今こそ知るべき耐量子計算機暗号(PQC)入門 / PQC: What You Need to Know Now

今こそ知るべき耐量子計算機暗号(PQC)入門 2026-01-09 BuriKaigi 2026 BABY JOB株式会社浅野正貴 (@mackey0225)

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 自己紹介名前：浅野　正貴所属：BABY JOB株式会社最近は AWS やインフラがメイン X:
@mackey0225 朝イチで大阪から来ました

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b おことわり今日の話は、JJUG CCC 2025 Fall で話した内容と少々被っている部分ありますのでご容赦ください。

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b おしながき • 量子計算機と量子アルゴリズムについて • PQC がなぜ必要なのか • NISTの標準化プロジェクト
• 主要な PQC の紹介 • PQC に関する展開状況 ◦ 言語、ツール、クラウドインフラ

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 耐量子計算機暗号（PQC）とは一言で言うと、大規模な量子計算機が実現したとしても安全性が損なわれない暗号技術の総称

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 耐量子計算機暗号（PQC）とは一言で言うと、大規模な量子計算機が実現したとしても安全性が損なわれない暗号技術の総称いわゆる、 Cryptographically Relevant Quantum
Computer(CRQC)のこと

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 耐量子計算機暗号（PQC）とは一言で言うと、大規模な量子計算機が実現したとしても安全性が損なわれない暗号技術の総称単独・単一の機能や実装ではなく、様々な方式や実装があるいわゆる、 Cryptographically
Relevant Quantum Computer(CRQC)のこと

量子計算機と量子アルゴリズムについて

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b そもそも、量子計算機とは • 量子の性質を利用して計算を行う計算機 ◦ 量子ビット(qubit)は 0 と 1
の両方の状態を同時に持つことができる(量子の重ね合わせ状態) ◦ イオンや中性原子、光子などの量子が量子ビットの候補として研究されている • ゲート方式とアニーリング方式の2種類に分類される ◦ 今日の話はゲート方式を指す • 量子アルゴリズムを用いて高速かつ並列で処理をする

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 有名な量子アルゴリズム従来の計算機にくらべて計算量が小さくなる • Deutsch (1985) 、Deutsch-Jozsa (1992) ◦
実用性は低いが、量子計算機の特性が現れている • Shor (1994) ◦ 素因数分解を多項式時間で解くことが可能になる • Grover (1996) ◦ 探索問題でO(N)→O (N ^(1/2))になる

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 参考：Quantum Algorithm Zoo https://quantumalgorithmzoo.org/

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Shorのアルゴリズム • 素因数分解するアルゴリズム ◦ 位数の周期を求めることで「離散対数問題」を解く ◦ 「離散フーリエ変換」と量子計算の「べき計算」を用いて位数の周期を求める
• 広く使われている公開鍵暗号技術を危殆化させる ◦ RSA暗号、ElGamal暗号、楕円曲線暗号などに影響

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 参考：Shorのアルゴリズムでの素因数分解の流れとくに2つ目の位数を計算する部分で量子計算機の力を発揮する。逆にそれ以外のステップは古典計算機でも可能。

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 参考の参考：位数を用いた素因数分解の例

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 参考：Grover のアルゴリズム • 膨大な数のデータから目的のデータを探し出す量子探索アルゴリズム • 共通鍵暗号に対する脅威となりうるが、Shorのアルゴリズムと比べるとまだ安全といえる
◦ もちろん、量子計算機の性能（誤り訂正）が上がれば脅威となりうる

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b なぜ PQC への移行が必要なのか？ • 大規模で実現可能な量子計算機(CRQC)はまだない ◦ 暗号解読には100万量子ビットが必要と言われている ◦
現状でも100〜200量子ビット程度(ゲート方式) • 一方、Harvest Now, Decrypt Later攻撃(HNDL攻撃)の可能性は押さえておく必要がある ◦ 暗号化データを集めて、将来的に解読される

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b PQC への移行についての情勢 • 米国：2035年を目標にPQCへの移行方針を発表 • EU：欧州委員会がPQCへの移行検討を促す勧告を発表 • 国内
◦ 国家サイバー統括室 (NCO, 旧 NISC) が政府機関のシステムにおけるPQCへの移行に関する基本方針を策定 ◦ 金融庁や日本銀行が中心となり、金融機関へのPQCへの移行対応を求めている

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b NIST FIPS標準について • アメリカ国立標準技術研究所 (NIST) が2016年からPQCの標準化の検討を開始 ◦
候補の暗号の公募には69件が集まった ◦ 2024年8月に連邦情報処理標準 (FIPS) として3つが決まった ◦ 現在も追加の暗号技術 (2つ) の策定中 • 暗号としての強度や安全性だけでなく、計算量やメモリの使用量といった効率性も加味して決められた

