瞿立建|執筆
最新の研究によると、暗号解読に必要な量子ビット数は指数関数的に減少しており、量子コンピュータの能力は指数関数的に上昇しているため、私たちが後に量子暗号の移行を完了させるための時間枠は予想よりも短い可能性がある。
4月29日、新たに米国科学アカデミー会員となった理論計算機科学者スコット・ジョエル・アレンソン(Scott Joel Aaronson、1981年5月21日—)は自身のブログで、世界の著名な量子計算の専門家たちが彼に伝えたところによると、Q-Dayは2029年頃に到来する可能性があると明かした[1]。
いわゆるQ-Dayとは、人々が予測する未来のある日、量子コンピュータが非常に強力になり、現在広く使われている暗号システムを解読できるほどになることで、銀行、政府、インターネット、デジタルアイデンティティ、クラウドサービス、ブロックチェーンの信頼基盤を揺るがす日を指す。これがQ-Day(Quantum Day)である。
アレンソンは警告している。企業、組織、ブロックチェーン、または標準化機関は、直ちに量子耐性暗号(quantum-resistant encryption)への移行を開始すべきだと。
この警告は個人のブログから発信されたものだが、非常に参考になる。
カナダのグローバルリスク研究所(Global Risk Institute)が2024年12月に発表した『量子脅威タイムラインレポート2024』(Quantum Threat Timeline Report 2024[2])によると、専門家へのアンケート調査に基づき、Q-Dayが10年以内に到来する確率は19%から34%、20年以内に到来する確率は60%から82%に上る。今年3月に発表された最新の『量子脅威タイムラインレポート2025』(Quantum Threat Timeline Report 2025[3])では、Q-Dayが10年以内に到来する確率は28%から49%、20年以内に到来する確率は69%から86%に増加している。
カナダのグローバルリスク研究所(Global Risk Institute)によるQ-day到来確率の過去の専門家アンケート結果。出典:「量子脅威タイムラインレポート2025」
これらは業界の専門家の主観的判断だが、堅実な関連研究は存在するのだろうか。
アメリカのフォレスターリサーチ(Forrester Research)が2026年3月に発表した『量子コンピューティングの現状2026』(The State Of Quantum Computing, 2026[4])のレポートによると、Q-Dayは2030年前後に到来する可能性がある。
レポートは、量子コンピュータの進展に基づき、Q-Dayが近づいていると指摘し、以下の動向を挙げている。
アルゴリズムの継続的な進歩により、暗号解読に必要なハードウェアの閾値が大幅に低下。
論理量子ビット(Logical Qubits)の継続的な突破により、誤り耐性を持つ量子コンピュータが理論から実用へと進展。
複数の企業が異なる技術路線で大規模な誤り耐性量子コンピュータのロードマップを提示。
(左) 理想的な量子計算の仮定では完璧な論理量子ビット;(中) NISQ(ノイズのある中規模量子)計算はノイズ/誤り(赤い×)に影響を受けやすい物理量子ビットを使用;(右) 誤り耐性量子計算は量子誤り訂正符号を用いて、論理量子ビットの情報を複数の物理量子ビットに分散させ、物理量子ビットの単一誤りから論理情報を保護。出典:wikicommons
過去一年間、量子計算は上記の動向に沿って進展し続けており、最も直感的な指標は、古典暗号システムを解読するのに必要な量子ビット数が引き続き低下していることである。
2025年5月、Googleの量子AI研究チームは、アルゴリズムとアーキテクチャの改良により、RSA-2048のようなインターネットバンキングや電子メール、デジタル証明書の暗号標準を解読するのに必要な物理量子ビット数が100万未満にまで減少したと発表した[5]。これは2019年の推定値の20分の1である。
2026年2月、オーストラリアのスタートアップ企業Iceberg Quantumは、RSA-2048を解読するのに必要な物理量子ビット数を10万にまで削減した。
