メッセージングを中心に、ネットワークセキュリティを脅かす脅威やサイバー犯罪、不正利用(Abuse)への対策に取り組む業界団体、JPAAWG(Japan Anti-Abuse Working Group)は、2025 年 11 月 4 日、5 日の二日間、年次カンファレンス「JPAAWG 8th General Meeting」を、高知市文化プラザかるぽーと&オンラインのハイブリッドで開催した。
サイバー犯罪や対抗技術の最新動向を踏まえ、様々なテーマについて展開された 30 以上のプログラムから、今年も注目セッションをピックアップしてご紹介する。講演資料も随時公開されるのでぜひご覧いただきたい。
レポート第 1 回は、金融を含む多くの組織で注目されている PQC(Post-Quantum Cryptography;耐量子計算機暗号)について、社内ネットワークや各種システム設計を担うエンジニアに向けたセッション、インターネットイニシアティブの須賀祐治氏による「 PQC 移行:いまできること・できないこと」である。
--
量子力学の原理に基づく計算処理を行い、現在のコンピュータでは計算量が膨大になりすぎて解けない問題をも解けてしまう「量子コンピュータ」の開発が世界各地で進んでいる。もし実用化されれば、ビッグデータの解析や高精度なシミュレーションによって新たな革新が生まれると期待されている。
一方で量子コンピュータの登場は、現在広く利用されている暗号アルゴリズムを解読可能にしてしまい、セキュリティ面で大きな問題をもたらす懸念も指摘されている。この問題への対策として PQC への移行が検討されるようになった。
須賀氏は、こうした問題の背景をわかりやすく解説し、「いまできること、すべきこと」をアドバイスした。
暗号技術はインターネット上の安全な通信に欠かせない。特に最近はメディアでも、PQC に関連する話題が取り上げられるようになっている。
だが須賀氏はセッションの冒頭に「過度な報道に踊らされず、慌てず粛々と進めましょう」と、冷静に向き合うことを呼び掛けた。さらに、過去に発生した「暗号の2010年問題」なども引き合いに出しながら、「一度移行しておしまいではなく、いずれまた同じような脅威が到来し、問題に直面することになります」と、決して一過性の問題ではないことにも注意を呼び掛け、PQC を巡る動きを理解する上で必要な背景を説明した。
● 常に危殆化と戦い、評価を続けてきた暗号の歴史
須賀氏は PQC を概説する前に、暗号アルゴリズムを巡る基礎的な状況から説明を行った。
我々がほとんど意識することなく利用している現行の暗号技術は、日本では「CRYPTREC」(Cryptography Research and Evaluation Committees)と呼ばれる国家プロジェクトによって評価やプロモーションが行われてきた。
このプロジェクトでは、世の中のさまざまな暗号アルゴリズムを検討・評価し、現在安全に利用できる「一軍」、傷はついていないので安全に利用できるが利用実績が少ない「二軍」、そして利用を推奨しない「戦力外通告」の 3 つのカテゴリにわけたリストを作成している。元々は電子政府の調達向けの推奨暗号リスト作成から始まったものだが、今では民間でも事実上の標準として広く参照されている。
なぜわざわざ暗号アルゴリズムのコンペティションを実施し、推奨リストを作成しているかというと、人間が設計するので気がついていなかった「穴」が空き実質的に使えなくなる恐れがあるからだ。そもそも暗号技術は「今のコンピュータでは、現実的なコストや時間では解けないから安全だとされている。しかし現実的には、研究者が暗号アルゴリズムを破る新たな攻撃手法を指摘することもあれば、CPU や GPU といったコンピュータ性能の向上に伴って破れるようになり、リスクが高まることもある。量子コンピュータの登場は、まさにその延長線上にあるものだ。
暗号アルゴリズムが容易に解かれ、通信が危険にさらされる事態(=危殆化)を避けるために、日本の CRYPTREC のほか、米国国立標準技術研究所(NIST)や他の国でも、暗号アルゴリズムを評価して推奨リストを作成してきた。
こうしたリストでは、暗号アルゴリズムの安全性は、解くための攻撃に 2 の n 乗の計算力が必要な場合を「 n ビットセキュリティ」と表現して定量的に示されている。「共通鍵暗号である AES の鍵長のように、長ければ長いほど安全だとイメージしやすいと思います。ただ一方で、n を高めれば高めるほど暗号化・復号処理の効率が悪くなってしまいます」(須賀氏)
