「いま使っている暗号は、いつまで安全なのだろう」。そんな素朴な不安を、技術ニュースの片隅で感じた方もいるかもしれません。2026年6月、量子コンピュータが現在の暗号を破る日「Q-Day(キューデイ)」が近づいているという話題が改めて注目を集めました。きっかけのひとつは、Googleが自社システムの耐量子暗号への移行を「2029年まで」という期限つきで進めると示したことです。
「量子コンピュータが暗号を破る」と聞くと、SF映画のような遠い話に思えるかもしれません。けれども、防御する側にとってこれは「いつか考えればいい話」ではなくなりつつあります。この記事では、Q-Dayとは何か、なぜ期限が切られたのか、そして中小企業の情シスや社内SEが「明日から何を準備すればいいのか」を、攻撃者の視点も交えながら順を追って整理します。不安を煽るためではなく、足元を固めて落ち着いて備えるための地図として読んでいただければと思います。
Q-Dayとは何か|暗号が「期限切れ」になる日
まず言葉の整理から始めます。Q-Day(キューデイ)とは、十分に強力な量子コンピュータが実用化され、いま私たちが当たり前に使っている暗号を現実的な時間で解読できるようになる時点を指す言葉です。特定の日付が決まっているわけではなく、「その能力に到達してしまう、いつか来る日」を表す呼び名だと考えてください。
では、何が破られるのでしょうか。狙われるのは、おもに「公開鍵暗号」と呼ばれる仕組みです。
・RSA暗号: Webサイトの通信を守るTLS(旧SSL)や電子証明書などで広く使われている暗号方式。巨大な数の素因数分解が事実上不可能なことを安全性の根拠にしています。
・楕円曲線暗号(ECC): RSAより短い鍵で同等の強度を持つとされ、スマートフォンやIoT機器でも使われている方式。
これらは、いまの普通のコンピュータでは「解くのに天文学的な時間がかかる」という前提で成り立っています。ところが量子コンピュータは、ショアのアルゴリズムという計算手法を使うと、この素因数分解などを桁違いに速く解ける可能性があります。つまりQ-Dayが来ると、これまで「破るのは非現実的」とされてきた暗号が、一気に「破れる暗号」へと変わってしまうのです。
大切なのは、これがウイルスやランサムウェアのような「攻撃の流行」とは性質が違う点です。特定の製品に穴が空いたという話ではなく、現代のインターネットを支える暗号の前提そのものが揺らぐ、という構造的な変化です。だからこそ、慌てて何かを駆除するのではなく、長い目で土台を入れ替えていく発想が要ります。
共通鍵暗号やハッシュはどうなるのか
誤解されやすいのですが、すべての暗号が等しく危険になるわけではありません。AESに代表される「共通鍵暗号」や、SHA-256などの「ハッシュ関数」は、量子コンピュータの影響が公開鍵暗号ほど深刻ではないと考えられています。鍵の長さを十分に取るなどの対応で、当面は使い続けられる見込みです。
つまり問題の中心は「公開鍵暗号」にあります。Web通信の鍵交換や電子署名、VPN接続といった、相手を確かめたり安全に鍵をやり取りしたりする部分が、量子コンピュータの影響を最も受けやすい。ここを新しい暗号へ置き換えていく取り組みが、これから解説する耐量子暗号への移行です。
なぜ「2029年」なのか|Googleの期限が示すもの
今回話題になったのは、Googleが自社の内部システムについて、耐量子暗号への移行を2029年までに完了させると示したことです。さらに、スマートフォン向けの次期Android(Android 17)に、NISTが標準化した耐量子のデジタル署名技術「ML-DSA」を組み込む方針も明らかにしています。世界的な大手が具体的な年限を切ったことが、「もう先延ばしできない課題なのだ」という空気を一気に強めました。
ただ、「2029年」という数字だけを見て「あと数年で量子コンピュータが暗号を破る」と早合点するのは禁物です。これはあくまでGoogleが「自社の移行を終えておく目標年」として設定したものです。Q-Day自体がいつ来るかは誰にも断言できません。それでも期限を切るのには、はっきりした理由があります。
「ハーベスト・ナウ・ディクリプト・レイター」という落とし穴
