耐量子暗号（PQC）をわかりやすく解説～量子コンピュータに備えよ～

「量子コンピュータ」は、物理学やITに興味がなければ、多くの人にとって無縁の言葉でしょう。しかし、「量子コンピュータを用いれば既存の暗号化技術がたやすく解読される可能性がある」と聞いたらどうでしょうか？情報通信の世界で情報漏洩を防ぐために様々な場面で用いられていることを考えると、あまり無関心ではいられないかもしれません。

近い将来に量子コンピュータ時代が到来すると言われています。さらに、量子コンピュータでも解読が難しい「耐量子暗号（Post-quantum cryptography：PQC）」の導入が必要であるとも言われています。それはいったいどういうことなのでしょうか？今回は、量子コンピュータがどのようなものか、それによりどのような影響があるのかを考察し、耐量子暗号（PQC）について概説します。

量子コンピュータとは？

まず「量子（りょうし）」について軽く触れておきましょう。
すべての物質は原子から成り立っています。原子そのものやそれを形作る電子、陽子、中性子、ニュートリノなどの粒子を量子と呼びます。量子の世界では、たとえばニュートン力学のような私たちの身の回りにある物理法則は通用せず、「量子力学」という法則に従っています。

量子コンピュータの情報単位は「量子ビット」と呼ばれるものです。量子ビットは量子力学の「重ね合わせの原理」を利用しています。これは、量子は同時に複数の状態を持ちうるという原理なのですが、それにより量子ビットは「0」と「1」のどちらも同時に取りながら計算を行うことができるのです。

一方、従来のコンピュータは量子コンピュータに対して「古典コンピュータ」と呼ばれます。スーパーコンピュータも古典コンピュータです。古典コンピュータの情報単位は「ビット」で、「0」と「1」の状態のどちらかしか取ることはできません。

2ビットを使った場合の計算回数の違いを図で見てみましょう。n個の量子ビットは、最大2のn乗通りの数字を一度に扱えます。

上記の原理は、古典コンピュータのビットでは膨大な計算回数が必要な場合でも、量子コンピュータでは少ない回数で処理できることを意味しています。量子コンピュータはひとつひとつの計算処理が必ずしも高速なわけではなく、この原理を利用して計算回数を大幅に減らすことで、計算時間を短縮できるのです。

このような高速の計算能力は次のような分野に応用できると考えられています。

●気候予測
●創薬
●金融市場のリスク評価や投資ポートフォリオの最適化
●自動運転や交通渋滞緩和
●物流の最適化

また、既存のスーパーコンピュータは消費電力が多いことが課題のひとつでもありますが、量子コンピュータは消費電力が極めて少ないと言われています。

なぜ耐量子暗号（PQC）が必要なのか？

量子コンピュータの実用化が進めば、社会課題の解決などに役に立つ一方、負の側面も指摘されています。冒頭に述べた暗号の解読もそのひとつです。

「RSA暗号」という暗号化アルゴリズムの仕組みを例にとってみましょう。
このアルゴリズムは素因数分解を利用しています。たとえば、15を素因数分解すると答えは3×5になります。二けた程度の素因数分解であればすぐに答えを導ける方も多いと思います。

しかし、10,403の素因数分解をすぐに解ける方はそれほど多くはないでしょう。答えは101×103です。素数とは、1とその数自身でしか割り切れない自然数のことで、2、3、5、7、11、13、17、19…などです。規則性がないと言われ、無限に存在し、最大値は現在でも分かっていません。大きな数になるほど、素因数分解には計算時間と高い処理能力が必要となります。このような素因数分解の要素（上記の例であれば101と103）がRSA暗号に使われています。十分に大きな数の場合、古典コンピュータでこれらの素数を割り出すには数十億年かかるという推測もあります。

しかし、素因数分解が解かれてしまうと暗号は解読されてしまいます。計算能力の高い量子コンピュータでは、数十億年どころか、数日、あるいは数時間で解く可能性があると考えられています。
したがって、古典コンピュータでも量子コンピュータでも解くのが困難な数学的問題に基づいた「耐量子暗号（Post-quantum cryptography：PQC）」の導入が必要とされているわけです。

ここまで見てくると、銀行口座情報から組織の機密情報や国家機密に至るまで、今しも危険にさらされているように感じられるかもしれませんが、現時点では、RSA暗号などを解読できる性能の量子コンピュータは存在していません。

カナダのGlobal Risk Instituteが2023年12月に発表した「2023 Quantum Threat Timeline Report」では、2048ビットのRSA（RSA-2048）を量子コンピュータが24時間以内に解読できるようになる年と解読できる確率を、37人の量子コンピュータの専門家が推測した結果を次のように伝えています。

●2033年（10年後）に解読できる確率50％以上と推測した専門家：10/37人
●2038年（15年後）に解読できる確率50％以上と推測した専門家：20/37人

