02. 暗号技術の基礎

耐量子暗号(PQC)とは?NIST標準化ML-KEM/ML-DSAとSC試験で問われる暗号移行の考え方

Kenta Banno

元CIOの窓際サラリーマン(50代)。プライム上場企業の片隅で、情報処理安全確保支援士の合格を目指して奮闘中! 現在はAI(Gemini/Claude)を「壁打ち相手」として徹底活用し、日々の学習の備忘録とアウトプットを兼ねて記事を投稿しています。同じ資格を目指す初学者の参考になれば嬉しいです。

RSAや楕円曲線暗号(ECC)は、いま世界中のTLS通信や電子署名を支えています。しかし、大規模な量子コンピュータが実用化されると、これらの公開鍵暗号は数学的に破られることが分かっています。その対策として世界的に標準化が進んでいるのが耐量子暗号(PQC:Post-Quantum Cryptography)です。

この記事では、量子コンピュータが現行暗号を脅かす仕組み(Shorのアルゴリズム・Groverのアルゴリズム)、NISTが標準化したML-KEM・ML-DSA・SLH-DSAの位置づけ、そして実務で始まっているハイブリッド鍵交換やクリプトアジリティといった移行の考え方を、情報処理安全確保支援士(SC)試験の視点で整理します。筆者はインフラエンジニアやCIOとして「暗号方式の選定は一度決めると簡単には変えられない」という現実を痛感してきました。暗号の入れ替えは技術の話であると同時に、長期の計画と投資判断の話でもあります。試験対策と実務動向の両方をこの1本で押さえていきましょう。

耐量子暗号(PQC)とは?量子コンピュータが現行暗号を脅かす理由

まず「なぜ今の暗号ではダメになるのか」を正確に理解しましょう。ここが曖昧なままだと、PQCの必要性も移行の優先順位も判断できません。ポイントは「公開鍵暗号と共通鍵暗号で受ける影響がまったく違う」ことです。

PQCの定義:量子コンピュータでも解けない「数学問題」に乗り換える

耐量子暗号(PQC:Post-Quantum Cryptography)とは、量子コンピュータを使っても効率的に解読できないと考えられる数学問題を安全性の根拠とする暗号方式の総称です。「耐量子計算機暗号」「ポスト量子暗号」とも呼ばれます。

ここで学び始めの人が必ずといってよいほど混同するのが、量子鍵配送(QKD:Quantum Key Distribution)との違いです。

  • PQC:従来どおり普通のコンピュータ上で動くソフトウェアの暗号アルゴリズム。安全性の根拠は「量子コンピュータでも解きにくい数学問題」
  • QKD:光子など量子力学の性質そのものを使って鍵を共有する技術。専用の光ファイバー網や装置が必要

PQCは「量子を使う暗号」ではなく「量子に耐える暗号」です。既存のサーバーやスマートフォンにソフトウェア更新で導入できる点が、専用設備を要するQKDとの決定的な違いです。SC試験でもこの2つを入れ替えた選択肢は定番のひっかけになり得るので、最初に区別を固めておきましょう。

Shorのアルゴリズム:RSA・ECCは「多項式時間」で破られる

現行の公開鍵暗号の安全性は、次の数学問題が「現実的な時間では解けない」ことに依存しています。

  • RSA:大きな合成数の素因数分解問題
  • DH/ECDH・ECDSA(楕円曲線暗号):離散対数問題・楕円曲線離散対数問題

1994年に数学者ピーター・ショアが発表したShorのアルゴリズムは、十分な規模の量子コンピュータがあれば、素因数分解問題と離散対数問題をどちらも多項式時間で解けることを示しました。つまりRSAもDHもECDSAも、原理レベルでまとめて破られます。「鍵長を伸ばせば延命できる」という従来の危殆化対策が通用しないのが深刻な点です。

このような暗号解読が現実に可能な規模の量子コンピュータを、CRQC(Cryptographically Relevant Quantum Computer:暗号解読に関連する量子コンピュータ)と呼びます。2026年時点でCRQCはまだ存在しませんが、「いつ登場するか」は誰にも断定できません。だからこそ各国が前倒しで移行を始めています。

