量子力学(Quantum mechanics)は量子計算の理論的基礎です。量子力学という学術理論は 20 世紀初頭に始まり、現代物理学の重要な構成要素の一つです。量子力学というこの言葉は元々ドイツ語の「_Quantenmechanik」 であり、 _ドイツのゲッティンゲン大学(University of Göttingen)に在籍していたドイツおよびオーストリアの物理学者の一群が創造したものです。量子力学が登場したのは、「古典物理学」が説明できない系を説明するためでした。「古典物理学」とは、力学、電磁気学、熱力学など、自然界の基本法則に対する初期の理解です。しかし、ミクロの世界では古典物理学の理論に限界がありました。そのため、量子力学などの現代物理の理論が登場し、古典力学とは異なり、量子力学は「確率」によって物質の振る舞いを記述することで、ミクロ世界に対するまったく新しい理論的枠組みを提供しました。
「神はサイコロを振るのか」をもって従来の物理と量子物理を表すのは、非常に適切です。100 年以上前の人々がいた時代の主流の科学者たちは、神が支配する万物には「決定性」があると考えていました。伝説的な物理学者アルバート・アインシュタイン(以下、アインシュタイン)は「神はサイコロを振らない」という言葉で量子のランダム性を疑ったこともありました。量子派は、「神はサイコロを振るだけではなく、ときには私たちの見えない場所に投げる」とする見解を投げかけました。アインシュタインは当時の量子力学が不完全であるという主張の支持者であり、宇宙は客観的に存在し、「物理決定論」を是認していました。すなわち、すべての現象は本質的に必然的に制御されており、「本当のランダム性」は存在しないということです。一方、デンマークの物理学者ニールス・ヘンリク・デイヴィッド・ボーア(Niels Henrik David Bohr、以下ボーア)は、新しい「確率論」派の代表として、世界の本質は「確率のものである」と考え、さらに「補完性」(粒子性と波動性は相互に補完し、同時に正確に測定できず、不確定性原理とも関連する)を提案しました。この量子力学をめぐる学術的論争は 1925 年から 10 年以上も続きました。その後の数十年間で、さまざまな実験が次第にボーアの見解を裏付けていきました。アインシュタインは量子力学における「確率論」の批判者として存在していましたが、その一方で量子理論の発展を間接的に押し進める役割も果たしました。100 年余り後の今日、量子物理は現代技術のあらゆる側面に深く浸透しており、半導体の電子デバイスから医療画像まで、人々も遅まきながら、世界の基礎は量子でできているのだという理解を受け入れつつあります。
量子計算機は、ニュースの中に常に不思議な存在として登場します。量子覇権は各国の競争における最上位の科学分野の一つだからです。量子計算機の製造の歴史はわずか 20 年あまりですが、時代が進歩するにつれて、量子計算機の利用も次第に一般公開へと広がってきました。量子計算デバイスという構想は、最も早く 1969 年に米国籍のイスラエル人物理学者スティーヴン・ワイズナー(Stephen J. Wiesner)が提案しました。1981 年にはリチャード・フィリップス・ファインマン(Richard Phillips Feynman)が、量子を用いた汎用計算のアイデアを提案し、初期の量子計算機の雛形に理論的基礎を与えました。1994 年にピーター・ショア(Peter Shor)が有名なショア算法を提案したことで、それ以降、人々は量子計算が従来の暗号技術の解読において大きな潜在力を持つことを理解するようになりました。2000 年以降から今日に至るまで、Google や Microsoft などの大手テック企業は、量子計算に関連する製品やサービスを開発してきています。
量子計算機は通常のコンピュータと同様に、量子計算機の設計・製造もハードウェアとソフトウェアの 2 つの大きな領域に分かれます。ハードウェア部分には 3 つの中核があります。データパネル、制御・計測パネル、そしてプロセッサです。量子データパネルは量子計算機の「心臓」であり、量子ビット(量子計算機が情報を保存・処理するための基本単位)を保存し、これらの量子ビットを固定する構造を担います。現時点の主流案には、超伝導量子ビット、トポロジカル量子ビットなどがあります。IBM と Google は超伝導量子ビットの技術ルートを選んでおり、その利点は製造が比較的簡易であることです。トポロジカル量子ビットは安定性がより高い一方、実現の難度が高く、Microsoft はその技術ルートを選びました。
量子計算機は工場のようなものです。その「心臓」—量子データパネルは量子ビット(Qubit)を保存し、制御・計測パネルがデジタル信号を波形に変換して量子ビットを制御し、プロセッサが演算を担当します。そしてソフトウェアは量子回路でアルゴリズムを実行します。プログラマは IBM の Qiskit、Google の Cirq、または Microsoft の Q# を使って量子プログラムを作成できます。
その中核的な原理は次のとおりです。まず、すべての可能な答えを「重ね合わせ」状態としてまとめ、量子ビットが N 種類の可能な状態を同時に代表できるようにします。最初は各答えが選ばれる確率は 1/N です。次に、アルゴリズムは「予言機(オラクル)」と呼ばれる仕組みによって、正しい答えを「マーク」(位相反転)します。そして反復することで、正しい答えの確率を次第に増幅させ続け、誤った答えの確率を下げ続けます。
2022 年に米国は《Commercial National Security Algorithm Suite 2.0》(CNSA 2.0)を発表し、国家安全システムが後量子暗号へ移行するルートと標準を明確にしました。この枠組みは、国家安全システムと機密情報に対して、将来の量子計算による暗号解読リスクに備えるための長期的防御を提供することを目的としています。
さらに、National Institute of Standards and Technology(NIST)は後量子暗号の標準をすでに公表しており、2030 年以降、連邦機関と重要インフラが、量子攻撃にさらされやすい従来アルゴリズムを段階的に淘汰することを明確に要求しています。EU も《Quantum Europe Strategy》で同様に、主要な重要インフラの多くは 2035 年までに量子安全へのアップグレードを完了する必要があると提案しています。
ブロックチェーン量子安全に関する万字研究報告:全景的に解説する量子コンピュータの脅威論、量子安全の現状、準備のアドバイスおよびタイムラインの推移
原文作者**:**ボブ、Web3Caff Research 研究員
目次
量子計算の理論的入門
