耐量子暗号（PQC）とは？「今盗んで、後で解読する」攻撃に中小企業も今から備えるべき理由

「量子コンピュータが暗号を破る」という話を、SFや遠い未来の話だと思っていないでしょうか。

実は、攻撃は理屈の上ではもう始まっています。「Harvest Now, Decrypt Later（今収集して、後で解読する）」——現在の技術では解読できない暗号化通信を今のうちに大量に傍受・保存しておき、量子コンピュータが実用化された時点でまとめて解読する、という戦略です。

つまり「量子コンピュータが完成してから対策すればよい」は成立しません。今日送信した暗号化データの中に10年後も秘密であるべき情報が含まれているなら、その情報はすでにリスクに晒されていることになります。

この記事では、その対策である**耐量子暗号（PQC：Post-Quantum Cryptography）**の現在地と、中小企業が今からやるべき現実的な準備を解説します。

なぜ今の暗号が危ないのか

インターネットの安全は、大きく2種類の暗号技術で支えられています。

• 公開鍵暗号（RSA、楕円曲線暗号）： HTTPS通信の鍵交換、電子署名、VPN、コード署名など。「素因数分解や離散対数問題は現実的な時間で解けない」ことが安全性の根拠
• 共通鍵暗号（AES）： データ本体の暗号化

このうち公開鍵暗号は、十分な規模の量子コンピュータ上でShorのアルゴリズムを実行されると多項式時間で破られることが数学的に分かっています。HTTPSもVPNも電子署名も、根っこの鍵交換・署名が破られれば全部崩れます（AESは影響が比較的軽微で、鍵長を256bitにすることで対応可能とされています）。

「十分な規模の量子コンピュータ」がいつ実現するかは見解が分かれますが、各国政府は2030年代を現実的なリスク時期として移行を進めています。

各国・各社の動き——もう「様子見フェーズ」ではない

標準は確定した（NIST、2024年8月）

米国NISTは2024年8月、PQCの標準を正式に確定しました。

• FIPS 203（ML-KEM）： 鍵カプセル化（鍵交換の置き換え）
• FIPS 204（ML-DSA）： デジタル署名
• FIPS 205（SLH-DSA）： デジタル署名（ハッシュベース）

「どのアルゴリズムに移行するか」という議論は終わり、実装と移行のフェーズに入っています。

日本政府は2035年めどの移行方針

日本でも内閣官房（国家サイバー統括室）が、政府機関等は2035年をめどにPQCへ移行する方針を示し、CRYPTRECが移行ガイドラインを公開しています。米NSAも国家安全保障システムについて2035年までの移行（CNSA 2.0）を求めており、「2035年」が世界共通のマイルストーンになりつつあります。

身近な製品はすでに対応が始まっている

実は、ユーザーが気づかないところでPQC化は進行中です。

• ChromeやEdgeのTLS通信では、従来方式とML-KEMを組み合わせた「ハイブリッド鍵交換」が既定で有効化されており、Googleなど対応サーバーとの通信はすでに耐量子化されている
• Windowsには耐量子暗号API（CNGへのML-KEM/ML-DSA追加）が提供され、OSレベルの対応が進む
• Apple iMessage（PQ3）やSignalなどのメッセージングはいち早くPQC化済み
• OpenSSL等の主要暗号ライブラリもML-KEM/ML-DSAをサポート

つまり中小企業にとってPQC対応の大部分は「OS・ブラウザ・クラウドのアップデートに乗る」ことで自動的に進みます。最新バージョンを使い続けられる体制こそが、最大のPQC対策だと言えます。

参考： 諸外国における耐量子計算機暗号（PQC）移行の状況 - 内閣官房

中小企業にとっての本当のリスクはどこか

「うちは国家機密を扱っていないから関係ない」と考えるのは早計です。Harvest Now, Decrypt Laterの観点で考えるべきは、**「10年後に漏れても困る情報を、今、暗号化通信や暗号化保存に頼って扱っていないか」**です。

• 設計図面・製法・特許出願前の技術情報（製造業の競争力の源泉）
• M&A・資本政策などの長期に秘匿すべき経営情報
• 医療・健康情報、個人の機微情報（時間が経っても価値が落ちない）
• 長期保存が義務付けられた契約書・人事情報