Groverのアルゴリズム:共通鍵暗号は「鍵長2倍」で対抗できる

一方、AESなどの共通鍵暗号やSHA-2などのハッシュ関数への影響は限定的です。Groverのアルゴリズムは全数探索(総当たり)を高速化する量子アルゴリズムで、探索の計算量を平方根のオーダーまで削減します。

具体的には、AES-128の総当たりに必要な計算量は2の128乗回から実質2の64乗回相当まで下がります。ただしこれは「鍵長を2倍にすれば安全性を維持できる」ことを意味します。AES-256を使えば、量子コンピュータに対しても2の128乗回相当の探索が必要であり、引き続き安全と考えられています。

つまり整理すると次のようになります。

  • 公開鍵暗号(RSA・DH・ECC):Shorのアルゴリズムで原理的に崩壊 → PQCへの置き換えが必須
  • 共通鍵暗号(AES)・ハッシュ関数(SHA-2/SHA-3):Groverのアルゴリズムで弱まるが → 鍵長・出力長を十分に取れば継続利用可能

「量子コンピュータですべての暗号が破られる」という表現は不正確です。試験でも実務でも、この非対称な影響を正しく説明できるかが問われます。

ShorのアルゴリズムとGroverのアルゴリズムが公開鍵暗号・共通鍵暗号にそれぞれ与える影響の違いを示す比較図

HNDL攻撃:暗号が破られるのは「未来」でも、盗聴は「今」起きている

「CRQCがまだ存在しないなら、できてから対応すればよいのでは」と考えたくなりますが、それを許さないのがHNDL(Harvest Now, Decrypt Later:今収集して後で解読する)攻撃です。

攻撃者は現在、解読できない暗号化通信であっても、まず傍受して保存しておきます。将来CRQCが実用化された時点で、蓄積したデータをまとめて復号するという戦略です。「Store Now, Decrypt Later(SNDL)」と呼ばれることもあります。

この攻撃が突きつけるのは、データの機密保持期間という視点です。たとえば10年間秘密にしなければならない個人情報・医療情報・外交情報を今RSAベースのTLSで送っているなら、「10年以内にCRQCが登場する可能性」がそのままリスクになります。米国の研究者ミシェル・モスカが提唱した考え方では、「データを守るべき期間」+「移行に要する期間」が「CRQC登場までの期間」を上回るなら、すでに手遅れが始まっていることになります(モスカの不等式と呼ばれます)。

暗号移行に「まだ早い」がないのは、この理屈によります。

NDL攻撃の時系列フロー図。現在の傍受・保存から数年後のCRQC実用化、将来の一括解読までの流れ

NIST標準化の全体像:ML-KEM・ML-DSA・SLH-DSA・HQC

PQCの本命を決める世界的なプロセスが、米国NIST(国立標準技術研究所)の標準化プロジェクトです。SC試験の観点では、各標準の「名前(新旧)」「用途(鍵確立か署名か)」「数学的基盤」の3点をセットで覚えるのが効率的です。

標準化の経緯:2016年の公募から2024年のFIPS発行まで

NISTは2016年に耐量子暗号の公募を開始し、世界中から集まった候補を複数ラウンドにわたり評価しました。2022年7月に最初の選定結果を発表し、2024年8月に3つの標準がFIPS(連邦情報処理標準)として最終化されました。

  • FIPS 203:ML-KEM(旧名称 CRYSTALS-Kyber):鍵カプセル化メカニズム
  • FIPS 204:ML-DSA(旧名称 CRYSTALS-Dilithium):デジタル署名
  • FIPS 205:SLH-DSA(旧名称 SPHINCS+):デジタル署名

さらに2025年3月には、符号ベースのHQCが5番目の標準候補として選定されました(標準文書は今後発行予定)。また、格子ベース署名のFalconもFN-DSA(FIPS 206予定)として標準化作業が進んでいます。

試験対策上の注意点として、旧名称(Kyber・Dilithium)と新名称(ML-KEM・ML-DSA)が両方流通していることを押さえてください。技術記事や設定名では旧名称が残っている場面も多く、「Kyber=ML-KEM」と即座に対応づけられるようにしておきましょう。

ML-KEM(FIPS 203):鍵交換を担う本命、そもそもKEMとは何か

ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism)は、格子問題(Module-LWE問題)の困難性に基づく鍵カプセル化メカニズム(KEM:Key Encapsulation Mechanism)です。TLSにおけるDH・ECDHの後継、つまり「セッション鍵を安全に共有する」役割を担う本命です。