量子力学(Quantum mechanics)は量子計算の理論的基礎です。量子力学という学術理論は 20 世紀初頭に始まり、現代物理学の重要な構成要素の一つです。量子力学というこの言葉は元々ドイツ語の「_Quantenmechanik」 であり、 _ドイツのゲッティンゲン大学(University of Göttingen)に在籍していたドイツおよびオーストリアの物理学者の一群が創造したものです。量子力学が登場したのは、「古典物理学」が説明できない系を説明するためでした。「古典物理学」とは、力学、電磁気学、熱力学など、自然界の基本法則に対する初期の理解です。しかし、ミクロの世界では古典物理学の理論に限界がありました。そのため、量子力学などの現代物理の理論が登場し、古典力学とは異なり、量子力学は「確率」によって物質の振る舞いを記述することで、ミクロ世界に対するまったく新しい理論的枠組みを提供しました。
「神はサイコロを振るのか」をもって従来の物理と量子物理を表すのは、非常に適切です。100 年以上前の人々がいた時代の主流の科学者たちは、神が支配する万物には「決定性」があると考えていました。伝説的な物理学者アルバート・アインシュタイン(以下、アインシュタイン)は「神はサイコロを振らない」という言葉で量子のランダム性を疑ったこともありました。量子派は、「神はサイコロを振るだけではなく、ときには私たちの見えない場所に投げる」とする見解を投げかけました。アインシュタインは当時の量子力学が不完全であるという主張の支持者であり、宇宙は客観的に存在し、「物理決定論」を是認していました。すなわち、すべての現象は本質的に必然的に制御されており、「本当のランダム性」は存在しないということです。一方、デンマークの物理学者ニールス・ヘンリク・デイヴィッド・ボーア(Niels Henrik David Bohr、以下ボーア)は、新しい「確率論」派の代表として、世界の本質は「確率のものである」と考え、さらに「補完性」(粒子性と波動性は相互に補完し、同時に正確に測定できず、不確定性原理とも関連する)を提案しました。この量子力学をめぐる学術的論争は 1925 年から 10 年以上も続きました。その後の数十年間で、さまざまな実験が次第にボーアの見解を裏付けていきました。アインシュタインは量子力学における「確率論」の批判者として存在していましたが、その一方で量子理論の発展を間接的に押し進める役割も果たしました。100 年余り後の今日、量子物理は現代技術のあらゆる側面に深く浸透しており、半導体の電子デバイスから医療画像まで、人々も遅まきながら、世界の基礎は量子でできているのだという理解を受け入れつつあります。
ボーア=アインシュタイン論争、図の出典:wikipedia
量子計算は、量子力学の非伝統的なルールを用いて計算を行うものです。みんなが理解しやすい言葉で、従来の計算と量子計算を区別すると:従来の計算は難題を解く方法が、探偵が手がかりを一つずつ順を追って解決していくのに似ています。一方、量子計算は多くの探偵を同時に派遣し、複数の次元の方向で同時に手がかりを調査し、それぞれの探偵の手がかりが相互につながっているので、より早く答えを見つけることができます。
私たちは、従来のコンピュータは二進数で 0 か 1 のどちらかしか扱えないことを知っています。量子計算では 0 と 1 が同時に存在する「重ね合わせ状態」が現れ得て、そして「測定」されるまでそれが確定しません。たとえると、従来のコンピュータでは、各ビットの情報は 0 か 1 のどちらかに限られます。まるでランプのスイッチのように、消えているのが 0、点いているのが 1です。あなたはランプが点灯しているのを見るか、消えているのを見るかのどちらかで、第三の状態はありません。しかし量子計算では、このランプは同時に半分点いて半分消えている(重ね合わせ状態)ように見え、あなたがそれを観察しに行ったとき初めて、「点灯か消灯か」を「決める」のです。量子における重ね合わせ状態は、物理の本質に由来します。なぜなら、観測される自然界はまさにそのように動いているからです。電子(物質を構成する基本粒子の一つである Electron)や光子(Photon:光およびすべての電磁放射の基本単位)は、測定される前には確かに、複数の可能な状態の中にあります。
量子の世界は私たちが日常で感じる現実と違って見えるかもしれませんが、古典的な実験はその存在を検証しています。これは有名な「二重スリット実験」(Double-slit Experiment)です。実験では、科学者が電子または光子を、2 本のスリットがあるスクリーンを通して、そして後方の検出スクリーンでそれらの位置を記録します。その結果、電子または光子が 2 本のスリットを同時に通るとき、スクリーンには干渉縞が現れることが分かりました。あたかも粒子が同時に 2 つの道を進み、さらに互いに「干渉」したかのようです。さらに不思議なことに、もしそれらがどのスリットを通ったのかを観察しようとすると、干渉縞は消え、スクリーン上には 2 つの単独のピークだけが残ります。まるで粒子が一つの道しか進めないかのようです。この実験は、量子粒子が観測されていないとき、実際に重ね合わせ状態にあり、複数の可能な状態が同時に存在していることを示しています。
より理解しやすくするために、これを硬貨を投げることにたとえられます。量子の世界では、硬貨が空中で回転している間は、表か裏かではなく、表と裏が同時に存在する状態です。あなたがそれをキャッチして見たときだけ、それは「表か裏か」を「決める」のです。量子の重ね合わせ状態の原理は、まさにこのようなイメージに似ています。観測される前は、粒子は複数の可能な状態に同時に存在し得るのです。これは古典物理学では説明できない現象であり、そのため量子力学は、将来の学際的かつ業界横断で最も想像力をかき立てるブレークスルーの一つだと考えられています。
二重スリット実験 Double Slit Experiment、図の出典:Science Notes
要するに、量子コンピュータは量子の原理に基づいて行う新しいタイプのコンピュータです。従来のコンピュータがビット(Bit:情報の最小単位で、0 と 1 しか表せない)を保存・処理するだけであるのに対して、量子コンピュータは「量子ビット、量子位(Qubit)」を使ってデータを保存します。量子ビットは、先ほど述べた「重ね合わせ状態」により、複数の状態を同時に表せるからです。そのため、量子ビットが複数になると、それらが組み合わさって指数関数的に増える可能性が生まれます。簡単に言うと、量子ビットの数が 1 つ増えるごとに計算空間は 2 倍に拡張されます。まさにそのため、複雑な暗号の解読、巨大な組み合わせ問題の最適化、分子構造のシミュレーションなど、特定の分野においては、量子コンピュータが従来のコンピュータに対して大きな潜在的優位性を持つ可能性があります。