アメリカの計算機科学者ピーター・ウィリストン・ショア(Peter Williston Shor、1959年8月14日—)は、1994年に、量子コンピュータを用いて素因数分解や離散対数に基づく公開鍵暗号(例:RSA暗号、ディフィー・ヘルマン鍵交換、楕円曲線暗号)を解読するアルゴリズムを提案し、後にShorアルゴリズムと呼ばれる。これが古典的な暗号を一網打尽できる理由は、これらの暗号の根底にある数学的問題が「ある関数の周期を見つけること」に帰着できるためであり、Shorアルゴリズムはこれを容易に解決できる。出典:Gemini生成、参考程度に。
2026年3月30日、さらに二つの重要な論文が発表され、RSAや楕円曲線暗号を解読するためのShorアルゴリズムに必要な量子ビット数が大幅に低減されることを示した。
最初の論文はカリフォルニア工科大学(arXiv: 2603.28627 [8])からで、中性原子量子コンピュータを用いれば、数万の量子ビットだけでShorアルゴリズムを実行し、数日以内に楕円曲線暗号を解読できると述べている。カリフォルニア工科大学のプレスリリースは、理論上2030年前後にQ-Dayが実現可能と示唆している。
RSA暗号とECC(楕円曲線暗号)の二つの主要な機能:安全な通信の確立とアイデンティティの検証。出典:Gemini生成、内容は必ずしも正確ではない可能性あり
Googleの量子AIチームは、Ethereum Foundationやスタンフォード大学の研究者と共同で白書を公開し[10]、超伝導量子コンピュータを用いれば、50万物理量子ビット未満、1000以上の論理量子ビットで、数分以内に楕円曲線暗号を解読できると述べている。一方、2023年の最良推定では、約900万の物理量子ビットが必要とされている。
カリフォルニア工科大学の研究は必要な量子ビット数を少なくできたが、動作速度が遅く、実用化の難易度は高い。一方、Googleの研究は必要な量子ビット数は多いが、動作速度は速く、工学的成熟度も高い。
カリフォルニア工科大学とGoogleの論文は、ブロックチェーン界に衝撃を与え[11]、量子計算機が暗号通貨に対して差し迫った脅威であることを示した。Ethereumの開発者はすでにポスト量子移行の広範な作業を開始しており、一部の著名な人物はビットコインコミュニティにも同様の取り組みを促している。
2026年3月30日、この日は「量子計算と暗号学の分野におけるマイルストーンの日」[7]とされ、ブロックチェーンの専門家ジャスティン・ドレイクはXプラットフォームに投稿し、コメントした。
注目すべきは、Googleがブログ記事で、これらの研究は重要な関係があるため、白書の公開前に政府と協議したと明かしているが、技術的詳細は公開していない。これは悪意ある者に利用されるのを防ぐためだとされる[12]。Googleはまた、他の量子研究チームにも同様の措置を取るよう呼びかけている。
これらは過去一年の研究例にすぎないが、長期的に見れば、量子計算の進展は予想をはるかに超えて速い。
以下の図は、RSA-2048の解読に必要な物理量子ビット数と最大規模の量子コンピュータの量子ビット数の推移を示しており、前者は指数関数的に低下し、後者は指数関数的に増加している。
_ RSA-2048の解読に必要な物理量子ビット数と最大規模の量子コンピュータの量子ビット数の推移。出典:Claude生成_
古典的な暗号解読用の量子コンピュータの実現には多くの工学的課題を克服する必要があるが、量子ビットのコヒーレンス時間やゲートの忠実度など、多くの難題も存在する。しかし、上記のトレンドは、かつて天文学的な数字と見なされていたハードウェアの閾値が、アルゴリズムやアーキテクチャの改良、誤り訂正技術の進歩によって少しずつ低下していることを示している。
もし私たちがQ-Dayに備える準備をしていなかった場合、Q-Dayが到来すると何が起こるだろうか。
前述のとおり、RSAや楕円曲線暗号を用いた公開鍵は、最初に量子計算機によって解読される可能性が高い。これにより、本人認証やデジタル署名の安全性が破壊される。銀行や電子商取引、メールの「安全な通信路」が攻撃者に解読され、送信されたアカウント情報や注文、取引情報が盗まれる可能性がある。
