暗号の量子耐性移行戦略(harvest-now-decrypt-later)
いま盗まれた暗号文が将来の量子計算機で復号される――その脅威に何から手を付ければよいか。暗号資産の棚卸しからハイブリッド鍵交換の段階導入まで、移行の優先順位を原理から判断できるようになります。
- 1.harvest-now-decrypt-later(HNDL)は、攻撃者が今のうちに暗号文を保存し、将来の量子計算機で遡って復号する脅威。守るべきデータの秘匿年数と移行猶予を足した値が量子計算機の登場時期を超えるなら、対策は今すぐ要る(Mosca の不等式)。
- 2.鍵交換(機密性)と署名(真正性)は脅威の時間軸が違う。鍵交換は過去の通信が遡って破られるので最優先。署名は将来の偽造の問題で過去に遡らないため相対的に猶予がある。この差が移行順序を決める。
- 3.移行はまず暗号資産の棚卸しから始め、長期秘匿データの鍵交換を X25519+ML-KEM のハイブリッドへ段階導入する。ハイブリッドは PQC の未知の欠陥を古典側で、量子計算機を PQC 側で守る冗長構成。
harvest-now-decrypt-later:脅威は「未来」ではなく「今」始まっている
ポスト量子暗号(PQC)への移行を「量子計算機が実用化されてから考えればいい」とする判断は、機密性に関しては誤りです。理由は harvest-now-decrypt-later(HNDL、収穫してから後で復号) と呼ばれる攻撃モデルにあります。
仕組みは単純です。攻撃者は通信路や中間ノードで暗号文を今のうちに丸ごと保存しておきます。現時点では復号できなくても構いません。将来、誤り訂正済みの大規模量子計算機(CRQC: Cryptographically Relevant Quantum Computer)が完成した時点で、保存しておいた暗号文を Shor のアルゴリズムで遡って復号します。鍵交換に使われた RSA や ECDH が量子で破れる以上、そのとき確立された対称鍵も逆算でき、暗号化されていた本文がすべて読まれます。
ここで効くのが、暗号文の保存にコストがほとんどかからない点です。攻撃者にとって「今は読めないが将来読めるかもしれない通信」を溜め込むのは合理的な投資であり、国家規模のアクターであれば現に行っていると想定すべきです。つまり HNDL の脅威は CRQC の完成を待つものではなく、移行が完了するまでの今この瞬間に、対象データが流れるたび蓄積されていくのです。
判断を式にしたのが Michele Mosca の整理です。データの秘匿を保ちたい年数 X、PQC への移行に要する年数 Y、CRQC が登場するまでの残り年数 Z とすると、X + Y > Z が成り立つなら手遅れになります。移行を始める前(Y を消費する前)からデータは流れており、その秘匿は X 年続けたいのに、Y + X が経過する前に Z 年後の量子計算機が来てしまうからです。Z は不確実ですが、X が 10〜25 年に及ぶ医療・国家機密・金融・知財では X + Y > Z がすでに成立していると見るのが安全側の判断になります。
鍵交換と署名で優先度が逆転する理由
PQC 移行で最も重要な原則は、機密性を担う鍵交換と、真正性を担う署名とで、脅威の時間軸がまったく異なることです。ここを取り違えると移行の優先順位を誤ります。
- 鍵交換(機密性):守るのは過去から現在にかけて流れたデータです。HNDL により、量子計算機が完成すれば過去に保存された暗号文が遡って復号されます。つまり今日漏れた暗号文の運命が、未来の技術で決まる。だから猶予がなく、最優先です。
- 署名(真正性):守るのは未来に偽署名を作られないことです。偽署名は CRQC が完成して初めて作れるため、過去に遡って偽造はできません。すでに発行・検証済みの署名は、当時の検証が正しければ事実として確定しています。証明書の有効期間内に署名アルゴリズムを移行できれば間に合うため、相対的に猶予があります。
この非対称性が決定的です。鍵交換は「過去のデータが未来の計算機で破られる」問題、署名は「未来の偽造を未来まで防ぐ」問題。前者だけが時間を遡る不可逆な損害を生むため、限られたリソースはまず鍵交換のハイブリッド化に振り向けます。
| 観点 | 鍵交換 / KEM(機密性) | 署名(真正性) |
|---|---|---|
| 守る対象 | 過去〜現在に流れた暗号文 | 未来の偽造の阻止 |
| HNDL の影響 | 受ける(遡って復号される) | 受けない(遡って偽造不可) |