量子計算の原理(重ね合わせ、もつれ、干渉)
量子計算の仕組みを理解するには、まずまったく新しい用語体系を理解する必要があります。この原理には 3 つの重要な概念が含まれます:重ね合わせ(Superposition)、もつれ(Entanglement)、そして脱相干(Decoherence)です。
前述のとおり、量子コンピュータは情報の保存・処理に量子ビットまたは量子位(Qubit)を使用します。そして量子ビットは特殊なユニットであり、0 または 1 だけでなく複数の重複した状態を同時に表すことができ、この特性を重ね合わせ状態(Superposition)と呼びます。
量子では複数の量子状態を追加して別の有効な量子状態を作ることができるし、逆に単一の量子状態を 2 つまたは複数の別々の状態の合成として表すこともできます。重ね合わせの性質により、量子コンピュータは並列処理能力を持ち、数百万もの計算操作を同時に実行できます。たとえば単純な例として、通常のコンピュータの計算環境では 10 個の量子ビットは一度に 1 種類の状態しか表せません(例:0000011010)。一方で量子コンピュータの 10 個の量子ビットは最大で 1024 種類の状態(2 の 10 乗)を同時に表すことができます。通常のコンピュータが一度に 1 つの状態しか表せないのに対し、量子コンピュータは一度に 1000 種類以上の状態を試せます。量子ビットの「重ね合わせ状態」は、量子計算における最も中核的な特性です。
2 つ目の重要な概念は量子もつれ(Entanglement)です。簡単に言うと、2 つの量子ビット(Qubit)が「もつれ」合うと、それらがどれだけ離れていても、一方の状態を変更すれば、もう一方にも即座にそれに応じた変化が起きます。これが量子力学の最も驚くべき部分で、まるでそれらの間に見えない神秘的なつながりがあるかのようです。この現象は、光子(Photon)や電子(Electron)などの微小な粒子に存在します。いくつかの粒子が相互作用すると、それらは統合された 1 つの全体システムを形成します。まるで複数のダンスパートナーが手をつないで一緒に回転しているようなものです。もし一人を押せば、他の人もそれに応じて動き出します。
別の直感的な日常の例を挙げると、あなたと、遠く離れた別の都市にいる友人がそれぞれ魔法の硬貨を 1 枚ずつ持っていて、それらが「もつれ」合っていると想像してください。あなたが自分の硬貨を表にひっくり返すと、瞬時に友人の硬貨も表になってしまいます。どれだけ遠く離れていても関係ありません。量子もつれはまさに、量子コンピュータが強力な並列計算と情報伝送の潜在力を実現するうえでの重要な特性の一つであり、従来のコンピュータではできない驚異的な現象でもあります。
量子もつれは、量子計算と量子通信の双方で非常に重要です。量子コンピュータをより速く複雑な難題に取り組ませることができます。量子もつれがなければ、量子コンピュータは量子ビット(Qubit)同士が協調して働くことを実現できず、量子コンピュータが持つ優位性を失います。量子もつれの「多体系状態」特性により、複数の量子ビットが協調して働き、アルゴリズムを通じて計算を「指数級」に加速できます。
3 つ目の重要な概念は**量子脱相干(Decoherence)**です。量子脱相干(Decoherence)とは、量子ビットが外部環境の干渉を受けると、元々の重ね合わせ状態やもつれなどの量子特性が徐々に失われていくことを指します。空中で回転している硬貨が、誰かにそっと触れられた瞬間に落ちて表か裏に変わるのと似ています。したがって、量子コンピュータの中核的な難題の一つは、この「回転状態」の安定時間をできるだけ延ばし、計算が順調に完了できるようにすることです。たとえばデバイス基盤上で量子ビット(Qubit)の重ね合わせ状態を作るとき、環境のノイズが量子ビット(Qubit)を脱相干させます。通常は、極低温、真空などの非常に過酷な物理環境の構築が必要です。
量子計算の第 1 のステップは「初期化」です。初期化の目的は、量子ビット(Qubit)の状態をランダム状態から基底状態(エネルギーが最も低い状態に対応する)へ調整し、量子アルゴリズムが要求される状態の中で実行されることを確実にすることです。その後、一連の「量子ゲート」操作によってそれらを進化させます(コンピュータの論理ゲートに似ています)。最終的に測定結果が得られます。しかし量子状態は非常に脆弱で、外部環境からの微小な干渉が重ね合わせや量子もつれを壊してしまいます。そのため、量子コンピュータは非常に厳格な外部環境の支援を必要とします。
このため、量子計算には多くの分野で大きな潜在力があります。たとえば暗号学(暗号システムの解読)、材料学(材料挙動や分析のシミュレーション)、人工知能や天気予測などです。量子計算が進化するにつれて、将来の世界は量子計算によって大きな変革を迎えるかもしれません。
量子計算機の発展史
量子計算の基礎概念を理解した後、次は量子計算機について見ていきます。
量子計算機は、ニュースの中に常に不思議な存在として登場します。量子覇権は各国の競争における最上位の科学分野の一つだからです。量子計算機の製造の歴史はわずか 20 年あまりですが、時代が進歩するにつれて、量子計算機の利用も次第に一般公開へと広がってきました。量子計算デバイスという構想は、最も早く 1969 年に米国籍のイスラエル人物理学者スティーヴン・ワイズナー(Stephen J. Wiesner)が提案しました。1981 年にはリチャード・フィリップス・ファインマン(Richard Phillips Feynman)が、量子を用いた汎用計算のアイデアを提案し、初期の量子計算機の雛形に理論的基礎を与えました。1994 年にピーター・ショア(Peter Shor)が有名なショア算法を提案したことで、それ以降、人々は量子計算が従来の暗号技術の解読において大きな潜在力を持つことを理解するようになりました。2000 年以降から今日に至るまで、Google や Microsoft などの大手テック企業は、量子計算に関連する製品やサービスを開発してきています。
量子計算機は通常のコンピュータと同様に、量子計算機の設計・製造もハードウェアとソフトウェアの 2 つの大きな領域に分かれます。ハードウェア部分には 3 つの中核があります。データパネル、制御・計測パネル、そしてプロセッサです。量子データパネルは量子計算機の「心臓」であり、量子ビット(量子計算機が情報を保存・処理するための基本単位)を保存し、これらの量子ビットを固定する構造を担います。現時点の主流案には、超伝導量子ビット、トポロジカル量子ビットなどがあります。IBM と Google は超伝導量子ビットの技術ルートを選んでおり、その利点は製造が比較的簡易であることです。トポロジカル量子ビットは安定性がより高い一方、実現の難度が高く、Microsoft はその技術ルートを選びました。