KEMという言葉に馴染みがない人のために動作を整理します。

  1. 受信者が鍵ペア(公開鍵・秘密鍵)を生成し、公開鍵を送信者へ渡す
  2. 送信者は受信者の公開鍵を使って、共有秘密(セッション鍵の素)とそれを包んだカプセル(暗号文)を生成する
  3. 送信者はカプセルを受信者へ送る
  4. 受信者は自分の秘密鍵でカプセルを開き、同じ共有秘密を得る

「公開鍵で任意の平文を暗号化する」のではなく、「共有秘密を生成して運ぶ」ことに特化した仕組みがKEMです。ハイブリッド暗号方式で公開鍵暗号が担っていた「共通鍵の受け渡し」を、量子耐性のある形で置き換えるものと理解すると、既存知識と素直につながります。

パラメータセットはセキュリティ強度別に ML-KEM-512/ML-KEM-768/ML-KEM-1024 の3種類が定義されており、実務ではML-KEM-768が広く採用されています。

ML-DSA(FIPS 204)とSLH-DSA(FIPS 205):署名の主力と保険

ML-DSA(Module-Lattice-Based Digital Signature Algorithm)は、ML-KEMと同じく格子問題に基づくデジタル署名アルゴリズムです。RSA署名やECDSAの後継として、サーバー証明書・コード署名・文書署名などの主力になると見込まれています。

SLH-DSA(Stateless Hash-Based Digital Signature Algorithm)は、ハッシュ関数の安全性のみに依存する署名方式です。格子問題という比較的新しい数学的仮定に頼らないため、「万一、格子ベースの方式に弱点が見つかった場合の保険」という位置づけです。その代わり署名サイズが大きく処理も遅いため、性能より保守的な安全性を優先する用途(長期のファームウェア署名など)に向きます。

NISTが用途の重なる複数方式を標準化しているのは、単一の数学的基盤への一極集中を避けるためです。2025年3月にHQC(符号ベース)がML-KEMのバックアップとして追加選定されたのも同じ理由で、格子ベースに依存し過ぎない多様性の確保が狙いです。この「アルゴリズムの多様性」という設計思想は、後述するクリプトアジリティにも直結します。

NIST PQC標準の一覧表。FIPS 203 ML-KEM、FIPS 204 ML-DSA、FIPS 205 SLH-DSA、FIPS 206予定 FN-DSA、HQCを名称・数学的基盤・用途別に整理

現行方式との違い:鍵とデータサイズの増大に注意

PQCは現行方式の単純な上位互換ではありません。代表的なトレードオフが鍵・署名・暗号文のサイズ増大です。たとえばX25519(楕円曲線)の公開鍵は32バイトですが、ML-KEM-768の公開鍵は1,184バイトあります。TLSハンドシェイクのパケットサイズが増えるため、断片化やレイテンシへの影響、組み込み機器のメモリ制約などが実務上の論点になります。「安全になる代わりに何を支払うのか」を説明できると、午後問題での考察に厚みが出ます。

暗号移行の考え方:ハイブリッド方式・クリプトアジリティ・各国の期限

PQCは「アルゴリズムを覚えて終わり」のテーマではありません。SC試験の本質である「組織としてどう安全を確保するか」に直結するのが、ここで扱う移行戦略です。

ハイブリッド鍵交換:X25519MLKEM768はすでに動いている

新しい暗号アルゴリズムには「まだ十分に攻撃研究の歴史がない」という固有のリスクがあります。そこで現在の主流は、従来方式とPQCを併用するハイブリッド鍵交換です。

代表例がTLS 1.3の X25519MLKEM768 です。楕円曲線ベースのX25519とML-KEM-768の両方で鍵共有を行い、双方の出力を組み合わせてセッション鍵を導出します。この方式なら、

  • ML-KEMに未知の欠陥が見つかっても、X25519の安全性が守る
  • 将来CRQCがX25519を破っても、ML-KEMの安全性が守る

という「どちらか一方が生き残れば安全」な構成になります。ChromeやFirefoxといった主要ブラウザと大手クラウド事業者のサーバー間では、すでにこのハイブリッド鍵交換が既定で有効化されており、PQCは将来の話ではなく、読者のブラウザで今日動いている技術です。