| 損害の方向 | 過去に遡る・不可逆 | 移行完了後は無効化できる |
| 移行の猶予 | ほぼ無い(最優先) | 証明書有効期間内なら可 |
| 代表方式 | ML-KEM(FIPS 203) | ML-DSA / SLH-DSA(FIPS 204/205) |
署名の猶予は「過去の検証は確定済み」が前提です。例外が長期保存される署名――電子契約、タイムスタンプ、コード署名、長期アーカイブの真正性証明です。これらは将来 CRQC で署名鍵を逆算され、過去文書に偽の署名を後付けされる恐れがあります。対策は、信頼できる第三者のタイムスタンプで「いつ署名されたか」を量子耐性のある方式で固定し、危殆化前の署名であることを後から証明できるようにすることです。一般的なTLS のサーバー認証署名は猶予がありますが、長期効力をもつ署名は鍵交換に近い緊急度で扱います。
第一歩は暗号資産の棚卸し(cryptographic inventory)
何を先に移すか以前に、自組織がどこでどの暗号を使っているかを把握していないのが多くの組織の実態です。移行戦略は例外なく**暗号資産の棚卸し(cryptographic bill of materials, CBOM)**から始まります。可視化できないものは移行できないからです。
棚卸しで列挙すべきは、単なる「使用アルゴリズム名」ではありません。次の軸で資産を洗い出します。
発見すべき暗号資産の軸:
- どこで: TLS終端、VPN、DB暗号化、メッセージング、署名サービス、コード署名、ファームウェア
- 何を: 鍵交換(RSA/ECDH/DH)、署名(RSA/ECDSA/EdDSA)、対称(AES)、ハッシュ(SHA-2)
- 鍵の性質: 鍵長、用途、鍵の保管場所(HSM/ソフト)、有効期間
- データ寿命: その暗号で守るデータの秘匿必要年数 X ← HNDL 優先度の決め手
- 差替え性: アルゴリズムをコード変更なしに差し替えられるか(暗号アジリティの有無)
特に重要なのが各資産のデータ寿命 X です。前述の X + Y > Z を資産ごとに当てはめると、移行の優先順位が自動的に並びます。10 年以上秘匿したいデータを古典鍵交換で守っている経路が、まず手を付けるべき対象です。逆に、寿命が数分のセッション(次の接続では新しい鍵になり、過去ログを保存しても価値が薄いもの)は優先度を下げられます。棚卸しの過程では、ハードコードされた埋め込み暗号やライブラリ内部の固定アルゴリズムなど、そもそも差し替えられない資産が必ず見つかります。これらは移行コストが跳ね上がる箇所であり、早期の洗い出しが効きます。鍵そのものの世代・用途管理は 鍵管理ライフサイクル と一体で設計してください。
ハイブリッド鍵交換の段階導入
優先順位が決まったら、鍵交換をハイブリッド方式で段階的に置き換えます。PQC 単独でなく古典方式と組み合わせるのは、ML-KEM のような格子ベース暗号がまだ新しく、実装バグや未知の解読法のリスクが残るためです。
shared_secret = KDF( ECDH(X25519) || Decaps(ML-KEM-768) )
# 古典(X25519) と PQC(ML-KEM) の両方を破らないと鍵が漏れない
両方の共有鍵を結合(KDF で混合)してセッション鍵を導けば、どちらか一方が破れても安全が保たれます。PQC 側に欠陥が見つかっても古典側が、量子計算機が来ても PQC 側が守る――この冗長性が、移行という不確実な時期を渡り切る安全装置になります。原理の詳細は ポスト量子暗号 を参照してください。
導入は一気にではなく段階的に進めます。
| 段階 | 内容 | 狙い |
|---|---|---|
| 1. 棚卸し | 暗号資産とデータ寿命 X を可視化 | 優先順位の決定 |
| 2. アジリティ確保 | アルゴリズムを差替え可能な構成に改修 | 後続の入替えを安価に |
| 3. ハイブリッド試験 | 一部経路で X25519+ML-KEM を有効化 | 性能・相互運用の検証 |
| 4. 既定化 | 長期秘匿経路でハイブリッドを既定に | HNDL の実害を停止 |
| 5. 署名移行 | 証明書チェーンを ML-DSA 系へ計画移行 | 猶予内に真正性を確保 |