量子計算機は工場のようなものです。その「心臓」—量子データパネルは量子ビット(Qubit)を保存し、制御・計測パネルがデジタル信号を波形に変換して量子ビットを制御し、プロセッサが演算を担当します。そしてソフトウェアは量子回路でアルゴリズムを実行します。プログラマは IBM の Qiskit、Google の Cirq、または Microsoft の Q# を使って量子プログラムを作成できます。
Google CEO と量子計算機、図の出典:NYTimes
量子計算の応用
量子アルゴリズムの進化と、量子コンピュータの「商業化」に伴い、量子テクノロジーは私たちの生活のあらゆる面へと徐々に浸透しつつあります。
商業的大手の参入や資本投入の影響により、量子計算は医薬品開発分野や金融業界におけるリスク管理モデルの設計など、さまざまな細分領域で活発に成果を出しています。従来の医薬品開発は、古典コンピュータによる分子相互作用のシミュレーションに依存していましたが、量子コンピュータは化学反応をより正確にシミュレートできます。たとえば 2021 年 1 月 11 日、Google はドイツの製薬会社 Boehringer Ingelheim と共同で量子アルゴリズムを用いて分子構造をシミュレーションし、心血管疾患に対する薬の設計を支援して試験の時間サイクルを大幅に短縮しました。金融業では、量子計算がリスク管理や投資ポートフォリオの最適化を改善しています。JPMorgan チェース銀行は、IBM Q System One(回路ベースの商用量子コンピュータの第 1 号)を用いた量子計算の探索を、世界で最初期に採用した金融機関の一つです。IBM の Q System One 量子コンピュータを使ってモンテカルロ手法をシミュレーションし、市場リスクの評価やデリバティブの価格付けに用いることで、銀行が市場においてより精密な意思決定を行えるようにしています。量子計算は依然として疑義や商用規模の課題に直面していますが、これらの事例は、量子計算が実験室から現実の応用へ進む歩みが加速していることを示しています。
量子計算の脅威
量子計算機の独自の優位性により、特定の環境下では指数級の加速計算を実現できるため、高次元の領域で古典コンピュータを計算処理速度の面で大きく上回ります。その結果、量子解読アルゴリズムは暗号学に基づくブロックチェーン技術に対して、潜在的に非常に大きな脅威をもたらします。現在、最も主流のブロックチェーンアーキテクチャ(ビットコイン、イーサリアム等)は主として公開鍵暗号システム(楕円曲線デジタル署名アルゴリズム ECDSA など)とハッシュ関数(SHA-256 など)による安全な暗号化に依存していますが、予見可能な将来に量子計算がこの安全な障壁を突破することになります。現時点で量子計算がブロックチェーンの安全に与える脅威は、最も象徴的な 2 つの量子アルゴリズムによるところが大きく、いずれも 1994 年にピーター・ショア(Peter Shor)が提案した Shor アルゴリズムと、1996 年にロブ・グローバー(Lov Grover)が提案した Grover アルゴリズムです。
量子アルゴリズム:SHOR ショア
Shor(ショア)アルゴリズムは、米国 MIT 数学教授のピーター・ショア(Peter Williston Shor)が提案した量子アルゴリズムで、「量子素因数分解アルゴリズム」とも呼ばれます。平たく言えば、RSA 暗号化のような巨大な整数を、2 つの巨大な素数の積へと素早く分解できるというものです。従来のコンピュータと比べて量子コンピュータは非常に短時間でこの作業を完了できるため、Shor アルゴリズムが特に強力なのはそこにあります。その中核的な考え方もまた「賢い」ものです。アルゴリズムは素因子を直接探しに行くのではなく、まず数の規則性(周期)を素早く探索し、その規則性に基づいて素因子を推算します。
わかりやすい類推をすると、従来のコンピュータが巨大な倉庫の中で箱をめくって大きな数を分解するのだとしたら、量子コンピュータは多数の分身を持っていて、同時に各ルートを試すことで、すぐに答えを見つけられるようなものです。
早くも 2001 年に IBM は液体核磁気共鳴量子計算機で Shor アルゴリズムの実例をデモンストレーションしました。以後、このアルゴリズムは暗号学の分野で大きな反響を呼びました。なぜなら量子コンピュータの潜在力を示し、将来、従来の暗号技術やインターネットの安全に深い影響を与える可能性があることが明らかになったからです。
つまり、従来の暗号システムでは、Web サイト HTTPS/TSL の署名、SSH キー、旧来の Web サイト証明書署名などに常用されている楕円曲線暗号(Elliptic Curve Cryptography)や RSA といった非対称暗号に基づくアルゴリズムが、直接的な脅威にさらされます。特に楕円曲線暗号は、私たちの日常生活と密接な関係があります。たとえばスマホアプリ(Apps)での暗号化、ソフトウェアの ID 認証のための暗号化などです。これは現代インターネットで最も主流の暗号技術の一つです。現時点では量子コンピュータは 2048 ビットの RSA 暗号を解読できていません(理論上はさらに何千もの量子ビットが必要です)。しかし量子計算技術が成熟すれば、そう遠くない将来にこの暗号の安全防衛線を突破できる可能性があります。
量子アルゴリズム:Grover グローバー
Shor アルゴリズムが出てから 2 年後、スタンフォード大学のインド系アメリカ人研究者 Lov Kumar Grover が、新しい量子アルゴリズム—Grover(グローバー)アルゴリズムを提案し開発しました。これも量子探索アルゴリズムと呼ばれます。Grover アルゴリズムは量子計算において非常に実用的で、非構造化データベースの検索やクエリに用いられます。
通常のコンピュータで「2 の数十乗」規模の巨大なデータベースの中から答えを探すには、基本的に頭から最後まで一つずつ調べるしかありません。図書館で本を 1 冊ずつ探すようなもので、とても時間がかかります。ところが Grover アルゴリズムは「量子の重ね合わせ」と「振幅増幅」の特性を利用することで、約 √N 回の試行で答えを見つけられます。この過程を「二次加速」(Quadratic Speedup)と呼びます。
簡単に言うと、従来のコンピュータが 10¹² 回(=1 兆回)実行する必要があるとしても、Grover アルゴリズムの理論上は約 100 万回で足りるため、効率の差は非常に明確です。
