耐量子計算機暗号

◆量子コンピュータの進展により、RSA暗号や楕円曲線暗号など現在広く利用されている公開鍵暗号は将来的に解読リスクを持つ可能性がある。特に、暗号化データを今収集して将来解読するHarvest Now, Decrypt Later（HNDL：今収集し、後で解読）攻撃への備えは、長期秘匿性が求められる金融機関にとって重要であり、PQC対応は中長期のセキュリティ課題であると同時に経営課題と言える。加えて、米国国立標準技術研究所（National Institute of Standards and Technology：NIST）は2024年に最初のPQC標準を公表しており、日本でも政府・金融分野で2035年頃を見据えた移行検討が進んでいる。

◆大和証券グループでは、オンラインサービスの開発環境等を用いてPQCの実証実験を行った。検証の結果、本実証環境における一般的なWebサービス用途では、鍵交換（KEM）のPQC対応によって通信に与える影響は限定的であることが確認できた。鍵交換での、TLSハンドシェイク時間の増加は限定的であり、PQCソフトウェア対応のロードバランサーでもCPU・メモリ使用率に顕著な増加は見られず、通信量増加も約5％程度にとどまった。一方で、PQCに変更することによる鍵・証明書サイズ増に伴う通信量増加は確実に発生するため、通信帯域が狭いシステム、通信品質が悪いシステム、低遅延要件の厳しいシステムなどでは個別で影響評価が必要である。

◆実務上は、PQC移行を一斉更改として捉えるのではなく、①暗号アセットの棚卸し、②暗号インベントリ整備、③リスク評価と優先順位付け、④ロードマップ策定、⑤段階的移行、の順で進めることが重要である。2026年3月時点では、PQCの署名や証明書の標準化が完了しておらず、インターネット技術特別調査委員会(Internet Engineering Task Force：IETF)ではTLSやX.509証明書での利用方法、認証局/ブラウザフォーラム(Certification Authority/Browser Forum：CA/Bフォーラム)ではパブリックPKIでの運用ルールの議論が行われている。そのため、移行の第一段階では、HNDL攻撃対策として効果があり、実装も先行している鍵交換から着手し、署名・証明書のPQC対応は標準化と製品対応を見ながら進めるのが現実的である。重要システムを優先しつつ、クリプト・アジリティを意識した形で、エッジ終端での対応や共通暗号基盤での対応を中心に段階的に対応していくことが望ましい。

付録資料

• オンラインサービスにおける耐量子計算機暗号（PQC）技術の概念実証結果ホワイトペーパーの概要
• 大和証券グループで行った実証実験の補足資料
• 実証実験の補足資料 クライアントデータ(平均値)
• 実証実験の補足資料 クライアントデータ(標準偏差)
• 実証実験の補足資料 サーバデータ(平均値)
• 実証実験の補足資料 サーバデータ(標準偏差)