金研ニュースレター：情報セキュリティ・シンポジウム～ポスト量子時代の暗号技術～

藤井啓祐氏（大阪大学・教授）は、量子コンピュータの基本原理と研究開発の現状について解説を行いました。量子コンピュータは、重ね合わせや量子もつれといった量子特有の現象を情報処理に活用し、現在のコンピュータでは扱えない多様な状態を同時に扱うことができる点が特徴です。現在のコンピュータが0と1の2値情報を扱うのに対し、量子コンピュータは、0と1が重なり合った状態（重ね合わせ）を扱うことができます。藤井氏は、量子コンピュータを利用した計算では、この重なり合った0と1の組み合わせのパターンが（測定した際に重なり合った状態が解消されて）実際に測定される確率を波の性質に基づく干渉により操作することで、答えではないパターンの確率を打ち消し、正しい答えを示すパターンの確率を増幅していくことで、測定した際に正しい答えが得られると解説しました。

量子コンピュータについては、2014年頃から企業の間で開発競争が始まりました。藤井氏は、社会課題の解決に役立つ問題に関する量子超越 [1] はまだ確立されていないとの見解を示しつつも、スーパーコンピュータを凌駕する量子コンピュータに向けた研究開発が着実に進んでいる様子について説明しました。国内では、2023年に理化学研究所の主導による国産量子コンピュータが公開され、大阪大学には超伝導量子コンピュータが設置されています。現在は、クラウド経由で量子コンピュータを使用できる環境が整いつつあることも紹介されました。

より大規模な量子コンピュータの実用化には、大量の量子ビットと誤り訂正が必要となります。藤井氏は、2048ビットの合成数の素因数分解 [2] に必要な量子ビット数を例に挙げ、誤り訂正を実現する「魔法状態蒸留 [3] 」にかかる研究が進展しており、素因数分解に必要となる量子ビット数が従来の推定から大幅に削減できる可能性があると説明しました。こうした性能改善（必要となる量子ビット数の削減、下図の青線）と、量子コンピュータの大規模化（コンピュータに実装される量子ビット数の増加、下図の赤線）があわさることによって、2048ビットの素因数分解を解ける規模の量子コンピュータがこれまで想定されていた時期よりも早く実現されうるとの見方を示しました。

最後に藤井氏は、量子コンピュータは、暗号解読だけでなく、新材料やエネルギー技術の創出につながりうるものでもあるとしたうえで、量子コンピュータの究極的な目標は、自然界の仕組みを量子レベルで解明し、それを技術革新につなげることにあると指摘しました。

藤原幹生氏（国立研究開発法人情報通信研究機構量子ICT協創センター・研究センター長）は、将来どのような計算機が登場しても安全にデータを伝送・保管できる技術である量子通信の研究開発を解説しました。光や電子などの微視的な世界では、物質に粒子性と波動性が同時に現れる「量子状態」が発現し、これを活用することにより、これまでにない情報通信が可能になると述べました。代表例として、「完全秘匿通信」を可能とするQKDが紹介され、盗聴の有無を検知できる特性により暗号解読リスクを大幅に低減できることが紹介されました。

量子通信ネットワークは世界各国で整備が進んでおり、日本では2010年から東京QKDネットワークが運用され、金融機関との接続実験が行われています。また、QKDと秘密分散技術 [4] を組み合わせることで、安全なデータ保管を実現する量子セキュアクラウドの実証実験も行われています。さらに、量子通信ネットワークは量子コンピュータと連携した安全なデータ利用基盤としての活用も期待されており、東名阪地域への拡張や国内企業・研究機関向けのインフラ構築が進められていることも紹介されました。衛星を用いたQKDの研究も進んでおり、大陸間での安全な鍵共有や日本独自のQKD衛星の打ち上げ計画が紹介されました。

藤原氏は、こうした技術は、金融分野に限らず、ゲノム情報や臨床データなど長期の機密性が必要となる情報の安全な共有に有用としたうえで、量子技術を活用した安全な通信インフラが、個人情報や重要情報の安心・安全な利用につながるとの見解を示しました。