その中核的な原理は次のとおりです。まず、すべての可能な答えを「重ね合わせ」状態としてまとめ、量子ビットが N 種類の可能な状態を同時に代表できるようにします。最初は各答えが選ばれる確率は 1/N です。次に、アルゴリズムは「予言機(オラクル)」と呼ばれる仕組みによって、正しい答えを「マーク」(位相反転)します。そして反復することで、正しい答えの確率を次第に増幅させ続け、誤った答えの確率を下げ続けます。
例え話として、真っ暗な部屋に無数の扉があり、そのうち 1 つの扉の先に宝があるとします。従来のコンピュータは 1 つずつ扉を開けて試すしかありません。Grover アルゴリズムは、先にすべての扉を「同時に試して」、さらに各ラウンドで正しい扉の「明るさ」を少しずつ上げていき、最後には暗闇の中で目立つようにして、一目で分かる状態にします。正しい答えの確率が 100% に近いところまで増幅されれば、測定システムによって高確率で正しい結果が得られます。
あなたはこう聞くかもしれません。最初からすべての扉を同時に試すなら、なぜ最初にどの扉に宝があるのかを直接教えてくれないのか、と。理由は、あなたが「結果を見て(測定して)」しまうと、見えるのは 1 つの扉だけだからです。最初から見ると、各扉の確率が同じなので、宝がある扉を見る確率はランダム抽選のようになり、ほぼ当てずっぽうになります。だから Grover アルゴリズムは、正しい扉がだんだん明るくなる過程を 1 ラウンドずつ進める必要があります。正しい扉が他の扉よりも暗闇の中で明確に明るくなった時点で再び「見る」ことで、ほぼ確実に正しい答えが得られます。つまり、量子コンピュータはすべての可能性を同時に探索できますが、すべての答えを同時に提示することはできません。必要なのは「正しい答えの確率を増幅して」、測定時に高確率で正しい結果を得られるようにすることです。
Grover アルゴリズムは暗号学における総当たり攻撃にも応用され、対称鍵の解読に対して実質的な脅威を与えます。現在、業界では AES-256(高度暗号化標準)の鍵長の採用が推奨されています。なぜなら、量子環境では 128 ビット鍵の安全度は 64 ビット程度にしかならないためです。そのため、業界はより高い安全度が必要になります。しかし、Grover アルゴリズムにも限界があります。平方級の加速しか提供できないため、つまり従来コンピュータよりは速いものの、増速が無限ではないのです。例えると、あなたが本来 100 キロ走る必要があるなら、Grover アルゴリズムは 10 キロで済むようにしてくれるかもしれませんが、走るための体力はやはり必要です。そして量子コンピュータ自体の製造・運用コストは非常に高いので、それは高価な超大型のランニングマシンを使ってその 10 キロを走るようなものになります。したがって実際の応用では、Grover アルゴリズムはあらゆる暗号システムを無制限に解読できるわけではなく、より長い鍵や他の安全策と組み合わせてこそ安全が保てます。
量子計算がブロックチェーンに与える影響分析
ブロックチェーンの設計の核心は、暗号学の基礎の上に構築される分散型台帳です。ビットコインなどの多くのブロックチェーンプロトコルは、公鍵・秘密鍵の生成やデジタル署名に ECC(楕円曲線暗号)を使用しています。そして ECDSA(Elliptic Curve Digital Signature Algorithm:楕円曲線デジタル署名)の Secp256k1 は、ビットコインおよびイーサリアムでよく使われる特定の楕円曲線の特定パラメータ標準であり、安全性が高く効率的で、鍵長も短いという特徴があり、チェーン上での鍵ペア生成や署名などで広く利用されています。
SHA-2(Secure Hash Algorithm 2)暗号ハッシュ関数群に含まれる SHA-256 も、ブロックチェーンで広く採用されている暗号ハッシュ関数です。ハッシュ関数は、任意の長さのデータを固定長の数値(ハッシュ値)へ写像します。このアルゴリズムは不可逆で、逆算して特定することが難しく、プルーフ・オブ・ワークや取引の検証などでよく使われます。量子コンピュータが反復され、十分な量子ビット規模を持つようになれば、コンピュータは「量子アルゴリズム」を実行することで、短期間(1 ヶ月)の継続計算によって楕円曲線暗号などの非対称暗号アルゴリズムを解読し、ブロックチェーンの構成要素は直接的な課題に直面することになります。
異なるアルゴリズムが暗号コンポーネントへ与える影響、図の出典:Web3Caff Research 研究員 Bob 自作
それに加えて、量子コンピュータは**HNDL 攻撃(Harvest-Now-Decrypt-Later)**も引き起こし得ます。すなわち、攻撃者が今のうちからデータを収集し、量子計算能力の「跳躍日(跃迁日)」に解読攻撃を仕掛けるというものです。HNDL は監視戦略の一種であり、長時間にわたって監視し、現時点では解読できない暗号化データを保存しておき、将来の量子技術が成熟した後に解読します。そして、この量子計算の仮想的な「跳躍日」の時期は、業界では Y2Q または Q 日と呼ばれています。量子計算の脅威に直面して、ブロックチェーン業界も積極的に対応しています。例えば 2026 年 1 月、米国の著名な上場企業 Coinbase は、量子計算がブロックチェーンの暗号安全に対して将来もたらし得る潜在的脅威に対応するため、量子計算とブロックチェーンのための独立委員会を設立し、量子耐性の解決策を研究しています。同年、イーサリアムのエコシステムのレイヤー2 ネットワーク Optimism も、将来のより大きな課題に備えるため、量子耐性アルゴリズムの導入を開始しました。
HNDL の説明図、図の出典:Paloalto Networks
デジタル金融における量子計算の影響
もちろん、量子計算の潜在的影響はブロックチェーン金融業界に限られず、より広範なデジタル金融業界にも影響を与えます。たとえば、人々の日常生活に関連する銀行です。リスクや安全の観点から、銀行が高度に依存する暗号安全のインフラが最初に脅威にさらされます。Shor アルゴリズムは銀行でよく使われる RSA 暗号と楕円曲線暗号を迅速に解読し、結果として銀行ユーザーの情報が破られてしまいます。「HNDL 先に窃取し、後で解読する」という攻撃方式は、すでに漏洩している金融データにも、将来量子コンピュータが解読できる可能性が同様に存在することを意味します。「量子脅威」に直面して、世界のトップクラスの金融企業はすでに「後量子時代」へ入ろうとしています。2024 年、米国国家標準技術研究所 NIST が最初の量子安全標準を発表し、銀行や金融機関も量子時代の到来に備えるため、後量子暗号(PQC, Post-Quantum Cryptography)アルゴリズムへの移行計画を徐々に立て始めています。
