耐量子計算機暗号とは何か

◆現代の安全な通信は公開鍵暗号技術によって支えられているが、量子コンピュータによってその安全性が脅かされる可能性が指摘されている。そのため、量子コンピュータに対しても安全であると期待される耐量子計算機暗号（post-quantum cryptography, PQC）が求められている。

◆現時点では、現在利用されている公開鍵暗号を破れる程度の計算能力を持つ量子コンピュータは存在していない。しかし、ハーベスト攻撃（暗号化通信や署名等を今から収集し、実用化されたタイミングで解読を試みる）の存在が指摘されている。

◆NISTは2016年から、既存の電子署名アルゴリズムと鍵交換アルゴリズムを置き換えるべく耐量子計算機暗号の候補を公募し、長い時間を掛けて安全性や性能を精査した。2024年8月13日には耐量子計算機暗号として初めての標準の最終版が承認された。

◆耐量子計算機暗号はその安全性を十分に精査されているが、攻撃アルゴリズムの発見により、最新鋭とは言えない現在のコンピュータによって破られる可能性がある。そのため、安全性について過信せず、必要に応じて既存の暗号と併用するハイブリッド方式を選択することでリスクを抑制できる。

◆通信や記憶領域等の観点で、耐量子計算機暗号はこれまでの暗号よりコストがかかる可能性もある。耐量子計算機暗号へ移行する場合、アルゴリズムの選定は用途に応じて慎重に行う必要がある。

◆暗号は多くのシステムの様々な場面で利用されていることから、移行のためのコストが膨大となりうる。今回だけではなく将来も含めた暗号を移行するコストを抑えるためにクリプトアジリティを確保することが重要である。

◆移行のために今からできることとして、使用している暗号のインベントリやCBOM（cryptography bill of materials）の作成、ハードウェアの調達条件に耐量子計算機暗号への対応の有無・可否やクリプトアジリティの確保が含まれているかの確認が挙げられる。