量子計算機の脅威はインターネットだけにとどまらず、現実の生活にも及ぶ。
攻撃者は、量子計算機を利用して、IoTデバイス、産業制御システム(ICS)、組み込みシステムなどの認証や鍵交換、ソフトウェア署名の仕組みを破壊し、正規の制御センターやエンジニア、ファームウェアの正規更新を偽装し、破壊的な指示を送信したり、悪意のあるファームウェアを埋め込んだり、運用データを改ざんしたりして、最終的に停止、誤動作、機器の破損、公共サービスの中断、さらには安全事故を引き起こす可能性がある。
しかし、現時点でも、量子計算による情報セキュリティへの脅威はすでに発生している可能性が高い。その脅威は「今すぐ捕捉し、後で解読(harvest now, decrypt later、HNDL)」と呼ばれ、現在暗号化されたデータを収集・保存し、将来Q-Dayが到来した際に量子計算機で解読することを目的としている。
HNDLのターゲットは、価値の「半減期」が長いデータ、例えば:
国家・軍事機密:世界の情報ネットワークや潜伏エージェントリスト、戦略資源の備蓄、外交の切り札、最高指導者の医療記録、潜水艦の巡航ルート、新世代戦闘機の設計図、核兵器庫の展開計画。
商業・知的財産:製薬企業の巨額投資による新薬のレシピや技術、テクノロジー大手の基幹ソースコード、顧客データ。
個人の生涯プライバシー:ゲノムデータ、社会保障番号、家族の病歴。
したがって、情報セキュリティの後量子時代への移行を加速させることは、Q-Dayのためだけでなく、今の敏感な情報を守るためにも重要である。
2024年、米国国立標準技術研究所(NIST)は、最初の後量子暗号標準としてML-KEM(FIPS 203)、ML-DSA(FIPS 204)、SLH-DSA(FIPS 205)を発表した[19]。これにより、世界の企業や政府は「抗量子設計図」を手に入れ、後量子暗号の移行段階に入った。
米国の多くの主要テクノロジー企業も、後量子暗号時代に備えている。例えば、最新版のGoogle Chrome、Microsoft Edge、Mozilla Firefoxなどのブラウザ[20]や、ネットワークインフラのサービス提供者Cloudflare[21]は、すでにPQCアルゴリズムの導入を完了している。ただし、量子安全性の脅威に免疫を持たせるには、各種ウェブサイト、企業内ネットワーク、API、アプリ、証明書、コード署名、ファームウェア署名、ブロックチェーン署名などのPQCへの移行が必要であり、どの段階も遅れると将来のセキュリティ事故の引き金となる。
海外の多くのチャットアプリも後量子暗号への移行を実現している。例えば、Appleは2024年初頭にiMessageの暗号化を大規模にアップグレードし、PQ3と呼ばれる後量子暗号プロトコルを導入した[22]。Signalは2023年にチャットの初期段階の後量子暗号化を実現し[23]、2025年には長期のチャット履歴の後量子暗号化も行った[24]。これらの暗号化プロトコルはWhatsAppにも採用されている[25]。これらのソーシャルアプリはHNDLに対する高い防壁を築いている。
中国の企業も国内外の民間顧客向けにNISTの標準を導入している例もある。例えば、Alibaba Cloud[26]やTencent Cloud[27]など。
もちろん、米国のNIST標準が唯一の答えではない。中国は米国とは異なる技術路線を推進し、自国の標準策定を進めている。2026年の全国人民代表大会(全国两会)で、全国人大代表かつ暗号学の専門家である王小云院士は、「今後3年以内に中国は完全な後量子暗号国家標準を策定する見込みだ」と述べている[28]。また、米国国家安全保障局(NSA)は2022年にCNSA2.0(商用国家安全アルゴリズムスイート2.0)を発表し、ネットワーク機器やクラウドサービス、OSなどのPQCアップグレードの最終期限を2025年から2030年に設定している。これらのアップグレードは国防調達向けのものであるが、最終的には民間分野にも適用される見込みだ。
