし、順番に置き換える局面に入ったということである。この世界の大きな流れの中で、日本は標準を作る側よりも、標準を評価し、運用に落とし込み、社会実装する側として存在感を強めている。
2.日本の司令塔CRYPTREC
日本で暗号政策の中心にあるのが CRYPTREC(Cryptography Research and Evaluation Committees暗号技術評価・検討の枠組)である。CRYPTRECは、デジタル庁・総務省・経済産業省が共同で運営し、(国立研究開発法人)情報通信研究機構NICTと(独立行政法人)情報処理推進機構IPAが運営面を支える体制になっている。
CRYPTRECが重要なのは、国際標準をそのまま眺めるのではなく、政府調達・行政システム・重要インフラの現場でどう使うべきかを整理して、国内の共通基盤にしていく点である。実際にCRYPTRECは、耐量子計算機暗号についての技術ガイドラインを継続的に整備して公表している。
またNICTはどれだけ普及しているかを実ネットワークで測り、移行設計へフィードバックしている。標準ができたこと以上に重要なのは、実際の通信で、どれだけ使われ始めているかである。NICTは、実ネットワーク上の通信を対象として、耐量子計算機暗号がどの程度使われているかを分析・報告している。これは、現場で起きがちな互換性の問題や運用品質の問題を、机上の議論ではなくデータで捉え、移行計画に反映させる動きである。日本の特徴である評価→運用→社会実装を支える取り組みと言える。
3.鍵の管理
現場の最大の詰まりどころである鍵の管理を、IPAの実務ガイダンスで先に固めている。耐量子計算機暗号への移行で、現場が最も困るのは新しい暗号の理屈ではない。実務上のボトルネックは、むしろ鍵管理(Key Management鍵の管理)の部分である(鍵はどこで作られているのか、鍵はどこに保管されているのか、鍵はどう配られ、どう更新されているのか、事故が起きた時誰がどの手順で止めるのか)。日本ではこの点を重視して、IPAが暗号鍵管理ガイダンスを整備し、設計原理だけでなく運用手順や組織対応まで踏み込んだ形で示している。特に暗号鍵管理ガイダンスPart 2は、現場が迷いやすい運用面まで扱っている。世界でも鍵管理の重要性は繰り返し強調されるが、日本はCRYPTRECの評価枠組みとIPAの実務資料が連動しており、運用の土台から先に固めているのが特徴である。
4.金融分野
金融は世界潮流と同期し、金融庁が移行を議題化して前に進めている。金融は、取引履歴や本人確認情報など長く守る価値があるデータを大量に抱えるため、世界的に耐量子計算機暗号への移行が最も早く進みやすい分野である。日本でもこの流れは強く、金融庁が預金取扱金融機関の耐量子計算機暗号への対応に関する報告書を公表し、移行時の論点や進め方を整理している。
ここで重要なのは、日本が各社に丸投げではなく、行政が場を作り、共通課題を整理して、段階移行の現実的な道筋を示している点である。金融はシステム更新周期が長く、ベンダ調整も重いため、最初から全部を更新する計画では回らない。だからこそ世界と同様に、入口の通信(Transport Layer Security通信路の暗号化)や拠点間接続(Virtual Private Network仮想専用線)を優先し、その後に証明書や署名の基盤へ進むという順番が現実的に重要となる。
5.通信分野
通信は耐量子計算機暗号に加えて量子鍵配送も打ち出し、日本が実証面で存在感を出している。世界の主役は耐量子計算機暗号だが、通信分野では特に重要な区間だけは追加で強く守りたいというニーズが強く、QKD(Quantum Key Distribution量子鍵配送)も併用されやすい。
日本は通信インフラ企業が強く、量子鍵配送の社会実装が前進させやすい。例えば、KDDI総合研究所と東芝デジタルソリューションズは、30テラビット毎秒超の大容量データと暗号鍵を同じ光ファイバで多重伝送する量子鍵配送技術の実証成功を発表している。 これは全国すべてを量子鍵配送に置き換えるという話ではない。むしろ、耐量子計算機暗号で広く底上げしながら、データセンター間などの最重要区間に量子鍵配送で上積みをするという使い方である。その意味で日本は、通信現場での実証を通じて区間適用の実装力を磨いていると言える。
