日本政府、2035年までに耐量子計算機暗号（PQC）に移行する方針 重要インフラ・民間事業者にも波及か：内閣官房国家サイバー統括室の中間とりまとめ

内閣官房国家サイバー統括室は、量子計算機時代を見据え政府機関の暗号を耐量子計算機暗号（PQC）に移行する方針を中間とりまとめとして公表した。原則2035年までの移行完了を目指し、2026年度に工程表（ロードマップ）を策定する。

[＠IT]

　政府機関のサイバーセキュリティ対策を担う内閣官房国家サイバー統括室は2025年11月20日、政府機関などにおける耐量子計算機暗号への移行方針を示す「政府機関等における耐量子計算機暗号（PQC）への移行について（中間とりまとめ）」を公表した。量子計算機技術の進展により、現在広く利用されている公開鍵暗号の安全性が将来的に低下し、危殆化することを前提に、原則2035年までにPQCに移行することを目標とする内容だ。

「政府機関等における耐量子計算機暗号（PQC）利用に関する関係府省庁連絡会議」から引用

　中間とりまとめの内容は、以下の通り。

量子計算機の進展と公開鍵暗号の解読リスク

　現在の量子計算機はノイズを含む小中規模の「NISQ 」（Noisy Intermediate-Scale Quantum）段階にある一方で、大規模で長時間の計算が可能な「FTQC 」（Fault-Tolerant Quantum Computer、誤り耐性量子計算機）の実現に向けて、国内外の企業が開発競争を加速させている。

　インターネットなどで広く使われている公開鍵暗号を現実的な時間で解読するには、FTQCを前提とし100万物理量子ビット以上の量子計算機が必要とされる。その実現時期は、2039年より前に「RSA2048」を解読できる量子計算機が実現する可能性を5％未満とみる研究がある一方、2024年時点で15年以内に実現する可能性を39〜62％程度とする分析もあり、正確な予測は困難だ。

　大規模な量子計算機が利用可能になれば、「Shor」アルゴリズムを用いて素因数分解問題や楕円離散対数問題が多項式時間で解けるようになり、「CRYPTREC 」（Cryptography Research and Evaluation Committees）が定める「電子政府における調達のために参照すべき暗号リスト（CRYPTREC暗号リスト ）」の電子政府推奨暗号に含まれる公開鍵暗号は、理論的に大きな脅威にさらされる。

　共通鍵暗号やハッシュ関数については、公開鍵暗号のような効率的な量子アルゴリズムは見つかっていないものの、「Grover」「BHT」アルゴリズムによって計算を一定程度効率化できる。このため、現在主に用いられている128bit相当の鍵長については、よりセキュリティ強度の高い鍵長への変更検討が必要だ。

各国は2035年までに移行、日本も政府機関のPQC化を原則2035年に

　諸外国の動向としては、PQCへの移行時期に関する方針を既に公表している国の多くが、2035年までを期限とするスケジュールで移行を進めている。欧州連合（EU）、英国、カナダなどは2035年を期限とし、優先度などに応じた段階的な移行時期を示している。

　PQCの国際標準化では、米国のNIST（National Institute of Standards and Technology）が「FIPS」（Federal Information Processing Standards）として複数の暗号方式の標準化を進めている。2024年8月には、以下の方式がPQC方式として公開された。

• FIPS203：ML-KEM（Module Lattice Key Encapsulation Mechanism）
• FIPS204：ML-DSA（Module Lattice Digital Signature Algorithm）
• FIPS205：SLH-DSA（Stateless Hash-based Digital Signature Algorithm）

　これら標準化済み方式を多くの国が採用すると見込む一方、NISTのプロセスとは別に独自の暗号方式の標準化を進める国もある。国内ではCRYPTRECが、電子政府推奨暗号リストの更新を見据えてPQCの安全性評価と実装性能評価を開始している。

　こうした現状を踏まえ、中間とりまとめは、日本のPQC移行が遅れれば、安定的なネットワークの構築やサイバーセキュリティの確保、防衛・外交など安全保障上重要な情報のやりとりに支障が出ることも想定される。国際連携などを鑑みれば、日本も2035年を目標としてPQCへの移行を進めることが考えられる。

　特に機微情報や保護期間が非常に長期にわたる情報を扱うシステムでは、「HNDL」 （Harvest Now, Decrypt Later）攻撃（暗号化データを保存しておき、量子計算機で解読可能になった後に復号を試みる攻撃）のリスクを踏まえ、2035年を目標としつつ、より早期のPQC移行を検討することも重要だ。

既存の暗号技術の利用停止時期

　政府機関などは現在、統一基準群に基づき、CRYPTRECの電子政府推奨暗号リストを参照している。安全性維持が困難な技術は運用監視暗号リストに移行し、さらに困難な場合はリストから削除される。

　今後は量子計算機技術の進展や、諸外国の動向などを踏まえ、運用監視暗号リストの扱いや具体的な暗号利用停止時期について検討を進める。

2035年までの移行に向けて工程表（ロードマップ）を2026年度に策定

　政府機関などのPQC移行に向け、関係府省庁が連携して2026年度に工程表（ロードマップ）を策定する。

　ロードマップの骨子として、対象組織は「政府機関等のサイバーセキュリティ対策のための統一規範」の適用対象となる組織、対象システムは「政府機関等のサイバーセキュリティ対策のための統一基準」の適用対象となる情報システムとする。移行の対象となる暗号技術は、将来的に解読が懸念される「公開鍵暗号」を主としつつ、「共通鍵暗号」「ハッシュ関数」についてもより強度の高い鍵長への変更を検討する。

　PQCの安全性確認については、CRYPTRECが安全性と実装性能を評価し、確認された方式をCRYPTREC暗号リストに反映させる方針だ。政府機関では、これまで通り電子政府推奨暗号リストに基づいて情報システムで使用する暗号を定める規定があるので、PQCリスト掲載状況も踏まえて必要な見直しを進める。

移行、実装への懸念点

　PQCの鍵長は現行の公開鍵暗号と比べて大幅に大きくなることが多く、移行時にはアプリケーションやインタフェース、データフォーマット、プロトコルなどに大幅な変更が必要となる可能性が高い。システム改修のコストや期間が大きく膨らむことに留意する必要がある。

　CRYPTRECが公表している「CRYPTREC暗号技術ガイドライン（耐量子計算機暗号）2024年度版」を参考に、以下のような移行方針の検討が求められる。

• クリプト・インベントリ：利用している暗号方式を一覧化し、移行対象を詳細に把握する
• クリプト・アジリティ：暗号部分を迅速に切り替えられる柔軟なシステムを構築する
• PQCへの完全移行だけでなく、現行暗号技術との併用も検討する
• QKD（量子鍵配送）：量子計算機でも解読されない通信技術の導入を視野に入れる

　PQC実装を進めるに当たっては、量子計算機技術による検証など新たな技術開発も必要になる。こうした技術開発を進めることも重要だ。

PQCへの移行は重要インフラ・民間事業者も考慮すべき課題

　今回の中間とりまとめはあくまで政府機関などの移行を念頭に置いたものだが、PQCへの移行は重要インフラ・民間事業者も考慮すべき課題。関係府省庁の緊密な連携の下で必要な対応を検討し、PQCへの円滑な移行を後押ししていく。