耐量子計算機暗号 PQC: Post-Quantum Cryptography
耐量子コンピュータ(耐量子計算機暗号、PQC: Post-Quantum Cryptography)とは、将来登場する可能性のある強力な量子コンピュータによっても解読が困難な、新しい暗号技術の総称で、現在主流のRSA暗号や楕円曲線暗号の代替として開発が進められています。量子コンピュータは従来の暗号の基礎となる数学問題を高速に解いてしまうため、「Harvest Now, Decrypt Later(今集めて後で解読)」攻撃への対策として、格子暗号や符号理論など、量子コンピュータでも解けない数学的構造を基盤とするPQCアルゴリズムが、米国NISTなどを中心に標準化が進められており、各国で移行準備が急務となっています。
量子コンピュータとは?
「量子(りょうし)」について軽く触れておきましょう。
すべての物質は原子から成り立っています。原子そのものやそれを形作る電子、陽子、中性子、ニュートリノなどの粒子を量子と呼びます。量子の世界では、たとえばニュートン力学のような私たちの身の回りにある物理法則は通用せず、「量子力学」という法則に従っています。
量子コンピュータ (quantum computer)の情報単位は「量子ビット」と呼ばれるものです。量子ビットは量子力学の「重ね合わせの原理」を利用しています。これは、量子は同時に複数の状態を持ちうるという原理なのですが、それにより量子ビットは「0」と「1」のどちらも同時に取りながら計算を行うことができるのです。
なぜ耐量子暗号(PQC)が必要なのか?
量子コンピュータの実用化が進めば、社会課題の解決などに役に立つ一方、負の側面も指摘されています。冒頭に述べた暗号の解読もそのひとつです。「RSA暗号」という暗号化アルゴリズムの仕組みを例にとってみましょう。このアルゴリズムは素因数分解を利用しています。たとえば、15を素因数分解すると答えは3×5になります。二けた程度の素因数分解であればすぐに答えを導ける方も多いと思います。
しかし、10,403の素因数分解をすぐに解ける方はそれほど多くはないでしょう。答えは101×103です。素数とは、1とその数自身でしか割り切れない自然数のことで、2、3、5、7、11、13、17、19…などです。規則性がないと言われ、無限に存在し、最大値は現在でも分かっていません。大きな数になるほど、素因数分解には計算時間と高い処理能力が必要となります。このような素因数分解の要素(上記の例であれば101と103)がRSA暗号に使われています。十分に大きな数の場合、古典コンピュータでこれらの素数を割り出すには数十億年かかるという推測もあります。
しかし、素因数分解が解かれてしまうと暗号は解読されてしまいます。計算能力の高い量子コンピュータでは、数十億年どころか、数日、あるいは数時間で解く可能性があると考えられています。したがって、古典コンピュータでも量子コンピュータでも解くのが困難な数学的問題に基づいた「耐量子暗号(Post-quantum cryptography:PQC)」の導入が必要とされているわけです。
ここまで見てくると、銀行口座情報から組織の機密情報や国家機密に至るまで、今しも危険にさらされているように感じられるかもしれませんが、現時点では、RSA暗号などを解読できる性能の量子コンピュータは存在していません。
カナダのGlobal Risk Instituteが2023年12月に発表した「2023 Quantum Threat Timeline Report」では、2048ビットのRSA(RSA-2048)を量子コンピュータが24時間以内に解読できるようになる年と解読できる確率を、37人の量子コンピュータの専門家が推測した結果を次のように伝えています。
●2033年(10年後)に解読できる確率50%以上と推測した専門家:10/37人
●2038年(15年後)に解読できる確率50%以上と推測した専門家:20/37人
2025年5月14日、金融庁が大手銀行・地方銀行に対し、耐量子暗号を活用したサイバー防御に着手するよう要請したと報じられました。金融機関では、個人情報や取引に関する機密性の高い情報を暗号化して保存していますが、現在は上記のRSA暗号が主流とされています。また、同報道によれば、2024年の国内銀行へのサイバー攻撃数は10億9,300万件で、2023年の2.6倍に増加しています。サイバー攻撃による機密情報流出への懸念が高まっていることも、こうした要請の背後にあると考えられます。
耐量子コンピュータ暗号への備えと信頼性
耐量子コンピュータ暗号のような将来のセキュリティ脅威に備えることは、私的な情報、機密情報、および個人データの管理を託されている組織にとって極めて重要です。万全な準備をすることで、組織は、運営する Web サイト上に個人情報を提供するサイト訪問者、顧客、その他のユーザーからの信頼を高めることができます。さらに、企業は、デジタル資産の侵害や評判の失墜を未然に防ぐことができ、それによる金銭的な損害からも守られます。
PQCについてのまとめ
PQC(Post-Quantum Cryptography:耐量子計算機暗号)とは、将来実用化される量子コンピュータでも解読が困難な次世代暗号技術の総称です。現在の暗号(RSAやECCなど)は量子コンピュータの高速計算能力で破られる可能性があるため、PQCはこれらに代わり、安全なデジタル通信や情報保護を維持するために必要とされており、NIST(米国国立標準技術研究所)を中心に標準化が進められています。
PQCの重要性
- 量子コンピュータの脅威: 量子コンピュータは特定の数学的問題(素因数分解など)を効率的に解けるため、現在の公開鍵暗号システム(SSL/TLS、電子署名など)が危殆化します。
- ハーベスト攻撃 (Harvest Now, Decrypt Later): 量子コンピュータ実用化前に暗号化されたデータを盗み(ハーベストし)、将来量子コンピュータで解読する攻撃を防ぐため、早期のPQCへの移行が求められます。
PQCの主な特徴
- 基盤技術: 格子理論(lattice-based)、符号理論(code-based)、ハッシュ関数(hash-based)など、量子コンピュータでも解きにくい数学的問題に基づいています。
- 機能: 従来の公開鍵暗号やデジタル署名と同様に機能します。
標準化の動向
- NISTの標準化: 米国NISTがPQCアルゴリズムの標準化を主導しており、2024年には複数のアルゴリズムがFIPS(連邦情報処理標準)として採用されました。
- 各国・業界の対応: 日本政府や金融業界でもPQCへの移行計画が進められています。
具体例
- アルゴリズム: KYBER(ケーバー)やMLDSA(エムエルディーエスエー)などが有力な候補・標準化アルゴリズムとして注目されています。
- 実証実験: 医療分野(電子カルテなど)でのPQC導入に向けた実証実験も行われています。
参考文献:
さくらのSSL - あと数年で量子コンピューターにSSL通信が解読される?SSL/TLSの未来を担うPQCとは?
digicert - 耐量子コンピュータ暗号とは何ですか?
