※本コラムは、米国Rambus Inc.の2025年4月14日のブログを元にして、内容を付加した形のものになります。

耐量子暗号（PQC）は、量子安全暗号（QSC）とも呼ばれ、量子コンピュータによる攻撃に耐えるよう設計された暗号アルゴリズムを言います。
量子コンピュータは、最終的に公開鍵暗号（非対称暗号）を破るほどの処理能力を獲得する可能性があります。公開鍵暗号は、オンライン通信から金融取引まで、あらゆるものを保護するために使用されています。

量子計算は重大なセキュリティ脅威であり、耐量子暗号を用いてアプリケーションとインフラストラクチャを保護するための措置を今すぐ講じる必要があります。
このコラムでは、量子コンピュータ攻撃から保護するための新しいアルゴリズムについて、必要なすべてを説明します。

目次

• 1. 量子コンピューティングとは何ですか？

• 2. なぜ量子コンピュータはセキュリティ脅威となるのでしょうか？

• 3. 耐量子暗号（PQC）および量子安全暗号との違い

• 4. 量子コンピュータ対策を今行動する必要性

• 5. 新しいPQCアルゴリズムの開発の状況

• 6. PQC アルゴリズムへの移行の推奨事項

• 7. 暗号方式の使用状況の詳細（クリプト・インベントリー）について

• 8. 量子コンピューティング時代への対策と準備

• 9. PQCとSBOM／CBOMの関係 〜PoCを通じた実践的アプローチの提案〜

  • ① SBOMとは？

  • ② CBOMとは？

  • ③ PoCの実現

  • ④ 実践的アプローチの提案

• 10. Rambusの耐量子暗号IPソリューションについて

• 11. 最後に

1. 量子コンピューティングとは何ですか？

量子コンピューティングは、量子力学を利用して、従来のコンピュータでは不可能な速度で特定の種類の複雑な問題を解決します。現在、最も強力なスーパーコンピュータでも数年かかる問題が、数日で解決できる可能性があります¹。
そのため、量子コンピュータは、AI などのアプリケーションを全く新しいレベルに引き上げる計算能力を提供する可能性があります。強力な量子コンピュータは、そう遠くない将来に現実のものとなるでしょう。しかし、多くの利点がある一方で、重大なセキュリティ脅威も伴います。

2. なぜ量子コンピュータはセキュリティ脅威となるのでしょうか？

十分な計算能力を持つ量子コンピュータが存在するようになれば、鍵交換やデジタル署名に用いられる従来の非対称暗号方式は破られることになります。ショアのアルゴリズム²を活用することで、量子コンピュータは楕円曲線暗号（ECC）や因数分解に基づく暗号方式（RSA：Rivest-Shamir-Adleman）などの離散対数に基づく暗号方式のセキュリティを著しく低下させ、合理的な鍵長ではデータを安全に保護できなくなる可能性があります。ECCとRSAは、私たちの銀行口座から医療記録まで、あらゆるものを保護するために使用されているアルゴリズムです。
世界中の政府、研究者、テクノロジーのリーダーたちは、この量子脅威と、量子コンピュータからの攻撃に対して重要なインフラを保護する難しさを認識しています。

「十分な規模と高度な機能を備えた量子コンピュータ（暗号解析的に関連する量子コンピュータ（CRQC）とも呼ばれる）は、米国および世界中のデジタルシステムで用いられている公開鍵暗号の多くを破る能力を持つでしょう。
CRQCが利用可能になると、民間および軍事通信が脅かされ、重要なインフラの監視・制御システムが機能不全に陥り、インターネットベースの金融取引のセキュリティプロトコルが破られる可能性があります。」
―量子コンピューティングにおける米国のリーダーシップを促進しつつ、脆弱な暗号システムへのリスクを軽減するための国家安全保障メモランダム、2022年5月より―

3. 耐量子暗号（PQC）および量子安全暗号との違い

量子攻撃からデータとハードウェアを保護するため、新しいデジタル署名と鍵カプセル化メカニズム（KEM）が必要です。世界中で、RSAとECCを置き換えつつ、古典的攻撃と量子攻撃の両方に高い耐性を有する新しい暗号アルゴリズムの開発と展開を目指す多くのイニシアチブが開始されています。耐量子暗号（PQC）とは、量子コンピュータによる攻撃に耐えられるように設計されたこれらの暗号アルゴリズムを指します。
量子安全暗号は耐量子暗号の別称です。どちらも、量子コンピュータによる攻撃に耐えられるように設計された暗号アルゴリズムを指します。他の用語としては、量子証明暗号や量子耐性暗号などが挙げられます。