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b NIST FIPS標準について • FIPS 203 ◦ ML-KEM (Module-Lattice-Based
Key-Encapsulation Mechanism) ◦ 格子暗号の鍵交換アルゴリズムのCRYSTALS-Kyberがベース • FIPS 204 ◦ ML-DSA (Module-Lattice-Based Digital Signature Algorithm) ◦ 格子暗号の電子署名アルゴリズムのCRYSTALS-Dilithiumがベース • FIPS 205 ◦ SLH-DSA (Stateless Hash-Based Digital Signature Algorithm) ◦ ハッシュ関数の電子署名アルゴリズムのSPHINCS+がベース ◦ ML-DSAが脆弱であると判明した場合のバックアップ

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 参考：NIST の PQC に関するプロジェクトページ https://csrc.nist.gov/Projects/post-quantum-cryptography

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 参考：NIST の PQC に関するプロジェクトページ https://csrc.nist.gov/Projects/post-quantum-cryptography 先に標準化した３つに加えて、 Falcon (格子暗号・DSA)
と HQC (符号暗号・KEM) も標準化に向けて進めているとのこと

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 参考：NIST の PQC に関するプロジェクトページ https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization /selected-algorithms

主要な PQC の紹介

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 代表的な PQC の技術 • 符号暗号 • ハッシュ関数署名 •
多変数多項式暗号 • 同種写像暗号 • 格子暗号

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 符号暗号 • 1970年代後半から提案されている • 誤り訂正符号に関する以下の計算の困難性に依存 ◦ シンドローム復号（Syndrome Decoding:
SD）問題 ◦ Learning Parity with Noise（LPN）問題 • 先に紹介した標準化予定の HQC は SD 問題をベースに「準巡回 (QC) 」というデータの構造を追加したもの

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b ハッシュ関数署名 • 1970年代末・1980年代前半から提案されている • ハッシュ関数の衝突困難性を安全性の根拠とする署名 • ハッシュ関数署名 XMSS（eXtend
Merkle Signature Scheme）がすでに IETF により RFC8391 で標準化済み • FIPS 205 にて SLH-DSA が標準化済み

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 多変数多項式暗号 • 1980年代前半から提案されている • 多変数多項式の求解問題（Mulivariate Quadratic polynomial (MQ問題)）の困難性を暗号に活用
• 初期の方式は日本人（松本勉氏、今井秀樹氏）が発案

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 同種写像暗号 • 1990年代後半ごろから提案されている • 同種写像は２つの楕円曲線の間の写像（対応）のこと • 点の数が等しい二つの（超特異）楕円曲線の間の同種写像を見つける問題の困難性を用いた暗号

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 格子暗号 • 数学的な対象としての多次元格子に関する暗号技術の総称 • 1990年代後半から提案されている • 格子暗号自体も一つのものではなく、構成方法や安全性の根拠となる問題によって分類される
• 以下がその一例となる問題 ◦ LWE 問題：ノイズ項がついた連立一次方程式の解を求めることの困難性（Learning With Error Problem） ◦ NTRU 問題：多項式の商・剰余からもとの分母・分子の多項式を復元することの困難性

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 参考：LWEのイメージ

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 参考：CRYPTREC耐量子計算機暗号の研究動向調査報告書引用元： https://www.cryptrec.go.jp/report/cryptrec-tr-2001-2024.pdf

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 参考：CRYPTREC 暗号技術ガイドライン https://www.cryptrec.go.jp/tech_guidelines.html

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 余談：NTRU の由来「N-th degree Truncated Polynomial Ring Unit」の略語と
しているが、元の由来は社名とされている https://web.archive.org/web/20010125192900/http://www.brown.edu/Administration/George_Street_J ournal/vol25/25GSJ01e.html

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 余談：NTRU の由来「N-th degree Truncated Polynomial Ring Unit」の略語と
しているが、元の由来は社名とされている https://web.archive.org/web/20010125192900/http://www.brown.edu/Administration/George_Street_J ournal/vol25/25GSJ01e.html 「NTRU」の意味は「Number Theorists R Us（数論研究者たちです）」と明かした。「ビジネスマンはこれを面白がらない」と彼は付け加え、社名を「Number Theory Research Unit（数論研究ユニット）」と改め、遊び心を抑えた。

