- ライター:佐々木 裕樹
- ネットワーク/セキュリティ製品の調査・検証に従事。現在は Palo Alto Networks 社の Strata / SASE 製品の技術支援を担当。
【保有資格/認定】
Palo Alto Networks CYBERFORCE Hero
Palo Alto Networks Certified Network Security Engineer
目次
「VPNを利用しているから大丈夫」「TLS 1.3だから安心」
——普段、私たちが何気なく信頼しているこれらの技術。
しかし、その根幹である「暗号」は、永久の安全を約束するものではありません。
暗号は「絶対に解けない魔法」ではなく、あくまで現在のコンピュータの能力では、現実的な時間内で解読することが難しいという前提の上に成り立つ技術です。言い換えれば、暗号は「時間を稼ぐための技術」でもあります。計算能力の向上や新たな解読手法の発見により、この前提がいつまで通用するかは永遠には保証されません。
本ブログでは、近い将来に問題となり得る「暗号の賞味期限」と、今のうちから考えておくべき備えについて、2回に分けて整理します。初回となる今回は、コンピューティング技術の進歩がもたらす新たな脅威を整理し、次回、その有力な対策として注目される「耐量子計算機暗号(PQC)」について解説します。
そもそも暗号化とは?
「解けない」ではなく「時間がかかる」だけ
「暗号」と聞くと、中身を完全に見えなくする「絶対に破られない箱」をイメージされる方も多いかもしれません。ですが実際の安全性は、解読に必要な計算量や時間が膨大すぎて、攻撃として現実的に成立しないという点に支えられています。
私たちが日常的に利用しているHTTPSやVPNでも、多くの場合、通信のたびに鍵共有や鍵交換を行い、その接続で使うセッション鍵によってデータを保護しています。強力な暗号という言葉から「鉄壁のバリア」を連想しがちですが、本質的には、攻撃者に対して「現実的ではないほどの手間と時間を強いる」仕組みだといえます。
「力技の延長」から「ルールの破壊」へ
これまで、コンピュータの性能向上に対しては、「鍵長を伸ばす」という方法で安全性を引き上げてきました。たとえば、Webサイトの証明書などで広く使われてきたRSA暗号でも、かつて一般的だった1024ビット鍵は十分な強度を維持しにくくなり、より長い2048ビット鍵への移行が広く進められてきました。こうした対応は、計算能力の向上に合わせて必要な計算量も増やすという、比較的わかりやすい延命策でした。
しかし、量子コンピュータの進展は、こうした延長線上だけでは語れない可能性があります。量子計算は、古典的なコンピュータでは現実的でなかった特定の計算を、より現実的な時間で実行できる可能性があるためです。特に、現在広く使われている公開鍵暗号の一部は、量子コンピュータの進展によって安全性の低下が懸念されています。
つまり、技術の進歩が続く限り、「過去に十分だった強度が、将来も十分である保証はない」。これが「暗号の賞味期限」の本質です。
ハーベストアタック(HNDL)の脅威
盗まれるのは「未来」
ここで特に警戒すべきなのが、ハーベストアタック(Harvest Now, Decrypt Later:HNDL)と呼ばれる考え方です。日本語では「今盗んで、後で解読する」と説明されることがあります。
攻撃者は、「現時点では解読できなくても構わない」と考え、暗号化された通信データを今のうちに収集・保管します。そして将来、現在の公開鍵暗号を危殆化させ得る規模の量子コンピュータが実現したときに、過去に収集したデータをあらためて解読しようとします。
この脅威の厄介な点は、対策の必要性が「今この瞬間に安全かどうか」だけで決まらないことです。個人情報、機密保持契約書、設計情報、長期保存される監査ログなど、5年後や10年後にも価値を持つデータは、今日の時点で暗号化されていても、将来の後追い解読によってリスクにさらされる可能性があります。内閣官房の資料でも、機微な情報や保護期間が非常に長い情報については、このHNDL攻撃を考慮して、より早期の移行を検討する重要性が示されています。
それはいつなのか?
「モスカの定理」として知られる考え方が示すタイムリミット
では、私たちはいつから対策を始めるべきなのでしょうか。ここでよく引用されるのが、ミケーレ・モスカ氏が示した考え方で、しばしば「モスカの定理」として紹介されます。
X + Y > Z
X:守りたい期間(データの寿命 / 機密性を保持すべき年数)
Y:移行にかかる時間(新しい暗号方式への改修・切り替え完了までの年数)
Z:危殆化するまでの期間(現在の暗号が安全でなくなるまでの残り時間)
この式が示しているのは、守りたい期間(X)と移行にかかる時間(Y)の合計が、危殆化までの期間(Z)を上回るなら、対策開始が遅すぎる可能性が高い、ということです。
言い換えれば、「量子コンピュータが実用化してから対応を考える」では遅いかもしれないということです。移行そのものに時間がかかるうえ、すでに保管されている長寿命データは、あとから守り直すことができない場合もあります。だからこそ、正確な“Xデー”を待つのではなく、今の段階から棚卸しや移行計画の検討を始めることに意味があります。
すでに始まっている「業界の対応」
「まだ先の話ではないか?」と思われるかもしれません。ですが、世界ではすでに具体的な準備が始まっています。
米国NISTは、2024年8月にPQCに関する最初の3つの正式標準を公表しました。またNISTは、これらの標準の公開を受けて、組織は量子耐性のある暗号への移行を始めるべきだと案内しています。
日本国内でも、内閣官房は2025年11月公表の資料で、政府機関等におけるPQC移行について、原則として2035年までに行うことを目指す方向性を示しています。あわせて、特に機微な情報や、長期間の保護が必要な情報については、HNDL攻撃の可能性も踏まえ、より早期の移行を検討する重要性が述べられています。
さらに金融庁も、2024年11月に「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書」を公表しており、PQC移行は金融分野でもすでに具体的な検討対象となっています。
つまり、これは「いつか来る遠い未来」の話ではなく、すでに各業界で棚卸し、優先順位付け、移行計画の検討が始まっているテーマなのです。
次回に続く
ここまで、コンピューティング技術の進歩がもたらす「暗号の賞味期限」と、HNDLのような無視できない脅威について整理してきました。
既存の暗号技術が、将来的には十分でなくなる可能性を前提とするなら、私たちは何を新しく採用し、どのように移行を進めればよいのでしょうか。
次回は、この問題への具体的な対策として注目される「耐量子計算機暗号(PQC)」について解説します。
「なぜPQCが量子コンピュータに対抗しうるのか」という考え方に加え、実際のセキュリティ機器での設定例や、移行を考える際の実務上のポイントもご紹介する予定です。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