すべての分野で順調に進んでいるわけではなく、Q-Day前に完全な準備を整えるのは難しい分野も存在する。
HNDL攻撃者に捕捉された情報は、解読されるまでの時間が長いデータに限定される可能性が高い。攻撃者が将来的に十分な解読能力を持たない、またはデータの価値が時間とともに減少することを期待している。
中小企業や重要インフラの一部は、資金や人材、技術力不足により、暗号資産の棚卸やPQC移行をタイムリーに完了できないケースも多い。
古い物理インフラ(IoTや産業制御システムなど)は、多くのデバイスのメモリやCPUの処理能力がPQCアルゴリズムに対応できず、ソフトウェアのオンラインアップグレードも困難。手動交換や革新的な対策が必要となるが、世界中で数十億台に及び、作業量は計り知れず、漏れや不備が生じるリスクもある。
後者のケースでも、管理を強化し、物理的隔離や専用ネットワーク運用、ホワイトリストアクセス、手動承認などの対策を講じることで、量子計算機による攻撃リスクを低減できる。
私たちは鉄筋コンクリートの都市に住む一方で、鍵や証明書、署名、プロトコルで編まれた無形の都市の中にも暮らしている。
この都市には城壁はないが、暗号があり;堀はないが、アルゴリズムがあり;見張り番はいないが、無数の安全プロトコルが静かに動いている。これらは見えないが、私たちが毎日送金、ログイン、チャット、運転、医療、仕事、生活を行うことを可能にしている。
過去数十年、暗号学は静かなる礎となり、インターネット時代の繁栄を支えてきた。Q-Dayの脅威に直面しながらも、エンジニア、暗号学者、標準化団体、企業、政府は、まるで千年虫危機に成功したように、危機を乗り越えることができるだろう。
未来のある日、量子計算機は今日の暗号を解読できるほどに強力になるかもしれない。そのとき、私たちが望むのは、新薬開発や材料設計、気候シミュレーションなどの知識の扉を開くことだ。安全の古い錠前を修理し忘れることなく。
23.97M 人気度
1.28M 人気度
52.31K 人気度
2.87M 人気度
484.59K 人気度
Q-Day:まだ来ていない日なのに、すでに今を脅かしている?
瞿立建|執筆
最新の研究によると、暗号解読に必要な量子ビット数は指数関数的に減少しており、量子コンピュータの能力は指数関数的に上昇しているため、私たちが後に量子暗号の移行を完了させるための時間枠は予想よりも短い可能性がある。
4月29日、新たに米国科学アカデミー会員となった理論計算機科学者スコット・ジョエル・アレンソン(Scott Joel Aaronson、1981年5月21日—)は自身のブログで、世界の著名な量子計算の専門家たちが彼に伝えたところによると、Q-Dayは2029年頃に到来する可能性があると明かした[1]。
いわゆるQ-Dayとは、人々が予測する未来のある日、量子コンピュータが非常に強力になり、現在広く使われている暗号システムを解読できるほどになることで、銀行、政府、インターネット、デジタルアイデンティティ、クラウドサービス、ブロックチェーンの信頼基盤を揺るがす日を指す。これがQ-Day(Quantum Day)である。
アレンソンは警告している。企業、組織、ブロックチェーン、または標準化機関は、直ちに量子耐性暗号(quantum-resistant encryption)への移行を開始すべきだと。
この警告は個人のブログから発信されたものだが、非常に参考になる。
カナダのグローバルリスク研究所(Global Risk Institute)が2024年12月に発表した『量子脅威タイムラインレポート2024』(Quantum Threat Timeline Report 2024[2])によると、専門家へのアンケート調査に基づき、Q-Dayが10年以内に到来する確率は19%から34%、20年以内に到来する確率は60%から82%に上る。今年3月に発表された最新の『量子脅威タイムラインレポート2025』(Quantum Threat Timeline Report 2025[3])では、Q-Dayが10年以内に到来する確率は28%から49%、20年以内に到来する確率は69%から86%に増加している。
