耐量子計算機暗号(PQC)とは?自動車に必要な新しい暗号方式
![[JP] 実証から実装へ、日本の自動運転 イメージ](https://www.autocrypt.jp/wp-content/uploads/2025/09/JP-実証から実装へ、日本の自動運転-イメージ-80x80.webp)
【レポート】実証から実装へ、日本の自動運転
2025年9月26日
量子コンピューターの急速な進化により、私たちのデジタル社会を支えてきた暗号技術はかつてない危機に直面しています。特に、コネクテッドカーや自動運転車が普及する自動車業界では、その影響が極めて大きくなると予測されています。本稿では、量子コンピューターによって生じる脅威とそれに対抗する「耐量子計算機暗号(Post-Quantum Cryptography:PQC)」の必要性、さらには日本を含む各国の取り組みについて解説します。
PQCとは何か
耐量子計算機暗号(Post-Quantum Cryptography:PQC)は量子コンピューターによる攻撃にも耐えられるよう設計された新しい暗号技術です。量子暗号通信のように量子現象を利用するのではなく、現在のコンピューター上で動作し、既存のシステムと互換性を保ちながら安全性を確保することを目的としています。
量子コンピューターがもたらす暗号の危機
現在、広く使われている素因数分解に基づく暗号方式(Rivest Shamir Adleman:RSA)および楕円曲線暗号(ECC)は素因数分解の困難さ・離散対数問題の困難さなどの数学的問題に依存した暗号方式です。これらは従来型コンピューターでは解読に数百万年を要するほど安全とされてきました。しかし、量子コンピューターが実用化されれば事情は一変します。ショアのアルゴリズム(量子アルゴリズム)を活用することで、RSA-2048やECC-256といった暗号は数時間で解読可能になると予測されています。専門家によれば、2030年代半ばには暗号解読ができる「暗号的に関連する量子コンピューター」が登場する可能性があります。
さらに懸念されるのが「Harvest Now, Decrypt Later(今収集し、後で解読する)」攻撃です。これは、現在暗号化されている重要データを大量に収集し、量子コンピューターが実用化された後に解読を試みる手法です。企業の知的財産、R&Dデータ、または自動車関連の設計情報など、長期間価値を持つデータほどリスクが高くなります。
新しい暗号方式の標準化:NISTの取り組み
暗号が量子計算機により破られるリスクに対処するには、単に「新しい暗号」を用意するだけでは不十分です。(1) 鍵共有(キー合意)の置き換え、(2) 電子署名の置き換え、(3) 既存プロトコルへの統合と段階移行(ハイブリッド)、(4) 将来の更新に耐える暗号アジリティ—少なくともこの四点を満たす体系的な対策が必要でした。
この要件に応えるかたちで、米国のNISTは2016年にPQC標準化プロジェクトを開始し、複数ラウンドの公開評価を経て2024年8月に鍵共有用のML-KEM(FIPS 203)、署名用のML-DSA(FIPS 204)とSLH-DSA(FIPS 205)を最終標準として公表しました。これにより、従来のRSA/ECCが担っていた役割に対する量子耐性の「正規の後継部品」が初めて揃ったことになります。
米国ではさらに、国家安全保障分野を所管するNSAがCNSA 2.0で量子耐性暗号への採用方針と適用の道筋を提示し、商用製品での実装ガイダンスやスケジュールを更新しています。これにより、政府・軍需のみならず民間でも「いつ・どこから切り替えるか」を設計できる前提が整いました。
「規格はあるが使い方がない」という状況を避けるため、IETFではTLS 1.3におけるECDHE+ML-KEMのハイブリッド鍵合意(例:X25519MLKEM768)をドラフトとして整備中です。ブラウザ/クラウド実装もそれに追随し、ハンドシェイクやコードポイントの更新を進めるなど、実運用へ向けた仕様面の橋渡しが進行しています。