6.研究分野
研究は数学だけではなく、実装の強さが勝負どころである。日本はここが得意領域である。耐量子計算機暗号は数学が基礎にあるが、普及段階に入ると勝負は別の場所で決まる。具体的には、処理が重くなりすぎないか(性能)、省電力で動くか(運用コスト)、小さな機器でも動くか(組込み対応)、実装の癖を突いた攻撃に耐えるか(実装上の弱点対策)といった実装力が差になる。この局面は、日本の得意分野である。NTT・NICT・大学などが標準暗号の普及を前提に、実装最適化や運用を含む研究に厚みを出している。ここは、世界が標準確定後に一斉に実装競争へ雪崩れ込む局面で、日本が影響力を発揮しやすい領域である。
次世代暗号をリードする企業
世界はすでに量子コンピュータでも破られにくい暗号へ移行フェーズに入り、標準を作る側と、現場でデフォルトにする側が主導権を握っている。日本企業としては、この波に合わせて 通信の入口(Transport Layer Security通信路を守る仕組み)や鍵管理から順に置き換えられるかが勝負になる。標準自体は米国主導で固まりつつあり(NISTの標準化)、各社はそれを製品・クラウド・端末に落とし込んでいる。日本側は、NTTのように止めずに切り替え、実装を高速化するといった現場で効く技術を積み上げられるかが、実用化競争の肝になっている。
1. IBM
米国の標準化で中核を担った方式には、IBM Research(研究部門)が深く関わっている。たとえばCRYSTALS-Dilithium(格子暗号系の署名方式)は、IBMの研究成果として公開され、後に米国標準の署名方式(Module-Lattice-Based Digital Signature Algorithmモジュール格子ベース電子署名方式、ML-DSA)へつながっている。IBMは暗号の方式を提案するだけでなく、標準→実装(製品)へつなぐ供給側としても影響力を持つ点に留意が必要である。
2. Cloudflare
Cloudflareは世界最大級の実通信でデフォルト化し、移行を現実にした。研究が社会に浸透する決定打は、会議室の合意よりもデフォルトで有効になったことである。Cloudflareは、インターネット基盤サービスの立場から PQC(Post-Quantum Cryptography耐量子計算機暗号)を広げ、2025年10月に人が実際に使う通信の過半が、耐量子の暗号で守られる状態に到達したと公表している。
3.Google
Googleは鍵管理から使える場所を増やしている。Googleはクラウドの鍵管理サービスであるCloud Key Management Serviceに、ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanismモジュール格子ベース鍵カプセル化方式)を提供し、企業が鍵の受け渡し・包み(鍵を別の鍵で守って運ぶ)を耐量子方式へ寄せられるようにしている。
4.AWS
AWSはクラウドの暗号の要所に耐量子を組み込んだ。AWSは、AWS Key Management Service(クラウド鍵管理)、AWS Certificate Manager(証明書管理)、AWS Secrets Manager(秘密情報管理)といった、企業の暗号運用の中心に近いサービスで、ML-KEMを使う耐量子対応(移行期の方式)をサポートすると公表している。
5. Microsoft
MicrosoftはOSの暗号基盤に組み込み、企業の移行を支えている。Microsoftは、Windowsなどの基盤暗号であるSymCrypt(シムクリプト暗号ライブラリ)や、Cryptography API(次世代暗号API、CNG)にML-KEM / ML-DSAを統合し、OSレベルで使えるようにする動きを明確にしている。これはアプリだけ対応しても、OSや証明書の仕組みが追いつかなければ普及しないという現実への対処である。