かつて業界が対応に追われた暗号の 2010年問題は、それ以前に使われていた80ビットセキュリティを満たす暗号アルゴリズム(3DES、RSA-1024)やハッシュ関数の MD2/4/5 や SHA-1 などでは十分な安全性が確保できないとし、112 ビット暗号への移行を推奨するものだった。そして、それから 20 年以上もの時間が流れた今、今度は「暗号の2030年問題」が浮上しており、128 ビット暗号(RSA-3072やAES-128など)への移行が推奨されている段階だ。
「頻繁にアップデートが行われる Web ブラウザのように、128 ビットセキュリティを持つ暗号アルゴリズムへの移行がほぼ完了している製品群がある一方で、組み込み系の製品ではモジュールが古く、移行ができていないといった課題が指摘されています」(須賀氏)。ちなみに 2010 年問題の際に SHA-1 から脱却できず残り続けたのは皆がよく知る、とある端末だったことが明かされた。
●共通鍵暗号アルゴリズムにとって大きな脅威となる可能性を秘めた量子コンピュータ
このように、現行のコンピュータ(古典コンピュータ)の世界においても、暗号アルゴリズムは新陳代謝が求められる。ましてや量子コンピュータの登場は、そうした暗号アルゴリズムを容易に解読可能にする可能性があると指摘されている。
量子コンピュータは素因数分解や離散対数問題といった数学的問題を、現行のコンピュータとは比較にならないほど早く解くことができる。結果としてそれらをベースにした RSA や ECDSA といった現行の暗号アルゴリズムを現実的な時間で解くことができるーと示す論文が発表されるようになった。しかし CRYPTREC としては注意喚起情報としてこれを否定している。
そんな、広く利用されている暗号アルゴリズムを解けるような量子コンピュータ(CRQC)が登場するとされる日(Q-Day)がいつになるかは、まだアカデミアでも産業界でも、「2030 年半ばには」「いや、2045 年頃だろう」と意見が分かれているが、その日が到来すればリスクは避けられない。
また、暗号の世界では昔から言われてきた、暗号化されてはいるもののとりあえず通信データを保存しておいて、のちのち解読できるコンピュータが登場してから解読する「Harvest Now, Decrypt Later」のリスクからも逃れられない。
そこで米 NIST では、量子コンピュータでも解けない、つまり「耐量子計算機」の性質を備えた暗号アルゴリズムのコンペティションを開催し、その結果を踏まえて「FIPS-203、204、205」として標準化している(もう 2 つ加わる見込みだ)。なお混乱されがちだが、これら PQC は量子力学の性質そのものを用いて通信経路を暗号化する「量子暗号」とは別物となるため注意が必要だ。
須賀氏によると、NIST の選考過程は非常に興味深いものだったそうだ。世界各国から集められた 60 以上のアルゴリズムを対象に、アルゴリズムそのものに欠陥がないか、性能はどうかなど、さまざまな角度から「よってたかって」(同氏)検討が進められ、格子暗号をベースにしたアルゴリズムを中心に絞られていった。
なお、量子コンピュータがリスクをもたらすのは基本的に公開鍵暗号に対してだ。共通鍵暗号や、デジタル署名に用いられるハッシュ関数については、たとえ量子コンピュータが登場したとしても、2010 年問題や 2030 年問題と同じように鍵長を増やすことで安全を確保できるとされている。これは AES や SHA-2/3 などにおいてはセキュリティマージンが十分に取られていること( 256 ビット安全性を確保できるアルゴリズムも標準化されている),そして Shor アルゴリズムと呼ばれる多項式時間で解く量子アルゴリズムが存在し,現在利用されている公開鍵暗号方式のアルゴリズムは周期探索構造に依存しており Shor アルゴリズムに対しては致命的に無力であることからとされている。
こうした経緯を説明した上で、須賀氏は、PQC を考える上で「暗号アジリティ」と「ライフサイクル」という二つの観点に留意すべきだと呼び掛けた。