しかし量子コンピュータは銀行など金融機関にも挑戦だけでなく、前向きな面もあります。量子コンピュータは複雑な計算を加速することで金融業に変革をもたらし得ます。量子コンピュータはリスクモデリングの領域でリスクをより正確かつ迅速に評価できるよう、モンテカルロ・シミュレーション(Monte Carlo method)を加速できます。近年、銀行業で量子計算が実際に使われるケースも増えてきています。たとえば 2025 年に、HSBC 銀行は IBM の量子計算プロジェクトと協業し、量子プロセッサを使って債券取引の予測精度を 34% 向上させました。トルコの Yapi Kredi 銀行はカナダの量子計算企業 D-Wave と協力し、リスク管理モデルを迅速に高リスク企業へ絞り込んでいます。
量子安全の現状
実際、量子脅威が意識されるようになってから、近年後量子暗号(Post-Quantum Cryptography、略称 PQC)は積極的に進展してきました。特に 2024 年に NIST(米国国家標準技術研究所)が 3 つの後量子暗号標準を発表した後、データ安全に関わる業界は量子安全への移行を盛んに進めています。金融・銀行業界や電子通信などの大規模プラットフォーム企業は、量子耐性計算に対する安全対策を日程に組み込み、今後数年のうちに量子アルゴリズムのアップグレードを行う計画です。
後量子暗号の発展
Global Risk Institute(量子脅威タイムライン報告:数十名の専門家に基づく)によると、RSA 暗号アルゴリズムが 8 年後(2034 年)に量子により解読される確率は約 19–34%(2024/2025 データ)であり、これまでの数年と比べてタイムラインはわずかに加速しています。後量子暗号(Post-Quantum Cryptography)は、人々が Q 日への懸念を日増しに強める中で生まれ、現在では量子耐性研究の基礎へ発展しています。
量子計算機が 1 日で RSA-2048 を解読する予測図、図の出典:Global Risk Institute
後量子暗号は、「量子耐性暗号」または「量子安全暗号」とも呼ばれます。量子攻撃の大部分は公開鍵アルゴリズムに向けられており、後量子暗号の研究方向には格子暗号、フォールト・ラーニング、多変数多項式などが含まれます。これらのアルゴリズムは、将来の量子計算環境でもプライバシーデータの安全性を確保するためのものです。
耐量子の標準化はこれまでに 10 年の進捗があります。2016 年に米国の NIST(National Institute of Standards and Technology:米国国家標準技術研究所)が後量子暗号プロジェクトを開始して以来、複数ラウンドの評価を経てきました。2024 年 8 月、NIST は最初の後量子暗号化標準を正式に発表しました。その目的は 1 つだけです。将来、量子コンピュータが既存の公開鍵アルゴリズム(RSA と楕円曲線暗号)に対する量子脅威に対応するためです。これら 3 つの後量子暗号標準は次のとおりです。
これらが「耐量子アルゴリズム」と呼ばれる理由は、その中核にあります。つまり Shor アルゴリズムによって効率よく解ける数学問題(大数分解や楕円曲線の離散対数問題など)に依存するのをやめ、現在の量子コンピュータでも突破が難しい数学的基盤に基づいているからです。
従来の暗号アルゴリズム(RSA、ECC など)の安全性は、「大数分解が難しい」あるいは「楕円曲線から秘密鍵を推定するのが難しい」といった問題に基づいていました。しかし量子コンピュータは Shor アルゴリズムを使ってそれらを指数級の加速で解読できるため、理論上は安全ではなくなります。
一方、ML-KEM と ML-DSA は「格子暗号」に基づいています。極めて複雑で次元の高い数学の迷路の中から特定解を探すようなものだと理解できます。現時点では Shor アルゴリズムのように格子問題を大幅に加速して解読できる量子アルゴリズムは存在しないため、量子計算環境においても、この種の問題は依然として難度が高いと考えられています。
SLH-DSA(元 SPHINCS+)はハッシュ関数に基づいて構築されています。量子コンピュータはハッシュ関数に対して Grover アルゴリズムによる平方級の加速までしか使用できず、指数級の加速はできません。これは、適切に安全パラメータを増やす(たとえばより長いハッシュ長を使う)ことで、量子がもたらす加速優位を相殺できることを意味します。そのため安全性はより堅牢ですが、署名のサイズが大きくなり、生成速度が遅くなるという代償があります。
まとめると、これらの耐量子アルゴリズムが安全なのは、それらが現在の既知の量子コンピュータでは効率よく解けない数学的難問(格問題やハッシュ問題)に基づいているからであり、Shor アルゴリズムで簡単に突破される従来型の大数分解問題に依存しているわけではありません。
上記の標準を基に、開発者は 3 種類の主流な耐量子アルゴリズム技術ルートを研究しました。
以上の 3 つの主流ルート以外にも、他のニッチなルートがあり、異なる利用シーンに対応しています。たとえば多変数に基づく暗号や、超特異同源鍵交換(すでに破られた)などです。多変数に基づく暗号ルートは、ブロックチェーンにおける署名の迅速な生成・検証で用いられることが多く、その優位性は検証速度の速さにあります。この方式は暗号化よりも署名に適しています。超特異同源鍵交換は、以前は SSL プロトコルで量子安全なセッション鍵を確立するために使われることがありました。しかし 2022 年に解読されているため、この技術ルートは米国 NIST によって標準から除外されました。
総じて、後量子暗号の核心は、将来量子計算で解読され得る「旧来の数学的保護メカニズム」を置き換えるために、新しい数学的保護機構を用いることにより、データのプライバシー安全性を守ることです。そのため、金融業のようにデータ暗号への依存度が非常に高い業界においては、後量子暗号の導入・移行がとりわけ重要になります。現在、世界トップのテック企業(Google、Microsoft、Amazon など)のコンピュータのブラウザやOSは、これらのアルゴリズムを徐々に統合し始めています。したがって一般ユーザーは過度に不安になる必要はありません。大規模なプラットフォーム型企業はすでに量子安全アルゴリズムへの移行計画を立てているからです。
ブロックチェーン業界の量子耐性の進展