6.Apple
Appleはメッセージを量子対応へ大規模に引き上げている。AppleはiMessageで PQ3(ピーキュースリー耐量子を強めた新しい暗号設計)を導入し、将来の量子計算機による解読リスクを意識した設計へ更新したと公表されている。これは暗号の理論ではなく、一般利用者が日常的に使う通信で、耐量子対応を実装・展開した点が大きい。
7.東芝
東芝は量子鍵配送を重要区間へ載せ、上積みの安全を狙う。耐量子暗号が広く薄く守る(ソフトウェア中心)だとすれば、QKD(Quantum Key Distribution量子鍵配送、盗聴の痕跡を検知しながら鍵を配る考え方)は区間を限定して厚く守る通信インフラ寄りに向いている。東芝はBT GroupやEquinixと連携し、ロンドンのデータセンター間を量子セキュアに接続する取り組みを発表している。
8.NTT
NTTは、耐量子暗号そのものの研究に加えて、暗号方式を止めずに切り替えられる仕組(crypto-agility暗号の切替容易性、いわゆる暗号アジリティ)を重視し、通信を止めずに方式を切り替えられる耐量子セキュアなトランスポート技術を発表している。また、耐量子暗号で計算の重くなりがちな処理(Number Theoretic Transform数論変換、格子暗号で頻出する計算)を高速化するハードウェア研究など、実装で勝つ領域にも注力している。さらに、耐量子の署名に関する先端研究(たとえば分散署名・共同署名に近い発想の研究)を海外大学・企業と共同で進めた成果も公表しており、研究だけでなく社会実装を意識した動きを継続している。
NTTの暗号研究と実用化動向
1. 耐量子暗号(ポスト量子暗号)研究の進展
①暗号理論・耐量子安全性の研究
NTTは耐量子暗号(Post-Quantum Cryptography)の理論研究を進めており、暗号プロトコルの強い安全性(非改変性など)を量子攻撃に対して実現する新しい構成を世界で初めて提案した成果も出ている。これは、量子コンピュータの攻撃を想定した安全性を担保しつつ、通信効率も高めたものである。また、NTTは耐量子暗号の理論と暗号理論と量子情報処理の融合を目指した研究テーマにも取り組んでおり、耐量子暗号理論・標準化・移行技術を対象にしている。
➁実装・移行技術の開発
単に暗号方式を設計するだけでなく、暗号方式を柔軟に切り替え可能な耐量子通信システムの実装も進めている。例えば、NTTはネットワークを止めることなく複数の暗号方式を組み合わせ・切り替えられる耐量子セキュアトランスポートシステムを開発した。これにより、量子攻撃耐性を持つ暗号への移行をスムーズに実現できるようになる。
➂実証・プロトタイプレベルの成果
NTTコミュニケーションズは、量子コンピュータでも解読できない耐量子セキュリティを備えた通信の実証に成功している。これは、IOWN(※NTTが進める通信プラットフォーム体系)と耐量子セキュアトランスポート技術を組み合わせたものである。
2. 量子鍵配送
NTTは純粋な耐量子暗号だけでなく、量子鍵配送(QKD Quantum Key Distribution)という物理原理を用いた暗号技術の研究でも成果を上げている。量子鍵配送は盗聴を物理的に検知できる技術であり、究極の鍵配送手法として注目されている。
3. 基礎暗号・関連分野の研究
NTTの研究部門では、耐量子暗号に関わる基礎暗号研究も進行中である。これは、例えば公開鍵暗号の安全性強化手法や、暗号方式の汎用的な安全性向上に関わる研究であり、NIST標準化プロセス(耐量子暗号標準化)に関連する成果も出ている。加えて、NTT Research(海外側研究所)でも暗号基盤・安全計算・機能的暗号など、より高度な次世代暗号機能の基礎研究を行うラボが存在する。
4. 量子関連総合ポートフォリオとのリンク