金融分野におけるPQC移行をテーマとしたパネルディスカッションでは、まず、パネリストからショートプレゼンテーションが行われました。

（ショートプレゼンテーション）

宇根正志（日本銀行金融研究所・参事役）は、海外の金融分野における動向として、欧米の当局・業界団体によるガイドライン等において、PQCへの移行の早期着手の必要性が強調されているほか、①業界全体としての取組み、②グローバルな相互運用性の確保、③暗号移行を容易にする仕組み（クリプトアジリティ）の導入が重視されている旨を紹介しました。グローバルな相互運用性の確保に関して、FS-ISAC [5] ほかによるポジションペーパーでは、多数のステークホルダー間での調整、グローバルなタイムラインの策定が不可欠である旨が指摘されていることを説明しました。また、マスターカードによる調査研究レポートにおいてICカードへのPQCの実装が技術的課題として挙げられている旨を紹介しました。

寺井理氏（株式会社みずほフィナンシャルグループ・常務執行役員　情報セキュリティ担当＜グループCISO＞）は、量子コンピュータによるリスクについて、いまから暗号文を収集しておき、量子コンピュータが登場した後に解読する「HNDL（Harvest Now, Decrypt Later）」に加え、量子コンピュータが登場した後に過去のデジタル署名を偽造する「TNFL（Trust Now, Forge Later）」への対応が不可欠であると指摘しました。こうした点も念頭に、金融ISAC [6] によるガイドでは、重要システムにおけるPQC移行を2030年から2032年を目安に優先的に対応すべき [7] としていることを説明しました。そのうえで、相互接続先やベンダーといった複数のステークホルダーとの調整や国際的な相互運用性を意識した計画的な対応の重要性を強調しました。

伊藤忠彦氏（セコム株式会社IS研究所・上級研究員）は、米・国立標準技術研究所（NIST）やIETF [8] における海外のPQCの標準化動向を紹介しました。そのうえで、現行の暗号アルゴリズムをPQCに置き換える場合は早期の対応が可能である一方、現行アルゴリズムとPQCの両方を実装するハイブリッド方式を採用する場合は、大規模なシステム改変やステークホルダー間の調整が必要になりうるため、どのような対応が可能か見極めることが必要との見解を示しました。また、ブロックチェーンや暗号資産におけるPQC移行については、技術的な課題のみならず、ガバナンス面の課題にも取り組む必要があると指摘しました。

國廣昇氏（筑波大学システム情報系・教授）は、NISTにおけるPQCの標準化の経緯と選定された標準アルゴリズムを解説しました。また、CRYPTREC [9] では、日本における電子政府推奨暗号リストへの掲載を展望して、NISTが定めた標準暗号を対象に、PQCの安全性と実装性評価を進めているほか、国産PQCの必要性についても検討を進めていることが紹介されました。加えて、国内の政府機関等では、2035年のPQC移行完了を目標にロードマップを作成する予定とされていることから、CRYPTRECも足並みを揃えて検討を進めていく方針であることが説明されました。

（パネルディスカッション）

金融分野においてPQC移行対応が進んでいる背景について、宇根は、海外金融機関ではPQC移行の方針やガイダンスが当局によって早期に示され、規制対応意識が高まったことが大きいと述べました。そのほか、国内では金融ISACを中心とした連携体制が整備されているほか、金融庁が設置した検討会の報告書による啓発活動もあり、国内金融機関が能動的に対応できたとの見方を示しました。また寺井氏は、米国金融機関の動向を受け、日本でも業界全体での導入体制の整備が必要との認識が高まったことや、金融庁や日本銀行からの協力も得られたことも背景にあると付言しました。