4. 量子コンピュータ対策を今行動する必要性

量子コンピュータが公開鍵暗号を破るほどの性能を持つようになるのはまだ先の話かもしれませんが、データ収集は既に進行中です。悪意のある攻撃者は、既に暗号化されたデータを収集し、将来の量子コンピュータが現在の暗号化方法を破れるようになった際に解読するため、そのデータを保存しているとされています。これは“harvest now, decrypt later”戦略（「現在収集、将来解読」戦略）と呼ばれています。
さらに、機密情報や個人情報の有効期限は数年や数十年にも及ぶため、将来の量子攻撃から保護するため、現在そのようなデータを保護するニーズが急速に高まっています。また、チップなどの多くのデバイスでは開発サイクルが長いです。セキュリティテスト、認証、既存のインフラへの展開に数年かかることを考慮すると、量子安全暗号への移行を早期に開始するほど良いです。

5. 新しいPQCアルゴリズムの開発の状況

新しいPQCアルゴリズムの開発と標準化に関する最大の公的イニシアチブは、米国商務省の国立標準技術研究所（NIST）によって発足しました。国際的な暗号研究者のチームがアルゴリズムの提案を提出し、提案を審査し、一部を破り、他のアルゴリズムのセキュリティに信頼を置くようになりました。
複数の評価ラウンドを経て、2022年7月5日、NISTは標準化対象として選定された最初のPQCアルゴリズムを発表しました。CRYSTALS-Kyberが鍵カプセル化メカニズム（KEM）として、CRYSTALS-Dilithium、FALCON、SPHINCS+がデジタル署名アルゴリズムとして選定されました。

2023年8月24日、NIST は、汎用量子安全暗号の最初の3つの標準草案を発表しました。
これらの標準草案は次のとおりです。

• FIPS 203 ML-KEM：モジュール格子ベースの鍵カプセル化メカニズム標準。これは、以前に選定された CRYSTALS-Kyber メカニズムに基づいています³。

• FIPS 204 ML-DSA：モジュール格子ベースのデジタル署名標準。これは、以前に選定された CRYSTALS-Dilithium 署名方式に基づいています⁴。

• FIPS 205 SLH-DSA：ステートレスハッシュベースのデジタル署名標準。これは、以前に選定された SPHINCS+ 署名方式に基づいています⁵。

6. PQC アルゴリズムへの移行の推奨事項

国家安全保障局（NSA）は、2022年9月に商用国家安全保障アルゴリズムスイート（CNSA）のアップデート、CNSA 2.0を公開しました。
国家安全保障システム（NSS）は、2033年までにPQCアルゴリズムへの完全移行が必要となり、一部のユースケースでは2030年までに移行を完了する必要があります。CNSA 2.0では、量子耐性アルゴリズムとしてCRYSTALS-KyberとCRYSTALS-Dilithiumを使用し、状態保持型ハッシュベースの署名方式としてXMSS（eXtended Merkle Signature Scheme）とLMS（Leighton-Micali Signatures）を採用することを規定しています。
CNSA 2.0 は、PQC アルゴリズムの採用に関する意欲的なスケジュールを定めています。世界中の他の組織も、独自のガイドラインを策定してこれに追随する見通しです。

7. 暗号方式の使用状況の詳細（クリプト・インベントリー）について

クリプト・インベントリー（Cryptographic Inventory）は、2022年以降の米国政府のPQC移行方針（M-23-2）や、NISTの標準化活動の中で使用され始めた言葉です。企業や組織が自社のシステム・製品・サービス・業務プロセスにおいて使用している暗号技術の一覧を網羅的に把握・管理するための作業やドキュメントを指します。
日本においては、2023年以降に日本銀行やCRYPTREC⁶ の資料で「暗号使用状況の調査・把握（クリプト・インベントリー）」という表現が登場し、量子コンピュータによる脅威に備えるための初期ステップとして位置付けられています。
海外のセキュリティ機関（NCSC、ASD、CSEなど）も、PQC移行に向けた準備として「クリプト・インベントリーの整備」を推奨しており、国際的にも標準的なステップとして認識されつつあります。
クリプト・インベントリーを実用的かつ戦略的なものにするためには、企業内で使用されている具体的な暗号方式の一覧とその使用状況を明確に記載することが不可欠です。
RSAやECCなどの公開鍵暗号方式は量子コンピュータによって破られる可能性が高く、文書でもその脆弱性が強調されています。しかし、企業の情報システムや製品には、これら以外にも多くの暗号技術が使用されています。たとえば：