PQC の展開・サポート状況について

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b PQC の適用状況 • プログラミング言語 ◦ Java, Go, Rust
• ライブラリ・ツール ◦ OpenSSL, Bouncy Castle • クラウドベンダー ◦ AWS

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Java 2025年3月にリリースされた Java 24 より機能追加 • JEP 496:
Quantum-Resistant Module-Lattice-Based Key Encapsulation Mechanism ◦ FIPS 203 への対応 • JEP 497: Quantum-Resistant Module-Lattice-Based Digital Signature Algorithm ◦ FIPS 204 への対応

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b https://openjdk.org/jeps/496 Java(JEP 496)

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Java(JEP 497) https://openjdk.org/jeps/497

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Go • 1.23 ◦ crypto/tls TLS通信時のKEMにデフォルトで適用 • 1.24
◦ crypto/mlkem FIPS 203 (ML-KEM) の正式サポート • 1.26（ドラフト） ◦ crypto/mlkem メソッドとインタフェースの追加 ◦ crypto/tls デフォルトで有効になる PQC アルゴリズムの追加

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Go（1.23 リリースノート） https://go.dev/doc/go1.23

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Go（1.24 リリースノート） https://go.dev/doc/go1.24

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Rust 以下のパッケージやプロジェクトで機能提供している • pqcrypto ◦ C で実装されたもののラッパー •
Rust Crypto（※PQC については自己責任の範囲と明記） ◦ Pure Rustで実装している ◦ /KEMs/ml-kem ◦ /signatures/ml-dsa

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Rust(pqcrypto) https://github.com/rustpq/pqcrypto

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Rust(Rust Crypto) https://github.com/RustCrypto

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b OpenSSL 2025年4月に 3.5.0 より機能追加 • デフォルトで TLS 通信時に
PQC が優先される • NIST で標準化された PQC アルゴリズムが追加

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b OpenSSL（リリースノート 3.5.0） https://github.com/openssl/openssl/releases/tag/openssl-3.5.0

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b https://github.com/openssl/openssl/releases/tag/openssl-3.5.0 OpenSSL（リリースノート 3.5.0）

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Bouncy Castle • Java と C# 向けの暗号化ライブラリ •
標準化されたものだけでなく、選定候補だった暗号技術も含めて提供されている

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Bouncy Castle (Post-Quantum Algorithm Support) https://www.bouncycastle.org/documentation/speciﬁcation_interoperability/#Post-Quantum-Algorithm- Support

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b Bouncy Castle (NIST PQC Competition Algorithms) https://www.bouncycastle.org/documentation/speciﬁcation_interoperability/#NIST-PQC-Competition-Al gorithms

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b AWS • AWS 責任共有モデルの一環として順次提供 ◦ AWS として PQC
の選択肢を提供 ◦ 選択についてはユーザー側でおこなう • 2025年4月には、以下のサービスにも適用されている ◦ KMS, ACM, AWS Secrets Manager • ALB の HTTPS リスナーのセキュリティポリシーにもPQC が含まれるものが追加されている

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b AWS での取り組み https://aws.amazon.com/jp/security/post-quantum-cryptography/

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b AWS での取り組み（KMS, ACM, Secrets Manager） https://aws.amazon.com/jp/blogs/security/ml-kem-post-quantum-tls-now-supported-in-aws-kms-acm-a nd-secrets-manager/

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b AWS での取り組み（PQC への移行について） https://aws.amazon.com/blogs/security/aws-post-quantum-cryptography-migration-plan/

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b AWS での取り組み（PQC のワークショップ） https://catalog.workshops.aws/using-pq-crypto-on-aws/en-US

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b AWS での取り組み（ALB の TLS セキュリティポリシー） https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html AWS での取り組み（ALB の TLS セキュリティポリシー）

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 余談：身近なところに PQC 一部のサイトではもう ML-KEM が使われていたりする

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b 余談：身近なところに PQC 一部のサイトではもう ML-KEM が使われていたりするよ

まとめ

今こそ知るべき耐量子計算機暗号入門 #burikaigi_b まとめ • 量子計算機は量子アルゴリズムを用いることで強力な性能を発揮する • 現在使われている暗号技術は危殆化は避けられない • 将来的な
PQC への移行は検討が必要 • PQC の中でも現時点での有力なスタンダードは格子暗号 • 各言語、ツール、クラウドインフラなど順次適用が広がっている

ご清聴いただきありがとうございました

今こそ知るべき耐量子計算機暗号(PQC)入門 / PQC: What You Need to ...

今こそ知るべき耐量子計算機暗号(PQC)入門 / PQC: What You Need to Know Now

More Decks by mackey0225

Other Decks in Programming

Featured

Transcript