ハイブリッド導入期は、古典のみのスイートとハイブリッドのスイートが併存します。中間者(MITM)が交渉を細工してハイブリッドを外し、古典のみ(=将来量子で破れる)へ落とせれば、せっかく PQC を入れても HNDL が成立してしまいます。したがって移行期こそネゴシエーション完全性――交渉内容が事後に署名で認証され、改ざんが検知できること――が前提条件です。TLS 1.3 の transcript 署名はハイブリッド交渉も覆うため改ざんを検知しますが、サーバー設定で意図せず古典のみへフォールバックする経路を残さないことが運用の肝になります。交渉とダウングレードの原理は 暗号アジリティとバージョン交渉 を参照してください。
実装上の現実:サイズ増と「アジリティ」が移行の難所
PQC は安全な代わりに鍵・暗号文・署名のサイズが古典方式より1〜2桁大きいのが共通の弱点です。ML-KEM-768 の公開鍵は約 1184 バイト、ML-DSA-65 の署名は約 3309 バイトに達します。これは机上の数値にとどまらず、実務上の制約を生みます。
- TLS ハンドシェイク肥大:ClientHello にハイブリッド鍵共有が乗ると初期パケットが膨らみ、初期輻輳ウィンドウや MTU を超えてフラグメント化・往復増を招くことがある。
- 証明書チェーンの肥大:署名を ML-DSA 系に移すと証明書とチェーン全体が大きくなり、X.509 チェーン検証 の転送量と検証コストが増える。署名移行に猶予を置く理由の一つはここにもある。
- 組込み・IoT の制約:メモリと帯域が限られる機器では大きな鍵・署名がそのまま負担になり、差し替えに長い時間を要する。
そして移行を本当に難しくするのは、アルゴリズムの選定よりも暗号アジリティ(差し替え可能性)の欠如です。多くのシステムは特定アルゴリズムを暗黙に前提して設計されており、鍵長やフォーマットがハードコードされています。移行戦略の中核は、まず暗号処理を差し替え可能な境界に局所化し、アルゴリズムを「資産」でなく「設定」として扱える状態を作ることにあります。これが整っていれば、ML-KEM への入れ替えも、将来の標準更新も、コード全面改修なしに進められます。アジリティの設計原則そのものは 暗号アジリティとバージョン交渉 で詳しく扱っています。
まとめ
量子移行の本質は「いつ量子計算機ができるか」ではなく、harvest-now-decrypt-later により、今流れる機密データの運命が未来の技術で決まることにあります。X + Y > Z(秘匿年数+移行年数>CRQC までの年数)が成立するなら、対策は今すぐ必要です。
優先順位の根拠は、鍵交換は過去のデータが遡って破られるため最優先、署名は未来の偽造の問題で相対的に猶予があるという非対称性です。ただし長期保存される署名はタイムスタンプで守る例外があります。
移行は (1) 暗号資産とデータ寿命の棚卸し、(2) 暗号アジリティの確保、(3) 長期秘匿経路の鍵交換を X25519+ML-KEM ハイブリッドへ段階導入、(4) 既定化、(5) 署名チェーンの計画移行――の順で進めます。移行期はダウングレードで HNDL が復活しうるため、ネゴシエーション完全性が前提です。アルゴリズムの原理は ポスト量子暗号、交渉とダウングレード防御は 暗号アジリティとバージョン交渉、鍵の運用は 鍵管理ライフサイクル と合わせて押さえてください。
セキュリティ Article
暗号の量子耐性移行戦略(harvest-now-decrypt-later)を実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
ポスト量子暗号
比較で見る軸
難易度: advanced / カテゴリ: セキュリティ / タグ数: 6
導入後に効く点
鍵交換(機密性)と署名(真正性)は脅威の時間軸が違う。鍵交換は過去の通信が遡って破られるので最優先。署名は将来の偽造の問題で過去に遡らないため相対的に猶予がある。この差が移行順序を決める。
先に潰すリスク
用語だけ覚えても、設計・実装・運用でどこに効くかを確認しないと判断を誤る。
- 難易度
- advanced
- カテゴリ
- セキュリティ
- タグ数
- 6
判断チェックリスト
- 自社の用途が「ポスト量子暗号 / 暗号移行」に近いか確認する。
- 強みである「harvest-now-decrypt-later(HNDL)は、攻撃者が今のうちに暗号文を保存し、将来の量子計算機で遡って復号する脅威。守るべきデータの秘匿年数と移行猶予を足した値が量子計算機の登場時期を超えるなら、対策は今すぐ要る(Mosca の不等式)。」が本当に評価軸になるか確認する。
- 注意点の「用語だけ覚えても、設計・実装・運用でどこに効くかを確認しないと判断を誤る。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。