NTTは単独で暗号研究だけを行っているわけではなく、量子インターネット・量子ネットワーク・光量子コンピュータ開発など、量子技術全体を視野に入れたポートフォリオの中で暗号研究を位置づけている。このため、暗号技術は量子通信インフラや未来の量子コンピュータと統合的に研究されている。
5. NTTの量子時代暗号研究の特徴
①NTTの研究は以下の点で先進性を持っている。理論から実装までの一貫研究である。NTTは値域の安全性証明から暗号方式切り替えシステムまで手掛けている。また耐量子暗号と量子鍵配送の両面に取り組んでいる。加えて数学的暗号と物理的鍵配送という2つの量子安全技術に取り組んでいる。
➁産業・通信インフラとの整合性を重視している。IOWNなど既存通信技術と量子安全技術を融合する実証にも成功している。
(資料)耐量子計算機暗号の主要候補
1.格子暗号(Lattice-based Cryptography)
(1)理論概要
格子暗号は、無数の点が規則正しく並んだ格子空間で問題を使う暗号である。例えるなら、でこぼこした霧の山中に放り込まれ、どこが出発点だったかを当てるようなものだ。近くの山の形は見えるが、正確に元の地点に戻る計算は、スーパーコンピュータでも量子計算機でも極めて難しい。NIST(米国)・欧州・日本・韓国なども国家研究として推進。
(2)利点
理論が数学的に堅牢で量子計算でも高速解読できない。処理が速く実装しやすい。鍵交換・署名の両方をカバー可能。長年の公開研究に耐えており攻撃研究が豊富。
(3)欠点
鍵サイズが従来RSAよりやや大きい。数学的背景が難解で直感的に理解しづらい。
(4)国際標準に選ばれた理由
格子暗号は安全性の根拠が明確。実装性能が高い。長期間・多国籍で検証済み。この三条件を同時に満たした唯一の方式だったからということだが、米国が推進しているからというのが本当のところか。結果として、NIST標準(ML-KEM, ML-DSA)の中核となった。
2.ハッシュベース暗号
(1)理論概要
ハッシュ関数は、肉をミンチにする機械のようなものだ。一方向には簡単だが、元の肉の形に戻すことは不可能である。この性質だけを使って署名を行うのがハッシュベース暗号である。NISTの標準化対象。政府・軍事用途(特に長期署名)
(2)利点
理論が極めて単純で信頼性が高い。量子計算機が現れても前提が崩れにくい。実装が比較的容易。(3)欠点
主に署名専用で、鍵交換には不向き。署名回数に制限がある。通信用途では使いにくい。
3.コード暗号
(1)理論概要
大量の誤字だらけの文章を渡され、本来どんな文章だったかを復元する問題を解くようなもの。誤り訂正符号の解読困難性を安全性の根拠にしている。米国・欧州の大学・防衛系研究機関が推進している。歴史は1970年代まで遡る。
(2)利点
非常に長い実績(量子以前から研究)。理論的には量子耐性が高い。
(3)欠点
鍵サイズが極端に大きい。通信帯域を圧迫し実務導入が困難。実装負荷が高い。
4.多変数多項式暗号
(1)理論概要
変数が何十個もある連立方程式を見せられ、正解の組み合わせを当てろと言われるようなもの。計算量が爆発する点を安全性に使う。欧州中心の研究グループが推進。過去にNIST候補として検討。
(2)利点
署名が高速。数学的発想が独特。
(3)欠点
過去に破られた方式が多い。理論の安定性に疑問。NIST標準からは脱落。
5.同種写像暗号
(1)理論概要
同種写像暗号(Isogeny-based Cryptography)は、楕円曲線という迷路を、形を少しずつ変形させながら進む仕組を使う。出発点と到達点は見えても、どの順番で迷路を変形したかは逆算できないことが安全性の根拠である。日本・カナダ・欧州の数学者が推進。Microsoftなどが実装研究。SIKEがNIST候補として注目。
(2)利点
鍵サイズが非常に小さい。理論がエレガントで美しい。通信量を抑えられる。
(3)欠点
計算が遅く実装が難しい。同種写像暗号系のSIKEが解読されたことで信頼性が低下。信頼回復には時間がかかるが、日本独自の耐量子計算機暗号として第三系統として再評価される可能が高い。世界の暗号が格子暗号に集中するほど保険が必要であり、継続研究・実用化が望まれる。