• 共通鍵暗号方式：AES（Advanced Encryption Standard）

• ハッシュ関数：SHA-2（SHA-256, SHA-512など）

• 通信プロトコル：TLS（Transport Layer Security）1.2 / 1.3

• 署名・認証方式：HMAC、ECDSA、RSA署名など

これらの技術がどのシステムやサービス、端末で使用されているかを明記することで、量子耐性の観点からのリスク評価や、移行優先度の判断が可能になります。

8. 量子コンピューティング時代への対策と準備

企業は量子コンピューティング時代に向けてどのように準備すべきでしょうか？

• RSA や ECC などの脆弱な暗号が自社製品にどこで使用されているかを把握してください。

• PQC移行が製品に与えるパフォーマンスへの影響を調査し、製品ロードマップに適切な対応策を検討してください。

• 製品が遵守すべき移行スケジュールを確立してください。

• お客様やサプライヤーと協議し、期待と計画が一致していることを確認してください。

• ビジネスインフラストラクチャやビジネスプロセスにおいて、RSAやECCのような脆弱な暗号化技術がどこに導入されているかを把握してください。

• セキュリティの専門家と相談し、耐量子暗号化への移行を開始する方法について理解してください。

9. PQCとSBOM／CBOMの関係 〜PoCを通じた実践的アプローチの提案〜

今までの説明のとおり、量子コンピュータの進化により、RSAやECCといった従来の公開鍵暗号が将来的に破られるリスクが現実味を帯びてきました。これに対応するため、企業は耐量子暗号（PQC）への移行を計画的に進める必要があります。

その第一歩として重要なのが、SBOM（Software Bill of Materials）とCBOM（Cryptography Bill of Materials）の整備です。

① SBOMとは？

SBOM（Software Bill of Materials）は、ソフトウェアに含まれるすべてのコンポーネント（ライブラリ、モジュール、依存関係など）を一覧化した「ソフトウェア部品表」です。近年、サプライチェーンリスクや脆弱性管理の観点から、政府や業界団体によってその整備が推奨されています。

EUが提唱するサイバーレジリエンス法（Cyber Resilience Act（CRA））では、SBOMの作成・提出が義務化される方向で進行しており、製品に含まれる脆弱性とコンポーネントの文書化が求められ、SBOMはその中心的役割を担います。
技術文書の一部として、SBOM・脆弱性処理プロセス・更新配布手段などの記載が必要で、2027年からの完全施行を目指しており、EU市場で製品を販売する企業は対応が必須となります。
経済産業省はSBOMの導入・活用に関する実証事業や手引きの整備を進めており、ソフトウェア資産管理の基盤として位置づけています。
金融庁はPQC移行に向けた論点整理の中で、SBOMを中長期的な暗号資産管理の一環として推進する方針を示しています。
日本銀行やCRYPTRECも、クリプト・インベントリーの整備とSBOMの連携を重要視しており、2030年代前半のPQC移行完了を目標にしています。

② CBOMとは？

Cryptography BOM（CBOM）は、ソフトウェアに含まれる暗号アルゴリズムや暗号ライブラリの使用状況を明示する部品表です。これは、SBOMを補完する形で、セキュリティやコンプライアンスの観点から重要な情報を提供します。具体的には以下のような情報が含まれます：