暗号学の安全性に高度に依存するブロックチェーン業界にとって、量子計算の潜在的脅威は、近々になってから初めて注目され始めたものではなく、何年も前から先見的な研究と技術備えが始まっていました。業界のトップ機関や中核的な従事者が形成している基本的な「合意」は、量子計算の脅威は工学的に解決できる問題であって、対応不可能なシステミックリスクではないというものです。
そのため、「ネイティブな量子耐性ブロックチェーン」がまだ主流の方向性にはなっていないとしても、ガバナンスメカニズムが徐々に進展する中で、一部の主流企業やパブリックチェーンは量子安全環境への移行に備え始めています。直近の一連の動向は、業界が理論上の議論から導入計画のフェーズへと段階的に移行していることを示しています。
たとえば、世界最大級の上場暗号企業の一つ Coinbase は 2026 年 1 月に独立した量子アドバイザリー委員会を設立し、米国の学界の量子計算教授やセキュリティ専門家を招いて参加してもらう予定です。量子リスク評価レポートと、量子耐性への移行ロードマップを公表する見込みです。その計画には、ビットコインのアドレス処理メカニズムのアップグレード、内部の鍵管理システムの強化、ならびにモジュラー格のデジタル署名アルゴリズム(ML-DSA)などの後量子署名方式の段階的サポートが含まれます。
同時に、Ethereum Foundation も量子耐性の専門研究チームを組織し、量子安全を 2026 年の戦略的優先事項に位置付けています。これらの取り組みは、2026 年がブロックチェーンが「量子耐性の時代」へ入るための計画上の起点になる可能性を示しています。量子安全は理論上の論点から工学的な実装段階へ移行しつつあるのです(以下で具体的に紹介します)。
一方で、ビットコインコミュニティはより慎重な道を歩んでいます。課題は単に技術面だけではありません。ガバナンスの面での比重が大きいのです。ビットコインのガバナンスメカニズムはコミュニティのコンセンサスに高度に依存しており、アップグレードのサイクルは通常「数年」単位で進みます。そのため量子安全への移行で主に問題となるのは、純粋な技術実装というより、意思決定の調整やコンセンサス形成です。
現在、ビットコインコミュニティで主に議論されている技術ルートは 3 種類です。
しかし短期で統一的な解決策を形成するのは難しい状況です。
最近注目されている提案は BIP-360(別名 Pay-to-Tapscript-Hash,P2TSH)です。この提案は最初に 2024 年に出され、2025 年末に重要な更新が行われており、現在も草案段階ですが、議論はすでに大きな規模になっています。核心の考え方は 2021 年の Taproot アップグレードで採用された出力メカニズムを参考にし、Key Path Spend(公鍵パスによる花費)を削除することで、初期のアドレス形式で公鍵がチェーン上に露出するリスクを減らし、将来の量子耐性署名アルゴリズム統合のための余地を確保することです。
ただし、コミュニティ内部には別の声もあります。量子脅威はまだ初期段階にあり、現実の攻撃までには時間が長くあるため、直ちに大規模なアップグレードが必要かどうかについては議論が残っています。
つまり、ブロックチェーン業界は量子の衝撃を受けるのを受け身で待っているのではなく、異なるガバナンスのスピードとリスク認識の枠組みの下で、段階的に量子耐性への移行を進めています。真の課題は技術実装だけでなく、オープンネットワークでコミュニティ間、利益構造間でアップグレードのコンセンサスをいかに形成するかです。
現時点では、ビットコインが実際の量子攻撃や安全上の脅威を受けていないように見えますが、量子リスクの中にあるビットコインが一部存在します。米国ニュージャージーの金融会社 Coinshares は、Pay-To-Public-Key(P2PK)形式の公開鍵アドレスを初期に採用したものが、量子攻撃の標的になりやすく、約 160 万のアドレス(総数の 8%)がより脅威にさらされる可能性があると述べました。市場の変動を引き起こす可能性が高い数量は約 10000 ビットコインです。
量子脅威を受けるビットコインの数の統計、図の出典:Coinshare
ブロックチェーンネットワークのアップグレードサイクルが長いという問題を踏まえると、ビットコインコミュニティが量子耐性の公式アップグレードを行う前にも、開発者コミュニティは「手早い」解決策を作ることに積極的に取り組んでいます。たとえば Project Eleven チームが 2025 年に開発した量子耐性鍵生成ツール Yellow Pages は、ビットコインユーザーが自分のビットコインを直接量子耐性アドレスへ紐づけ、所有権を証明できるようにします。
Yellow Pages のメカニズムは比較的シンプルです。プロダクトは後量子署名鍵(NIST 標準に対応)を生成できます。ユーザーが署名した後、アドレスは後量子鍵と関連付けられます。量子脅威の瞬間が来たとき、ユーザーは所有権の証明後にビットコインを量子安全なアドレスへ移すことができます。ビットコインのブロックチェーン以外にも Project Eleven は Solana やその他の主流ブロックチェーンと連携し、後量子時代の基盤インフラ向けの一連のツールを開発しています。
ビットコインのアップグレードサイクルと比べると、イーサリアムコミュニティはより先見的です。2025 年 11 月、イーサリアム創設者 Vitalik Buterin は Devconnect 大会で、量子計算が 2028 年の米国大統領選までに、イーサリアムの安全性を破れるだけの計算能力を持つ可能性があると警告しました。Vitalik Buterin はイーサリアムコミュニティに対し、4 年以内に量子安全のシステミック移行を完了するよう積極的に促しています。2 ヶ月後の 2026 年 1 月、イーサリアム財団は量子安全を今年の最優先戦略事項として位置付け、専門の後量子チームを設立しました。量子安全に関する関連ソフトウェアの開発・支援に資金を投入します。2026 年 2 月、Vitalik Buterin は X 上でイーサリアムの耐量子ロードマップを更新しました。イーサリアムは、現在の BLS デジタル署名を、上記の(前述の)ハッシュベース(Hash-based cryptography)の技術ルートに置き換えます。そして STARK による集約でオーバーヘッドを圧縮し、イーサリアムの量子弱点を前倒しで克服します。その目標は、1 年以内に EIP-8141 のアップグレードを通じて、アカウント抽象化の問題を完全に解決し、ECDSA の単一署名(量子攻撃されやすい)から脱却することです。その時点でユーザーは、抗量子署名(ハッシュベース技術ルート)を含む署名方式を自由に切り替えられます。