また、自社が狙われなくても、サプライチェーンの一員として大手取引先から暗号移行計画を問われる日は確実に来ます。金融機関や政府調達では、ベンダーへのPQC対応状況の確認が始まっています。

中小企業が今からやるべき4つの準備

PQC移行は「明日アルゴリズムを入れ替える」話ではなく、5〜10年がかりの体質改善です。今やるべきは大掛かりな投資ではなく、以下の4つです。

1. 暗号インベントリ（どこで暗号を使っているかの棚卸し）

移行の大前提は「自社がどこで・どの暗号を使っているか」の把握です。完璧を目指さず、まずは粗くリスト化します。

• 公開Webサイト・社内システムのTLS設定（バージョン・証明書）
• VPN装置（拠点間・リモートアクセス）の暗号方式
• 暗号化機能を持つ業務システム・ファイル暗号化製品
• 電子契約・電子署名・タイムスタンプの利用先
• 長期保存している暗号化データ（何を・何年保存するか）

2. 「古い暗号」をまず捨てる（足元の宿題）

PQC以前の問題として、TLS 1.0/1.1、SHA-1、RSA 1024bitなどすでに危殆化した暗号が残っている企業は少なくありません。古いVPN装置や社内サーバーが定番の残存場所です。PQC対応の議論の前に、まず現行基準（TLS 1.2/1.3、RSA 2048bit以上または楕円曲線）への引き上げを完了させましょう。古い暗号を捨てられない組織が、PQCに移行できるはずがないからです。

3. ベンダー・クラウドへの確認をルーチン化する

自社で暗号を実装している中小企業はまれで、実態は「製品とクラウドの暗号を使っている」はずです。であれば、やるべきはベンダー管理です。

• VPN・ファイアウォール・暗号化製品のベンダーにPQC対応ロードマップを確認する
• 新規調達時の要件に「PQC対応計画があること」「暗号アルゴリズムを更新可能な設計であること」を入れる
• Microsoft 365 / Google Workspace等の大手クラウドは事業者側で移行が進むため、サポート対象バージョンを使い続けることが利用者側の責務

4. クリプトアジリティ（暗号を入れ替えられる体質）を意識する

今後10年、暗号アルゴリズムの入れ替えは一度では終わらない可能性があります。「特定の暗号方式がハードコードされた自社システム」「更新できない組み込み機器」が最大の負債になります。システム更改の際は、**暗号部分を設定で差し替えられる設計（クリプトアジリティ）**を要件に含めることを習慣化してください。

よくある質問

Q. 量子コンピュータはいつ暗号を破れるようになる？ A. 確定的な予測はありませんが、各国政府が2030〜2035年を移行期限に設定していること自体が、リスク評価の答えです。「期限から逆算して10年仕事だから今始めている」のが各国の動きです。

Q. 中小企業が今買うべきPQC製品はある？ A. 基本的にありません。現段階で「PQC対応」を売り文句にした高額な製品を急いで買う必要はなく、OS・ブラウザ・クラウドの標準対応に乗るのが最も確実で安価です。投資すべきはインベントリ整備と古い暗号の排除です。

Q. 真っ先に影響が出るのはどこ？ A. 長期署名（電子契約の長期検証、タイムスタンプ）と長期秘匿データです。10年後に検証・秘匿が必要なものは、今の暗号の寿命を超えて生きるためです。

まとめ

• 量子コンピュータによる暗号解読は「今盗んで後で解読する」攻撃により、実用化前の現在からすでにリスクが発生している
• NIST標準（ML-KEM/ML-DSA等）は2024年に確定済み。日本政府は2035年めどの移行方針を提示し、ChromeやWindowsなど身近な製品の対応は始まっている
• 中小企業のPQC対応の本体は「最新バージョンを使い続けられる体制」と「ベンダーへの確認」。特殊な製品購入ではない
• 今やるべきは（1）暗号インベントリ、（2）危殆化済みの古い暗号の排除、（3）調達要件へのPQC観点の追加、（4）クリプトアジリティの意識づけ
• 10年後も秘密であるべき情報を扱っているなら、対策の開始時期は「量子コンピュータ完成後」ではなく今

情シス365では、暗号利用状況の棚卸し、古いVPN・サーバーの更改計画、セキュリティ調達要件の整備など、PQC時代を見据えたITインフラの体質改善を支援しています。「何から手をつければいいか分からない」という段階からお気軽にご相談ください。