カナダのグローバルリスク研究所(Global Risk Institute)によるQ-day到来確率の過去の専門家アンケート結果。出典:「量子脅威タイムラインレポート2025」
これらは業界の専門家の主観的判断だが、堅実な関連研究は存在するのだろうか。
アメリカのフォレスターリサーチ(Forrester Research)が2026年3月に発表した『量子コンピューティングの現状2026』(The State Of Quantum Computing, 2026[4])のレポートによると、Q-Dayは2030年前後に到来する可能性がある。
レポートは、量子コンピュータの進展に基づき、Q-Dayが近づいていると指摘し、以下の動向を挙げている。
アルゴリズムの継続的な進歩により、暗号解読に必要なハードウェアの閾値が大幅に低下。
論理量子ビット(Logical Qubits)の継続的な突破により、誤り耐性を持つ量子コンピュータが理論から実用へと進展。
複数の企業が異なる技術路線で大規模な誤り耐性量子コンピュータのロードマップを提示。
(左) 理想的な量子計算の仮定では完璧な論理量子ビット;(中) NISQ(ノイズのある中規模量子)計算はノイズ/誤り(赤い×)に影響を受けやすい物理量子ビットを使用;(右) 誤り耐性量子計算は量子誤り訂正符号を用いて、論理量子ビットの情報を複数の物理量子ビットに分散させ、物理量子ビットの単一誤りから論理情報を保護。出典:wikicommons
過去一年間、量子計算は上記の動向に沿って進展し続けており、最も直感的な指標は、古典暗号システムを解読するのに必要な量子ビット数が引き続き低下していることである。
2025年5月、Googleの量子AI研究チームは、アルゴリズムとアーキテクチャの改良により、RSA-2048のようなインターネットバンキングや電子メール、デジタル証明書の暗号標準を解読するのに必要な物理量子ビット数が100万未満にまで減少したと発表した[5]。これは2019年の推定値の20分の1である。
2026年2月、オーストラリアのスタートアップ企業Iceberg Quantumは、RSA-2048を解読するのに必要な物理量子ビット数を10万にまで削減した。
アメリカの計算機科学者ピーター・ウィリストン・ショア(Peter Williston Shor、1959年8月14日—)は、1994年に、量子コンピュータを用いて素因数分解や離散対数に基づく公開鍵暗号(例:RSA暗号、ディフィー・ヘルマン鍵交換、楕円曲線暗号)を解読するアルゴリズムを提案し、後にShorアルゴリズムと呼ばれる。これが古典的な暗号を一網打尽できる理由は、これらの暗号の根底にある数学的問題が「ある関数の周期を見つけること」に帰着できるためであり、Shorアルゴリズムはこれを容易に解決できる。出典:Gemini生成、参考程度に。
2026年3月30日、さらに二つの重要な論文が発表され、RSAや楕円曲線暗号を解読するためのShorアルゴリズムに必要な量子ビット数が大幅に低減されることを示した。
最初の論文はカリフォルニア工科大学(arXiv: 2603.28627 [8])からで、中性原子量子コンピュータを用いれば、数万の量子ビットだけでShorアルゴリズムを実行し、数日以内に楕円曲線暗号を解読できると述べている。カリフォルニア工科大学のプレスリリースは、理論上2030年前後にQ-Dayが実現可能と示唆している。
RSA暗号とECC(楕円曲線暗号)の二つの主要な機能:安全な通信の確立とアイデンティティの検証。出典:Gemini生成、内容は必ずしも正確ではない可能性あり
Googleの量子AIチームは、Ethereum Foundationやスタンフォード大学の研究者と共同で白書を公開し[10]、超伝導量子コンピュータを用いれば、50万物理量子ビット未満、1000以上の論理量子ビットで、数分以内に楕円曲線暗号を解読できると述べている。一方、2023年の最良推定では、約900万の物理量子ビットが必要とされている。
カリフォルニア工科大学の研究は必要な量子ビット数を少なくできたが、動作速度が遅く、実用化の難易度は高い。一方、Googleの研究は必要な量子ビット数は多いが、動作速度は速く、工学的成熟度も高い。