したがって、専門家の視点から見ても実用的な量子コンピュータの登場にはまだ時間が掛かるようです。

耐量子暗号（PQC）をめぐるNISTの取り組み

米国立標準技術研究所（NIST）では2016年から耐量子暗号（PQC）の開発および標準化のプロジェクトを主導してきました。上記のとおり、量子コンピュータの実用化はだいぶ先であるにも関わらず、なぜ早期から取り組みを進めているのでしょうか？

NISTのWebサイトではいくつかの理由を挙げています。
「現在使用されている公開鍵暗号方式のほとんどすべてを解読できる量子コンピュータは、今後20年ほどで構築されると予想する人もいます。振り返れば、現在の公開鍵暗号化インフラストラクチャを配備するのにほぼ20年掛かりました。したがって、量子コンピュータの登場を正確に予測できなくても、それに対抗できる情報セキュリティシステムの準備を今すぐ始めなければなりません」。また、新たなアルゴリズムが標準化されてから、私たちが毎日利用する製品やサービスに実装されるまでにも長い時間が掛かることが予想されるため、先の先を見越したうえでの取り組みと言えます。

また、NISTは「Harvest Now, Decrypt Later」という言葉を挙げています。直訳すれば「今収集して後で解読」という意味ですが、つまりは、解読できない暗号化された情報であっても今のうちに収集しておき、解読技術の向上や量子コンピュータの登場を待って解読する、というサイバー犯罪者の戦略でもあります。「Harvest Now, Decrypt Later（HNDL）攻撃」という言葉もあります。
これも、出来るだけ早く耐量子暗号（PQC）の実用化が必要な理由のひとつと言えるでしょう。

2016年、NISTは新たな標準となるアルゴリズムの候補を提出するよう呼びかけ、これに応じた世界数十か国の研究者が2017年11月の締め切りまでに69のアルゴリズムを提出しました。その後、多数の専門家による複数回の評価ラウンドを経て、2022年7月、選ばれた4つのアルゴリズムの連邦情報処理規格（FIPS^※）のドラフトが公開されました。そして2024年8月13日、3つのアルゴリズムについて標準化文書が公開され、のこり1つについても2024年中の公開予定となっています。

FIPS^※	標準名	アルゴリズム名（提出時の名称）	用途
FIPS 203	Module-Lattice-Based Key-Encapsulation Mechanism Standard	ML-KEM (CRYSTALS-KYBER)	鍵交換や暗号化
FIPS 204	Module-Lattice-Based Digital Signature Standard	ML-DSA (CRYSTALS-Dilithium)	デジタル署名
FIPS 205	Stateless Hash-Based Digital Signature Standard	SLH-DSA (SPHINCS+)	デジタル署名

※Federal Information Processing Standardsの略語。連邦情報セキュリティ管理法（FISMA）に従って、米国立標準技術研究所（NIST）が開発し、商務長官によって承認された連邦コンピュータシステムの標準およびガイドライン。米国政府機関や米軍と協業する請負業者などの組織もFIPSを遵守する必要があり、また多くの民間企業も自主的に採用している。

まとめ：私たちができることは？

こうした耐量子暗号（PQC）について、研究と導入を進める国内組織も出てきています。
凸版印刷株式会社では、2023年3月のニュースリリースにおいて、国立研究開発法人情報通信研究機構（NICT）と連携して耐量子暗号（PQC）を搭載した認証用ICカードを開発したと発表しました。このリリースでは、上記FIPS 204のCRYSTALS-Dilithiumを用いて発行した電子証明書をICカードに格納し、それを検証することで電子カルテデータへのアクセス制御を行えるとし、2030年に本格的な提供開始を目指すとしています。

しかし他の多くの組織では、量子コンピュータのセキュリティへの影響、すでに存在するHNDL攻撃のリスク、あるいは耐量子暗号（PQC）の導入に対して、認識し、かつ準備できているとは言えないかもしれません。

これまで見てきたように、量子コンピュータは社会の課題解決に役立つ可能性がある一方で、犯罪に悪用される可能性もはらんでいます。それは、当メディアでもたびたび取り上げている「生成AIがもたらす毒と薬」に非常によく似ており、「便利なものには必ずリスクがある」「犯罪者は新しい技術を素早く取り入れる」という現実を如実に表しています。新しいテクノロジーに対しては、私たちは情報収集を怠らず、各組織で何をすべきかを自問し続ける必要があります。特に、本記事で紹介したNISTの取り組みやFIPSは、民間企業にとっても有益ですので、引き続き動向を注視するとよいでしょう。

また、本記事で述べた内容は、理解を優先するため概要にとどめ、専門性の高い内容をできるだけ平易に記載しています。今後状況が変化していくことも予想されます。各組織の必要に応じて追加のリサーチ・情報収集を行ってください。

本記事は2024年8月30日にUSで公開された記事「Why Quantum Computing Discussions Can No Longer Be Ignored」を基にしています。

＜関連記事＞
・AIがもたらす「毒」と「薬」 - Interop Tokyo開催レポート