学び始めの人が誤解しやすいのは、「ハイブリッド暗号方式」との用語の衝突です。従来からあるハイブリッド暗号方式は「公開鍵暗号と共通鍵暗号の組み合わせ」を指します。一方、PQC文脈のハイブリッド鍵交換は「従来の公開鍵暗号方式とPQCの組み合わせ」です。同じ「ハイブリッド」でも指す内容が違うので、文脈で切り分けてください。

クリプトアジリティと暗号インベントリ:移行の土台づくり

クリプトアジリティ(Cryptographic Agility:暗号敏捷性)とは、システムで使う暗号アルゴリズムやパラメータを、大規模な改修なしに入れ替えられる設計・運用能力のことです。PQC移行に限らず、SHA-1やTLS 1.0の廃止で苦労した組織なら、その重要性は身に染みているはずです。

移行の実務は、次のようなステップで進めます。

  1. 暗号インベントリ(暗号資産の棚卸し):自組織のどのシステムが、どこで、どの暗号アルゴリズム・鍵長・プロトコルを使っているかを調査し台帳化する
  2. リスク評価と優先順位づけ:データの機密保持期間が長いもの、外部公開されているもの、更新が困難な機器(長寿命のIoT・組み込み)から優先する
  3. 移行計画の策定:ベンダーのPQC対応ロードマップ確認、予算化、検証環境での互換性テスト
  4. 段階的な導入:ハイブリッド方式から始めて、標準・実装の成熟に合わせて完全移行する

最大の難所は最初のインベントリです。暗号はアプリケーション、ミドルウェア、OS、ネットワーク機器、ハードウェアトークンまであらゆる層に埋め込まれており、「自分たちがどこで暗号を使っているか」を正確に答えられる組織は多くありません。これは脆弱性管理における資産管理と同じ構図で、台帳がなければ計画も予算要求も始まらないのです。

PQC移行の4ステップフロー図。暗号インベントリ作成、リスク評価・優先順位づけ、移行計画策定、ハイブリッド段階導入の順に進む流れ

各国の移行期限:CNSA 2.0と日本の動向

移行のスケジュール感を示す代表例が、米国NSA(国家安全保障局)の CNSA 2.0(Commercial National Security Algorithm Suite 2.0)です。米国の国家安全保障システムを対象に、ML-KEMやML-DSAなどへの移行タイムラインを示しており、2033年までにPQCへの完全移行を求めています。ソフトウェア・ファームウェアの署名など、長期に残る領域ほど早い期限が設定されているのが特徴です。

日本でも動きが本格化しています。CRYPTREC(暗号技術検討会等:総務省・経済産業省が共同運営する暗号技術評価プロジェクト)は2025年3月に「暗号技術ガイドライン(耐量子計算機暗号)」を公表し、国内組織向けにPQCの技術解説と移行の考え方を示しました。金融庁も2024年から預金取扱金融機関向けに量子コンピュータ時代の暗号リスクへの対応検討を進めており、政府全体でも移行方針の検討が始まっています。「海外の話」ではなく、日本の制度・ガイドラインとして試験の題材になり得る段階に入っています。

なお、これまでのSC試験対策で学んだ暗号の危殆化(compromise:計算能力の向上等により暗号の安全性が低下すること)の枠組みは、PQCでもそのまま生きます。DESからAESへ、SHA-1からSHA-2への移行と同じ「危殆化対応」の最新章がPQC移行だと捉えると、知識が一本の線につながります。

SC試験での出題パターンと対策

耐量子暗号は比較的新しいテーマですが、SC試験は最新のセキュリティ動向を午前II・午後の題材に取り込む傾向が明確にあります。暗号の危殆化や量子コンピュータの脅威に関する出題は、今後の頻出候補として押さえておくべき領域です。

午前IIで問われるポイント

午前IIの4択で問われやすいのは、次のような知識の正確さです。

  • Shor/Groverの影響範囲の区別:「Shorのアルゴリズムで危殆化するのはどれか」→ RSA・DH・楕円曲線暗号(AESやSHA-2は誤答肢)
  • 共通鍵暗号への対応:Groverのアルゴリズムに対しては鍵長を2倍(AES-256の利用)で対抗できること
  • NIST標準の対応関係:ML-KEM=FIPS 203=旧Kyber=鍵カプセル化、ML-DSA=FIPS 204=旧Dilithium=署名、SLH-DSA=FIPS 205=旧SPHINCS+=ハッシュベース署名
  • PQCとQKDの区別:ソフトウェアで動く数学ベースのPQCと、専用設備を要する物理ベースのQKD
  • HNDL攻撃の概念:「現時点で解読できなくても傍受・保存され将来解読される」リスク