加えて、イーサリアム財団は関連する研究開発のインセンティブとして 200 万ドルを投じます。イーサリアム研究員 Justin Drake も、イーサリアムが研究段階から工学的な実装段階へ移行しており、抗量子の開発者会議を開催したり、多クライアントの抗量子テストネットを公開したりすると述べています。
同時に、イーサリアムのレイヤー2 ネットワーク Optimism も 2026 年 1 月に Superchain / OP Stack の耐量子ロードマップ方針を発表しました。計画では 2036 年までに、攻撃されやすい ECDSA ベースの EOA(外部ウォレット)を廃止し、AA(アカウント抽象化:Account Abstraction)のレイヤーから後量子時代へ移行します。外部ウォレットは、その権限をスマートコントラクトアカウントに委任できます。2036 年には、OP メインネットおよびそのエコシステムは、純粋な ECDSA 署名による取引を受け付けなくなり、ユーザーは後量子署名に対応するスマートコントラクトアカウントを通じてオンチェーンでのやり取りを行う必要がありますが、ユーザーは資産を移す必要はありません。L2(レイヤー2)として、Optimism はイーサリアムの量子安全の先行実証者になります。以後の数年間、Optimism は ECDSA と後量子 PQ 署名の双方を並行してサポートし、dApp(分散型アプリ)などのエコシステムをスマートコントラクトアカウントへ移行させ、最終的には量子攻撃されやすい ECDSA を段階的に淘汰していきます。
暗号学の基盤インフラに依存するブロックチェーン業界において、2026 年は抗量子が理論から具体的な実装へ移るための時間的マイルストーンです。イーサリアムエコシステムの量子移行は、よりスムーズで、より時間計画が明確です。ビットコインコミュニティの抗量子はまだ公式のアップグレードが行われていませんが、すでに規模感のある議論の範囲に入る提案が出ており、ネットワーク設計上はアップグレード可能です。より多くの抗量子提案が出てくれば、量子脅威の時点が来る前に、コミュニティはソフトフォークとコミュニティ同期型のアップグレードによってアルゴリズムを更新できます。またブロックチェーンネットワークが正式にアップグレードされるまでの間は、ユーザーはオープンソースツール(前述の YellowPages など)を試して、資産の「量子安全」を確保することも選べます。
ブロックチェーン業界の量子耐性の準備提案とタイムライン推演
現時点で、量子コンピュータ技術は数百の量子ビットから千の量子ビットへ向かう段階にあります。2025 年に、日本の富士通(Fujitsu)と理化学研究所 (Riken) が協力して 256 量子ビットの超伝導機を開発しました。目標は 2026 年に、1000 個を超える量子ビットを持つ量子コンピュータを開発することです。2026 年 3 月 25 日、Google は後量子時代のタイムテーブルを 2029 年へ更新し、業界に安全な移行を呼びかけました。現在の量子ビット規模は従来の暗号を迅速に解読するのに十分ではありませんが、量子コンピュータが反復・進化するにつれて、量子ビットの保存規模は近い将来に指数関数的に向上します。そのため、国家と企業の双方においても、量子安全移行のタイムラインが示されています。
国家レベルの移行計画
2022 年に米国は《Commercial National Security Algorithm Suite 2.0》(CNSA 2.0)を発表し、国家安全システムが後量子暗号へ移行するルートと標準を明確にしました。この枠組みは、国家安全システムと機密情報に対して、将来の量子計算による暗号解読リスクに備えるための長期的防御を提供することを目的としています。
2025 年 3 月に英国の国家サイバーセキュリティセンターが、抗量子暗号への移行タイムテーブルを公表し、計画は次のとおりです。
CNSA 2.0 の取り決めに従い、米国の国家安全保障局(NSA)は 2030–2033 年を重要な移行ウィンドウ期間としています。英国とオーストラリアも 2035 年を、移行完了の最終到達点として位置付けています。
さらに、National Institute of Standards and Technology(NIST)は後量子暗号の標準をすでに公表しており、2030 年以降、連邦機関と重要インフラが、量子攻撃にさらされやすい従来アルゴリズムを段階的に淘汰することを明確に要求しています。EU も《Quantum Europe Strategy》で同様に、主要な重要インフラの多くは 2035 年までに量子安全へのアップグレードを完了する必要があると提案しています。
全体として、2025–2035 年が世界の量子安全移行における政策上のウィンドウ期間になっています。
企業レベルでの実質的な導入
企業レベルでは、金融、通信、クラウド基盤インフラの業界は、「Harvest Now, Decrypt Later」(HNDL:今は窃取し、将来解読する)攻撃の潜在リスクに直面していると考えられています。攻撃者は今日暗号化データを窃取し、将来量子計算が成熟した後に解読するのです。したがって、銀行の取引記録や身元データのような長期にわたって機密性の高いデータが、優先的な防護対象になります。
2024 年 5 月、世界の大手銀行 JPMorgan Chase は、量子安全な暗号化アジャイルネットワーク(Q-CAN)を導入すると発表し、量子時代におけるネットワーク暗号化の耐性を高めました。
通信領域では、CDN とクラウドサービス企業 Cloudflare は 2022 年から、ハイブリッド後量子 TLS プロトコルの導入を開始し、サーバー側で後量子鍵交換の仕組みをサポートしています。これは、将来インターネット全体が後量子暗号環境へ全面移行するための前準備になります。
スマホのモバイル OS では、Google の最新 Android17 が ML-DSA に基づく後量子デジタル署名保護技術をすでに統合しており、NIST 標準にも準拠しています。
現時点で、多くの重要インフラ企業は NIST 標準に従い、技術検証段階から小規模なパイロットと混合導入段階へ進んでいます。
量子脅威と準備のタイムテーブル、図の出典:Paloato Networks
ブロックチェーン業界の量子安全準備タイムライン
米国 NIST と EU の量子安全移行のタイムライン規定を参考にすると、量子移行の締切は 2035 年です。しかし 2026 年の Google による最新の量子脅威評価では、量子脅威は大幅に前倒しされており、Google の公式提示の新しいタイムテーブルは 2029 年です。これにより、関連業界が「量子安全移行」を完了するまでの期間はわずか 3 年しかなく、ブロックチェーンは後量子アップグレードを緊急に