カリフォルニア工科大学とGoogleの論文は、ブロックチェーン界に衝撃を与え[11]、量子計算機が暗号通貨に対して差し迫った脅威であることを示した。Ethereumの開発者はすでにポスト量子移行の広範な作業を開始しており、一部の著名な人物はビットコインコミュニティにも同様の取り組みを促している。
2026年3月30日、この日は「量子計算と暗号学の分野におけるマイルストーンの日」[7]とされ、ブロックチェーンの専門家ジャスティン・ドレイクはXプラットフォームに投稿し、コメントした。
注目すべきは、Googleがブログ記事で、これらの研究は重要な関係があるため、白書の公開前に政府と協議したと明かしているが、技術的詳細は公開していない。これは悪意ある者に利用されるのを防ぐためだとされる[12]。Googleはまた、他の量子研究チームにも同様の措置を取るよう呼びかけている。
これらは過去一年の研究例にすぎないが、長期的に見れば、量子計算の進展は予想をはるかに超えて速い。
以下の図は、RSA-2048の解読に必要な物理量子ビット数と最大規模の量子コンピュータの量子ビット数の推移を示しており、前者は指数関数的に低下し、後者は指数関数的に増加している。
_ RSA-2048の解読に必要な物理量子ビット数と最大規模の量子コンピュータの量子ビット数の推移。出典:Claude生成_
古典的な暗号解読用の量子コンピュータの実現には多くの工学的課題を克服する必要があるが、量子ビットのコヒーレンス時間やゲートの忠実度など、多くの難題も存在する。しかし、上記のトレンドは、かつて天文学的な数字と見なされていたハードウェアの閾値が、アルゴリズムやアーキテクチャの改良、誤り訂正技術の進歩によって少しずつ低下していることを示している。
Q-Dayが到来したらどうなるか?
もし私たちがQ-Dayに備える準備をしていなかった場合、Q-Dayが到来すると何が起こるだろうか。
前述のとおり、RSAや楕円曲線暗号を用いた公開鍵は、最初に量子計算機によって解読される可能性が高い。これにより、本人認証やデジタル署名の安全性が破壊される。銀行や電子商取引、メールの「安全な通信路」が攻撃者に解読され、送信されたアカウント情報や注文、取引情報が盗まれる可能性がある。
量子計算機の脅威はインターネットだけにとどまらず、現実の生活にも及ぶ。
攻撃者は、量子計算機を利用して、IoTデバイス、産業制御システム(ICS)、組み込みシステムなどの認証や鍵交換、ソフトウェア署名の仕組みを破壊し、正規の制御センターやエンジニア、ファームウェアの正規更新を偽装し、破壊的な指示を送信したり、悪意のあるファームウェアを埋め込んだり、運用データを改ざんしたりして、最終的に停止、誤動作、機器の破損、公共サービスの中断、さらには安全事故を引き起こす可能性がある。
Q-Dayは未到来だが、脅威はすでに進行中
しかし、現時点でも、量子計算による情報セキュリティへの脅威はすでに発生している可能性が高い。その脅威は「今すぐ捕捉し、後で解読(harvest now, decrypt later、HNDL)」と呼ばれ、現在暗号化されたデータを収集・保存し、将来Q-Dayが到来した際に量子計算機で解読することを目的としている。
HNDLのターゲットは、価値の「半減期」が長いデータ、例えば:
国家・軍事機密:世界の情報ネットワークや潜伏エージェントリスト、戦略資源の備蓄、外交の切り札、最高指導者の医療記録、潜水艦の巡航ルート、新世代戦闘機の設計図、核兵器庫の展開計画。
商業・知的財産:製薬企業の巨額投資による新薬のレシピや技術、テクノロジー大手の基幹ソースコード、顧客データ。
個人の生涯プライバシー:ゲノムデータ、社会保障番号、家族の病歴。
したがって、情報セキュリティの後量子時代への移行を加速させることは、Q-Dayのためだけでなく、今の敏感な情報を守るためにも重要である。
後量子暗号(Post-quantum cryptography, PQC)
2024年、米国国立標準技術研究所(NIST)は、最初の後量子暗号標準としてML-KEM(FIPS 203)、ML-DSA(FIPS 204)、SLH-DSA(FIPS 205)を発表した[19]。これにより、世界の企業や政府は「抗量子設計図」を手に入れ、後量子暗号の移行段階に入った。
