安全安心なデジタル社会を実現するために、データの暗号化が重要な役割を果たしている。しかし、量子コンピュータの発展により、従来の暗号技術が将来的に容易に破られる可能性がある。金融庁はこの脅威に対抗するため、「耐量子計算機暗号|Post-Quantum Cryptography(以下、PQC)」への対応を直ちに着手するよう銀行などの金融機関に要請している。
本稿は、政府機関や国立研究機関と、PQCや暗号鍵管理などの調査研究を実施している弊社が、暗号技術の最新動向について解説するシリーズ記事の1つである。量子コンピュータが及ぼす従来の暗号技術への脅威、その脅威に対抗するために注目されているPQCの標準化動向を紹介したのち、PQC対応しないことによるセキュリティリスクとPQC対応に向けた各国の動向を解説する。
PQC対応は金融業界に限られた課題ではなく、あらゆる業界で検討すべき重要な事項であるため、金融業界以外の関係者にもご一読いただきたい。
<関連ブログ>
耐量子計算機暗号(PQC)移行の鍵、"クリプトアジリティ"とは?|迫る暗号技術の転換点②
BYOK/HYOK/BYOEとは?クラウド時代の鍵管理戦略|迫る暗号技術の転換点③
暗号システムにおける鍵管理に関するガイドラインとして、しばしばNIST SP 800-57が参照される。NIST SP 800-57では、2030年以降も安全に暗号を使用するために、128bit以上の暗号強度が必要と示されている。128bit以上の強度を有する暗号の具体例としては、共通鍵暗号方式であるAESの場合は鍵長が128bit以上、公開鍵暗号方式であるRSAの場合は3072bit以上とされている。
一方で、将来的な量子コンピュータの発展を考慮すると、各暗号アルゴリズムにおいて、量子コンピュータによる暗号解読時の探索回数は下図に示す通りとなる。
その結果、現在は安全とされているAES-128やRSA-3072であっても、128bit以上の強度を担保できなくなる可能性がある。
共通鍵暗号方式やハッシュ関数では、鍵長/ハッシュ長を大きくすることで、量子コンピュータが発展した場合でも128bit以上の強度を担保することが可能である一方、公開鍵暗号方式では、鍵長を大きくしても強度が128bitに達することはなく、量子コンピュータに対応できるPQCへの移行が必要となる。
PQCとは、1章で述べたように、量子コンピュータによって従来の暗号方式が破られるリスクに対応するための暗号技術である。PQCの標準化はNISTを中心に推進されており、2025年5月時点では、4種類のアルゴリズムが米国政府の情報処理標準規格であるFIPS標準となることが確定している。
PQCでは格子方式と呼ばれる格子問題を解く困難さを利用した暗号技術が採用されており、鍵交換にはCRYSTALS-Kyber(ML-KEM)が、デジタル署名にはCRYSTALS-Dilithium(ML-DSA)の利用が主流とされている。
デジタル署名においては、CRYSTALS-Dilithium(ML-DSA)のほか、暗号利用の歴史が浅い格子方式の脆弱性を考慮しバックアップ用途としたハッシュベースのSphincs+(SLH-DSA)と、鍵長や署名長が短いという特徴を持つFALCON(FN-DSA)の2種類も標準化されている。
さらに、4種類のアルゴリズムが標準化された現在も、更なる軽量化などを目的として新しいPQCの追加評価が行われており、2025年3月には鍵交換を目的としたアルゴリズムであるHQCの標準化が決定した。
PQCに関する議論は特に金融分野で活発に行われており、各国の金融関連団体を中心にレポートを公開している。日本においては、金融庁主導で「預金取扱金融機関の耐量子コンピュータ暗号への対応に関する検討会」(以下、金融庁検討会)が行われ、その報告書が金融庁のHPで公開されている。
本章では、金融庁検討会の報告書で参照している国外のレポートを抜粋し、PQC対応しないことによるセキュリティリスクを紹介する。当該報告書は主に金融分野を対象にしているが、金融業界に限らず全ての業界に適用できるものであるため、金融業界以外の読者にも是非ご参考いただきたい。
イギリスの金融関連団体であるUK Financeのレポート『Minimising the Risks: Quantum Technology and Financial Services』によると、PQC対応しないことで下図のようなリスクが存在すると示されている。APIなどのシステムインターフェースの侵害やソフトウェアの完全性の侵害、保存されたデータの改竄など、これらのリスクは特定の業界に限らず、あらゆる事業体が共通して直面する可能性があると考えられる。
先述したリスクは、主に従来の暗号を解読可能な量子コンピュータが登場した後に攻撃されることを想定したリスクである。一方で、法的要件やビジネスニーズなどを理由に長期間保護する必要があるデータについては、現時点において、Harvest Now Decrypt Later攻撃(以下、ハーベスト攻撃)のリスクが発生している可能性がある。
ハーベスト攻撃とは、従来の暗号を解読可能な量子コンピュータが登場する前に、従来の暗号方式で暗号化されたデータを収集しておき、量子コンピュータが登場した後に、事前に収集した暗号化データを解読する攻撃である。
PQC対応に要する期間とデータを保護したい期間を足し合わせた期間が、従来の暗号を解読可能な量子コンピュータ登場までの期間よりも長い場合、ハーベスト攻撃のリスクが発生していると考えられる。