グローバルでも移行の「いつまでに」を示す動きが強まり、英国NCSCは2035年までの移行完了を見据えた三段階のタイムライン(発見→優先移行→完了)を公表しました。こうした政府系のロードマップは、産業界が自社の暗号アジリティ計画とサプライヤ要件を策定するための実務的なベンチマークになっています。
日本ではCRYPTRECが「耐量子計算機暗号ガイドライン(2024年度版)」を公開し、アルゴリズム選定や移行設計や運用上の留意点を整理しました。国内の官民プロジェクトがこのガイドに沿って暗号資産の棚卸しやハイブリッド運用の検証を進めることで、既存システムとの互換性を保ちながら段階的な移行が可能になります。要するに、量子リスクに対して必要だったのは「部品(KEM/署名)×使い方(TLS等の統合)×進め方(ロードマップとアジリティ)」の三点セットであり、その空白をNISTのFIPS標準、IETFのプロトコル整備、各国の移行ガイダンスが埋めてきました。
PQCと従来暗号方式の違い
従来の暗号方式であるRSA・ECCは素因数分解/離散対数に依存しており、量子コンピューターを利用すると短時間で破られる可能性があります。一方、PQCは格子問題(LWE/RLWE)やハッシュ関数といった仕組みに基づく暗号方式で、量子コンピューターでも解くことが難しいのが特徴です。これにより、将来的にも安全性を確保できることが期待されています。以下の表は従来暗号方式とPQCの主な違いをまとめたものです。
従来暗号 vs PQC
| 観点 | 従来暗号(RSA/ECC) | PQC(例:ML-KEM / ML-DSA / SLH-DSA) |
|---|---|---|
| 安全性の前提 | 素因数分解 / 離散対数の困難性 | 格子問題 / ハッシュ関数 |
| 量子計算への耐性 | 弱い(ショアアルゴリズム) | 強い見込み(既知量子アルゴリズムで破り方なし) |
| 量子計算の影響への対応 | 共通鍵/ハッシュは鍵長で対応 | 同左(鍵長で対応) |
| 鍵・署名サイズ | 小さい(特にECC) | 大きい(鍵/署名/証明書が増大) |
| 処理性能 | 既存実装が成熟・高速 | 検証時間/メモリに配慮が必要(最適化次第) |
| 自動車適用時の論点 | 既存要件で運用可能 | セキュアブート/署名検証時間、OTA更新、HSM対応など相互運用の評価必要 |
PQCは量子コンピューターによる攻撃に強い一方、現時点では解くべき課題も残る
量子コンピューターを利用しても簡単に解読されないものの、様々な課題があります。まず、当面は従来方式(RSA/ECC)とPQCを併用するハイブリッド運用が推奨され、既存システムとの相互運用性を保ちながら影響を測定し、段階的に移行していきます。次に、公開鍵・署名・証明書のサイズが一般に大きく、メモリやフラッシュ、ネットワーク(MTU超過やフラグメント)でのオーバーヘッドが増えやすい点が挙げられます。処理速度については、一部アルゴリズムでは検証やKEM処理の計算量が条件によって遅くなり得ますが、最適化やハードウェア支援の進展により改善が進んでいます。特に自動車やIoTのようなリソース制約環境では、TLS/OTAのパラメータ設計、HSM対応、クリプトアジリティを前提に、リソース管理とプロトコル最適化が不可欠です。以上のとおり、PQCは量子コンピューター時代に向けた量子安全な暗号エコシステムを築くための重要な選択肢であり、従来暗号システムと比べて数学的基盤、性能特性、運用・管理の観点で大きく異なります。
量子耐性を「設計に織り込む」時期に来ている
量子計算の進展は、直ちに大規模な被害をもたらすと断定できるものではない一方で、中長期的には無視しにくい不確実性を孕んでいます。特にライフサイクルの長い自動車では、いま選ぶ署名方式や証明書設計、テレマティクス/TLSの構成が、2030年代の運用にまで影響を及ぼす可能性があります。PQCは万能解ではなく、サイズや相互運用性などの課題も残りますが、公開鍵領域の量子耐性を確保しうる有力な選択肢であり、クリプトアジリティを前提とした設計を検討しておくことは、将来の再設計コストやサービス影響を抑えるる現実的な備えになると考えられます。