米国の多くの主要テクノロジー企業も、後量子暗号時代に備えている。例えば、最新版のGoogle Chrome、Microsoft Edge、Mozilla Firefoxなどのブラウザ[20]や、ネットワークインフラのサービス提供者Cloudflare[21]は、すでにPQCアルゴリズムの導入を完了している。ただし、量子安全性の脅威に免疫を持たせるには、各種ウェブサイト、企業内ネットワーク、API、アプリ、証明書、コード署名、ファームウェア署名、ブロックチェーン署名などのPQCへの移行が必要であり、どの段階も遅れると将来のセキュリティ事故の引き金となる。
海外の多くのチャットアプリも後量子暗号への移行を実現している。例えば、Appleは2024年初頭にiMessageの暗号化を大規模にアップグレードし、PQ3と呼ばれる後量子暗号プロトコルを導入した[22]。Signalは2023年にチャットの初期段階の後量子暗号化を実現し[23]、2025年には長期のチャット履歴の後量子暗号化も行った[24]。これらの暗号化プロトコルはWhatsAppにも採用されている[25]。これらのソーシャルアプリはHNDLに対する高い防壁を築いている。
中国の企業も国内外の民間顧客向けにNISTの標準を導入している例もある。例えば、Alibaba Cloud[26]やTencent Cloud[27]など。
もちろん、米国のNIST標準が唯一の答えではない。中国は米国とは異なる技術路線を推進し、自国の標準策定を進めている。2026年の全国人民代表大会(全国两会)で、全国人大代表かつ暗号学の専門家である王小云院士は、「今後3年以内に中国は完全な後量子暗号国家標準を策定する見込みだ」と述べている[28]。また、米国国家安全保障局(NSA)は2022年にCNSA2.0(商用国家安全アルゴリズムスイート2.0)を発表し、ネットワーク機器やクラウドサービス、OSなどのPQCアップグレードの最終期限を2025年から2030年に設定している。これらのアップグレードは国防調達向けのものであるが、最終的には民間分野にも適用される見込みだ。
すべての分野で順調に進んでいるわけではなく、Q-Day前に完全な準備を整えるのは難しい分野も存在する。
HNDL攻撃者に捕捉された情報は、解読されるまでの時間が長いデータに限定される可能性が高い。攻撃者が将来的に十分な解読能力を持たない、またはデータの価値が時間とともに減少することを期待している。
中小企業や重要インフラの一部は、資金や人材、技術力不足により、暗号資産の棚卸やPQC移行をタイムリーに完了できないケースも多い。
古い物理インフラ(IoTや産業制御システムなど)は、多くのデバイスのメモリやCPUの処理能力がPQCアルゴリズムに対応できず、ソフトウェアのオンラインアップグレードも困難。手動交換や革新的な対策が必要となるが、世界中で数十億台に及び、作業量は計り知れず、漏れや不備が生じるリスクもある。
後者のケースでも、管理を強化し、物理的隔離や専用ネットワーク運用、ホワイトリストアクセス、手動承認などの対策を講じることで、量子計算機による攻撃リスクを低減できる。
結語
私たちは鉄筋コンクリートの都市に住む一方で、鍵や証明書、署名、プロトコルで編まれた無形の都市の中にも暮らしている。
この都市には城壁はないが、暗号があり;堀はないが、アルゴリズムがあり;見張り番はいないが、無数の安全プロトコルが静かに動いている。これらは見えないが、私たちが毎日送金、ログイン、チャット、運転、医療、仕事、生活を行うことを可能にしている。
過去数十年、暗号学は静かなる礎となり、インターネット時代の繁栄を支えてきた。Q-Dayの脅威に直面しながらも、エンジニア、暗号学者、標準化団体、企業、政府は、まるで千年虫危機に成功したように、危機を乗り越えることができるだろう。
未来のある日、量子計算機は今日の暗号を解読できるほどに強力になるかもしれない。そのとき、私たちが望むのは、新薬開発や材料設計、気候シミュレーションなどの知識の扉を開くことだ。安全の古い錠前を修理し忘れることなく。