暗号アジリティというのは、IT っぽい表現に直せば「移行容易性」と言ってもいいかもしれない。「今、このアルゴリズムが危ないからと言ってある暗号アルゴリズムに移行したとしても、いずれ同じように危険にさらされる事態は起こりえます。常に他の引き出しを持つというのが暗号アジリティの考え方です」(須賀氏)
そして、残念ながら絶対に破られないような完全な暗号アルゴリズムは存在せず、必ずライフサイクルを意識する必要がある。中には、DES のように延命しつつ 60 年あまり使われ続けてしまったアルゴリズムもあるが、「何かのタイミングで標準化されても、やはり危険だとなればもう一度考え直し、標準化し直す、ということはあります」(須賀氏)。仮に PQC に移行しても、生まれてから死ぬまでのサイクルを繰り返していかなければならない点が暗号技術の避けられない性質だとした。
●政府もいよいよ本腰を入れ始めた PQC、6 つの取り組みを軸に移行準備を
このように PQC を巡る一連の動きに続き、須賀氏は、PQC 移行に関して「やっておくべきこと」と「できないこと」について言及した。
まずやっておくべきことについてだが、金融庁が 2024 年 11 月に公開した「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会 報告書」の内容が参考になる。須賀氏はこの内容を踏まえ、
・ どういった暗号アルゴリズムがどのように使われており、鍵長はいくつで、いつまで使うのかに関する棚卸しを行い、暗号インベントリを作成する
・ 自組織だけでなく、委託先についても対応を検討する。わからない部分があれば IT ベンダーの協力を得る
・ 影響が大きいところから優先順位を付けて進める
・ 最短で 2035 年と言われる Q-Day を見据え、全体のロードマップを描く
・ 引き出し(代替アルゴリズム)を複数持ち、暗号アジリティを確保する
・ 技術者だけの取り組みではなく、経営者も巻き込みトップダウンで推進する
という 6 つの取り組みを推奨した。
PQC に関する報道を見ると「直ちに対応」といった言葉が並び、今すぐ何かしなければいけないのかと焦る人がいるかもしれない。しかし須賀氏は、金融庁の報告書を見ても、PQC 対応は重要なトピックではあるものの、それ以前に手を打つべき事柄は多々あることを指摘し、慌てず騒がず粛々と検討すべきとアドバイスした。
金融業界に限らず国全体の取り組みを見ると、旧 NISC にあたる国家サイバー統括室(NCO)でも PQC に関する連絡会議が設置された。有識者を招いての議論もスタートし、来年度にはロードマップが示される見込みだ。「各省庁でも、デジタル庁と協力して暗号インベントリの調査を始めたように見えることも報告されており、国も本気で PQC を考えていることがわかります」(須賀氏)。
さらに、CRYPTREC による技術的な評価を踏まえながら、PQC も含む推奨リストが作成され、いずれ TLS 設定ガイドラインの更新なども進んでいくと見込まれる。
「おそらく、暗号アルゴリズムを評価し、それをリスト化するにはあと 2 ~ 3 年はかかるでしょう。ただ、国の方針を見ても、それを待ってから移行に着手するよりも、まず暗号インベントリの調査を進めた方がいいと思います」(須賀氏)
また、デジタルトラスト協議会(JDTF)という業界コンソーシアムにも PQC 移行タスクフォースが設置されている。ここでは、暗号インベントリを整理するため、SBOM の暗号版に当たる「CBOM」というフォーマットや関連ツールについても須賀氏より情報提供が行われており今後興味のある組織においてさらなる調査が進められる可能性はあるとした。さらに須賀氏は、EU 圏で出されている先駆的な移行ハンドブックなども参考にしながら、情報収集を進めて欲しいとした。
ただ、こうした一連の動きでは、アドホックな、独自の暗号アルゴリズムの扱いまではサポートされない。「ここは、組織内に暗号の専門家がいなければ判断が難しいと思います」(須賀氏)という。
最後に須賀氏は「暗号移行には、112 ビット暗号や 128 ビット暗号のように切れ目があります。いずれ 2030 年に 128 ビット暗号に移行しなければいけないのであれば、PQC 対応も一緒にやっておけばいいのではないでしょうか。そして、暗号インベントリの洗い出しも、SBOM と一緒にやった方がいいと思います」とし、引き続きアンテナを立てながら対応の一歩を検討して欲しいとした。