• 使用している暗号アルゴリズム（例：RSA, ECC, AES, SHA-2）

• 鍵長や設定（例：RSA 2048bit、TLS 1.2 with AES-GCM）

• 使用箇所（例：VPN、認証、データ保存、通信）

• 使用ライブラリ（例：OpenSSLなど）

• 暗号化対象のデータ（例：顧客情報、契約書）

• PoC（Proof of Concept）との関係

③ PoCの実現

PQC移行に向けたPoCを実施する際、SBOMとCBOMの整備は不可欠な前提条件となります。PoCでは以下のような検証が行われます：

• 現行システムで使用されている暗号技術の棚卸し（＝CBOMの作成）

• PQCアルゴリズムへの置き換えによる性能・互換性の評価

• ハイブリッド暗号構成の導入可否の検討

• サプライチェーンとの連携におけるCBOMの共有

PoCを通じてCBOMを整備することで、本格導入に向けたリスクの可視化と移行計画の具体化が可能になります。

④ 実践的アプローチの提案

PQC移行は、単なる暗号技術の更新ではなく、企業全体のセキュリティ資産の再評価と再設計を意味します。SBOMとCBOMを活用し、PoCを通じて段階的に移行を進めることで、量子時代におけるセキュリティの確保が現実的なものとなります。

10. Rambusの耐量子暗号IPソリューションについて

Rambusの耐量子暗号IPソリューションは、NISTとCNSAが選択したアルゴリズムを使用して、量子コンピュータ攻撃からデータとハードウェアを保護するハードウェアレベルのセキュリティソリューションを提供します。
Rambusの耐量子暗号IP製品は、FIPS 203 ML-KEMおよびFIPS 204 ML-DSAの草案規格に準拠しています。製品はファームウェアでプログラム可能であり、進化する量子耐性規格への更新が可能です。
製品は、データセンター、AI/ML、防衛、その他の高度なセキュリティが求められるアプリケーションを含む幅広い用途向けに、ASIC、SoC、FPGA実装で展開可能です。

• QSE-IP-86：耐量子暗号化を加速するスタンドアロンエンジン

• QSE-IP-86 DPA：耐量子暗号化を加速し、DPA 耐性のある暗号化アクセラレータを備えたスタンドアロンエンジン

• RT-634：耐量子暗号化を加速するプログラマブルルートオブトラスト

• RT-654：耐量子暗号化加速機能とDPA耐性暗号化アクセラレータを備えたプログラマブルルートオブトラスト

• RT-664：耐量子暗号化加速機能とFIA保護暗号化アクセラレータを備えたプログラマブルルートオブトラスト

• Quantum Safe IPsec Toolkit：耐量子暗号化された完全IPsec実装。高速、スケーラブル、完全準拠のIPsec実装。クラウドおよび仮想展開、高トラフィックゲートウェイ、組み込みデバイスで使用されます。

• 耐量子暗号ライブラリ：耐量子暗号ライブラリ。新しい量子耐性アルゴリズムと従来のアルゴリズムを単一のパッケージで提供し、将来性のある暗号化を実現します。

11. 最後に

量子コンピューティングは、世界の産業、政府、学術界において資金含めたエネルギーを注ぎ込まれ、近い将来現実となる見込みです。長年、RambusはPQC（量子耐性暗号）の先駆的な役割を果たし、NISTとCNSAが選定したアルゴリズムを使用したハードウェアレベルのセキュリティを提供する耐量子暗号IP ソリューションのポートフォリオを提供しています。

メーカー

Rambus社の製品はこちら

関連製品

QSE-IP-86
QSE-IP-86 DPA
RT-634
RT-654
RT-664
Quantum Safe IPsec Toolkit
耐量子暗号ライブラリ

関連特集

耐量子暗号（PQC）対応特集

¹TIME，2023年1月26日，Quantum Computers Could Solve Countless Problems—And Create a Lot of New Ones（https://time.com/6249784/quantum-computing-revolution/）

²ショアのアルゴリズム（英: Shor’s algorithm）は、1994年にアメリカの数学者ピーター・ショアによって考案された、素因数分解問題を高速に（多項式時間で）解くことができるアルゴリズムのことである。

³米国国立標準技術研究所 (NIST)，2023年8月24日，Module-Lattice-Based Key-Encapsulation Mechanism Standard（https://csrc.nist.gov/pubs/fips/203/ipd）

⁴米国国立標準技術研究所 (NIST)，2023年8月24日，Module-Lattice-Based Digital Signature Standard（https://csrc.nist.gov/pubs/fips/204/ipd）

⁵米国国立標準技術研究所 (NIST)，2023年8月24日，Stateless Hash-Based Digital Signature Standard（https://csrc.nist.gov/pubs/fips/205/ipd）

⁶ CRYPTREC とは、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討する日本政府のプロジェクト。

関連記事

• 知っておくべき最新のセキュリティ動向 ～デジタル機器への耐量...