金融業界全体でのPQC移行対応の難しさについて、宇根は、ICキャッシュカードやATMについては、PQCの実装や新しい暗号通信手順の採用、有効期限が設定されていない現行カードの回収対応など、多岐にわたる検討が必要であり、多くの関係者との調整が不可欠であるとして、早期の検討着手が望ましいと述べました。寺井氏は、金融機関では、暗号に関する専門的知見を有する人材が不足しているため、ITパートナーとの協働が重要であると補足しました。

PQC暗号アルゴリズムの選択について、宇根は、一度採用したPQCにおいて予期しなかった脆弱性が今後顕在化する可能性があり、現行の暗号アルゴリズムとPQCを組み合わせ、どちらか一方が安全であれば暗号機能が維持される形態（ハイブリッド実装）が現在主流であると説明しました。伊藤氏は、暗号アルゴリズムの種類が増えれば、ハイブリッド実装に伴う組み合わせの数も増えるとしたうえで、実装負荷やバグの発生リスクの観点からは、組み合わせる暗号アルゴリズムは少ない方が望ましいと指摘しました。また、金融分野ではこれまで電子政府推奨暗号リストを参照してきていることについて、國廣氏は、CRYPTRECにおいても、海外に後れをとることのないよう、電子政府推奨暗号リストにPQCを掲載する方向で検討を進めていることを改めて強調しました。

伊藤氏は、PQC移行期のハイブリッド実装について、IETFにおいて標準化作業が現在行われており、標準化を待たずに実装を進めると手戻りが生じる可能性があるため、標準化の完了を待つ方が望ましいとの見解を示しました。

パネルディスカッションの最後に、参加者へのメッセージとして、伊藤氏は、PQC移行は企業におけるセキュリティ対策を見直す好機であり、将来的な暗号の高度化や、次回の暗号移行も見据えた組織体制づくりが重要と指摘しました。國廣氏は、CRYPTRECではPQCの安全性評価と情報発信を迅速に行っていくとしたうえで、PQCの安全性に留意して利用してほしいと呼びかけました。寺井氏は、日々変化する状況下では産官学の情報連携が不可欠であると強調し、宇根は、PQC移行が金融分野のみならず他の重要インフラにおいても課題となっており、関係者間での情報共有や連携をお願いしたいと述べました。

西巻陵氏（NTT株式会社社会情報研究所・特別研究員）は、量子コンピュータに対して安全な暗号技術とされるQKDとPQCの特徴と課題を概説しました。QKDは、計算量に依存せず、安全性が無条件で担保されることが特徴である一方、信頼できるデジタル通信のチャネルが必要という課題があります。PQCは、現行コンピュータで実装する以上、デジタルデータを「完全に削除したこと」を証明する手段が存在しないため、実現できる暗号機能に限界があることを指摘しました。例えば、暗号処理用の鍵を第三者に一時的に貸し出すようなケースを考えた場合、鍵が返却されたとしても、それが第三者によって不正にコピーされている可能性が排除できないことが課題になります。

西巻氏は、量子情報理論を応用することで、こうした課題を解決できる可能性があることを紹介しました。量子情報には、「すべての未知の量子状態をコピーする一般的な方法はない」という複製不可能性と、「ある情報量Aを高い精度で観測すると別の情報量Bは低い精度でしか観測できない」という不確定性原理があるとされます。西巻氏は、こうした量子特有の性質を暗号技術に応用することで、現在の古典暗号では実現できない新しい機能が実現できる可能性があることを示しました。

西巻氏らの研究チームでは、データを削除したことを証明可能とする「削除証明可能暗号」、鍵が確実に返却され、そのコピーが存在しないことを検証可能とする「安全な鍵貸与」、データのコピーそのものを防止する「複製不可能暗号」について研究を行っています。西巻氏は、量子情報の性質を利用することで、現行コンピュータでは原理的に実現できない暗号機能が理論的に可能であることが徐々に分かってきているとしたうえで、削除証明可能暗号や安全な鍵貸与については理論的な実現可能性が示されているものの、複製不可能暗号の完全な実現可能性についてはまだ明らかになっていないといった、最新の研究動向を紹介しました。

---

* 文中の肩書は当時のものです。