なお、量子コンピュータ登場までの期間は、専門家によって意見が分かれている。例えば、Global Risk Instituteのレポート『QUANTUM THREAT TIMELINE REPORT 2024』によると、24時間以内にRSA-2048を解読できる可能性は、2024年から5年以内で5~14%、10年以内で19~34%、15年以内で39~62%、20年以内で60~82%、30年以内で77~92%と示されている。
ハーベスト攻撃のリスクが存在するか確認するためには、まず保存されているデータの保護期間を整理する必要があると考えられる。そのうえで、例えば、PQC対応に要する期間を後述の4章に基づき2035年を期限とする10年、量子コンピュータ登場までの期間を先述のGlobal Risk Instituteのレポートに基づき30年と仮定した場合、保護期間が20年以上のデータは既にハーベスト攻撃のリスクが存在していると判断できる。したがって、そのようなデータにおいては、保存されている暗号化データへのアクセス制御を強化したり、インターネット経由での暗号化データの通信を避けたりするなど、攻撃者に暗号化データを収集されないような対策を講じることが求められると考えられる。
1~3章の背景をもとに、各国ではPQC対応を進めている。本章では、世界を牽引するアメリカの動向、そして日本の動向を解説する。
アメリカでは、2035年までに量子リスクを可能な限り軽減することを目的としてPQCへの移行を優先する必要があることが、2022年5月4日にホワイトハウスから発表された。
また、アメリカ国家安全保障局|National Security Agency(以下、NSA)は、2030~2033年までに国家安全保障に関わるシステム|National Security Systems(以下、NSS)で使用される暗号アルゴリズム|Commercial National Security Algorithm Suite(以下、CNSA)を、現在のCNSA 1.0からCNSA 2.0に移行すること、すなわちPQC対応を求めることを発表した。
さらに、NIST IR 8547『Transition to Post-Quantum Cryptography Standards』によると、RSAをはじめとする公開鍵暗号方式の使用を2035年以降禁止とする方針である。
アメリカをはじめとする海外の事業体がPQC対応を進める場合、それらと通信する日本の事業体はPQCの使用を求められる可能性がある。PQC対応の遅れは、3章で紹介したセキュリティリスクだけでなく、海外事業体との通信ができなくなるというビジネスリスクにも繋がるおそれがある。また、海外に拠点やグループ会社を有する日本の事業体は、日本本社よりも先に、海外の拠点やグループ会社の対応を迫られる可能性がある点についても留意したい。
日本ではアメリカの動向をベンチマークにPQCに関する議論が行われている。本節では、PQC対応に向けた日本の動向として、自民党デジタル社会推進本部、金融庁、CRYPTRECの取り組みを紹介する。
自民党デジタル社会推進本部では、 2024年5月に『サイバーセキュリティ対策の更なる強化に向けた提言』の中で、PQC対応のための政策パッケージの策定を提言している。当該政策においては、国が主導して、移行ロードマップの策定やPQC対応ガイドラインの策定などを行い、重要領域における最優先対応システムについては、2030年を目途に対応を完了する方針であることが明言されている。
3章で先述した通り、金融庁では、PQCへの移行を検討する際の推奨事項や課題、留意事項について、預金取扱金融機関や有識者などと議論する金融庁検討会が、2024年7月から10月にかけて開催された。金融庁検討会における報告書のエグゼクティブサマリーには、金融機関がPQC対応を適切に推進するうえで留意すべき事項のうち、特に経営層が認識または対処すべき事項が記載されている。
移行への事前準備としては、暗号の利用箇所やアルゴリズムの棚卸しを行い、データの重要性や保存期間などを考慮して対応の優先順位を付けること、クリプトアジリティ(暗号方式を柔軟かつ迅速に切り替えられる能力)を向上させることが重要と提言されている。報告書にも記載されている通り、移行準備には相当の時間、ヒト、カネを要する可能性があるため、実際の移行を見据えて、現時点から着々と事前準備を進めることを推奨する。
CRYPTRECでは、NICTとIPAが共同で運営する「暗号技術評価委員会」の2022年度の活動成果として、『耐量子計算機暗号の研究動向調査報告書』および『暗号技術ガイドライン(耐量子計算機暗号)』を公開し、それらの内容は2024年度末に更改された。
『暗号技術ガイドライン(耐量子計算機暗号)』では、PQCの活用方法だけでなく、その他のレポートではあまり触れられていないPQCの安全性の根拠や具体的なアルゴリズムなど、技術的な内容についても解説されている。
NRIセキュアテクノロジーズではPQCやクリプトアジリティに関する動向、クラウド環境における鍵管理方式(BYOK/HYOK/BYOE)に関する技術調査、ならびに規制動向(経済安全保障関連法など)に関する最新の知見を有しています。また、金融機関や製造業など、業種や分野を問わず、鍵管理に関するセキュリティ強化支援の実績があります。お客様のシステム環境やビジネス要件を踏まえ、中長期的な視野で鍵管理のあるべき姿を評価し、具体的な対策を提言することが可能です。お困りごとがございましたら、是非お気軽にご相談ください。