午後で問われるポイント

午後問題では、単発の知識よりも移行計画の考察が題材になり得ます。

  • 長期保存データの機密保持期間とCRQC登場リスクを踏まえた移行優先順位の判断
  • ハイブリッド鍵交換を採用する理由の記述(新アルゴリズム固有のリスクへの備え)
  • 暗号インベントリの整備、ベンダー対応状況の確認といった組織的な移行プロセス
  • 鍵・証明書サイズ増大によるシステムへの影響考察

いずれも「暗号の危殆化にどう備えるか」という従来からの出題フレームの延長線上にあります。危殆化・鍵管理・PKIの既存知識と結びつけて理解しておけば、新傾向の題材でも慌てずに対応できます。

【演習】耐量子暗号(PQC)理解度チェック(全10問)

耐量子暗号は、午前IIではShor/Groverの影響範囲やNIST標準(ML-KEM・ML-DSA)の対応関係を問う知識問題として、午後では暗号の危殆化への対応計画や移行優先順位の考察問題として出題され得るテーマです。定番のひっかけは「量子コンピュータであらゆる暗号が破られる」という過度な一般化と、PQCとQKDの混同です。以下の練習問題で本記事の理解度を確認してみましょう。

【練習問題】耐量子暗号(PQC)(全10問)

まとめ:PQC移行は「危殆化対応」の最新章、今から線表を引く

耐量子暗号のポイントを整理します。

  • ShorのアルゴリズムはRSA・DH・楕円曲線暗号を原理的に破るため、公開鍵暗号はPQCへの置き換えが必須。一方、共通鍵暗号はGroverのアルゴリズムに対して鍵長2倍(AES-256)で対抗できる
  • NISTは2024年8月に ML-KEM(FIPS 203・鍵確立)/ML-DSA(FIPS 204・署名)/SLH-DSA(FIPS 205・署名) を標準化し、2025年3月にはHQCを追加選定した
  • HNDL攻撃があるため、CRQCの登場を待ってから動くのでは遅い。機密保持期間の長いデータほど今からの対応が必要
  • 実務はハイブリッド鍵交換(X25519MLKEM768など)による段階導入が主流で、その土台として暗号インベントリクリプトアジリティの確保が求められる
  • 米国CNSA 2.0は2033年までの移行完了を掲げ、日本でもCRYPTRECのガイドライン公表など移行支援が本格化している

CIOとしてセキュリティ投資を判断してきた経験から言えるのは、暗号の入れ替えのような「今すぐ困らないが、確実にやってくる」課題こそ、経営層への説明と長期の線表づくりが勝負になるということです。SHA-1やTLS 1.0の廃止で慌てた組織と、計画的に終えた組織の差は、棚卸しと計画の着手時期にありました。PQC移行はその最新章です。SC試験の学習としては、暗号の危殆化・鍵管理・PKIといった既存の知識体系に「量子」という新しい軸を接続する絶好の機会になります。本記事の内容を足がかりに、危殆化対応の全体像を自分の言葉で説明できる状態を目指しましょう。

本記事は情報処理安全確保支援士(SC)試験対策を目的として作成しています。

参考資料

自社のセキュリティ対策に不安はありませんか?
BKサクセスでは、専任の情シスがいない中小企業様向けに、伴走型のセキュリティ対策支援を行っています。
まずは無料相談から、お気軽にご連絡ください。
✉️ セキュリティ対策について相談する(無料)
  • この記事を書いた人

Kenta Banno

元CIOの窓際サラリーマン(50代)。プライム上場企業の片隅で、情報処理安全確保支援士の合格を目指して奮闘中! 現在はAI(Gemini/Claude)を「壁打ち相手」として徹底活用し、日々の学習の備忘録とアウトプットを兼ねて記事を投稿しています。同じ資格を目指す初学者の参考になれば嬉しいです。

-02. 暗号技術の基礎