Q-Dayがまだ来ていないのに、なぜ今から急ぐ必要があるのか。その鍵になるのが「ハーベスト・ナウ・ディクリプト・レイター(Harvest Now, Decrypt Later)」という攻撃の考え方です。日本語にすると「いま収穫して、あとで解読する」という意味になります。
攻撃者の視点で考えてみましょう。いまはまだ暗号を破れなくても、暗号化された通信やデータをこっそり大量に集めて保存しておくことはできます。そして将来、量子コンピュータが実用化された時点で、保存しておいた暗号データをまとめて解読する。つまり「今は読めなくても、将来読めるようになるなら、今のうちに盗んでおこう」という発想です。
この考え方が厄介なのは、被害が「未来」に起きるのに、原因は「今」にある点です。長期間にわたって秘密にしておきたい情報ほど、危険にさらされます。たとえば、長く有効な契約情報、知的財産、個人の医療・金融データなどは、10年後に解読されても価値が残っているかもしれません。だからこそ、Q-Dayが来てから動くのでは手遅れで、「将来も守りたいデータ」を扱う組織は今から備える必要があるのです。期限を切る本当の意味は、ここにあります。
| 論点 | よくある思い込み | 実際のところ |
|---|---|---|
| 緊急度 | 量子が暗号を破ってから対応すればよい | 「今盗まれ、将来解読される」ため今から準備が要る |
| 2029年の意味 | その年に暗号が破られる | Googleが自社移行を終える目標年であり、Q-Dayの予言ではない |
| 影響範囲 | すべての暗号が一斉に危険 | 主に公開鍵暗号。共通鍵やハッシュは影響が限定的 |
| 対象 | 大企業だけの話 | 長期保存データを持つ組織はすべて関係する |
専門家の見立てにも幅があります。量子安全技術を手がけるカナダのevolutionQは、暗号を破れる量子コンピュータが「10年以内」に登場する確率を28~49%、「15年以内」では51~70%と推定するレポートを示しています。確実ではないものの、無視できない確率であることがうかがえます。「来るかどうか」ではなく「来たときに困らないか」で考えるのが、防御側の現実的な姿勢です。
耐量子暗号(PQC)とは|新しい暗号への置き換え
では、どう守ればいいのか。答えのひとつが耐量子暗号(PQC|Post-Quantum Cryptography、ポスト量子暗号とも呼ばれます)です。これは「量子コンピュータでも現実的な時間では解けないと考えられている、新しい暗号方式」の総称です。素因数分解とは別の、量子コンピュータが苦手とする数学的な難しさを安全性の根拠にしています。
重要なのは、PQCはすでに「研究中の未来技術」ではなく、標準化が進んだ「使える技術」になっている点です。米国のNIST(米国立標準技術研究所)は2024年8月、耐量子暗号の標準を正式に公開しました。代表的なものが次の3つです。
・FIPS 203(ML-KEM): 鍵をやり取りするための仕組み(鍵カプセル化)の標準。TLSやVPNなどで「安全に鍵を共有する」部分に使われます。元になった方式はCRYSTALS-Kyberと呼ばれていました。
・FIPS 204(ML-DSA): デジタル署名の標準。「相手が本物か」を確かめる電子署名に使われます。元になった方式はCRYSTALS-Dilithiumです。Googleが次期Androidに組み込むとしているのもこれです。
・FIPS 205(SLH-DSA): ハッシュ関数をベースにしたデジタル署名の標準。設計思想が異なるため、いわば「保険」として位置づけられています。
NISTで標準化を主導した専門家は、標準公開の時点で「完全な統合には時間がかかるため、すぐにシステムへの組み込みを始めてほしい」と呼びかけています。つまり、世界の大手が一斉に動き始めたのは、技術が出そろい、あとは「いかに早く自分たちのシステムに入れ替えるか」の段階に入ったからなのです。
PR
耐量子暗号の話を理解するには、まず「いまの暗号がなぜ安全とされているのか」を押さえるのが近道です。本書は共通鍵・公開鍵・ハッシュ・電子署名・PKIといった暗号の基礎を、図とたとえ話で丁寧に解説してくれます。RSAや楕円曲線暗号の仕組みがわかると、PQC移行の意味がぐっと腑に落ちます。
移行ロードマップ|防御側がたどる4つのステップ
「新しい暗号に替える」と言っても、社内のすべてを一度に入れ替えることはできません。耐量子暗号への移行は、数年がかりのプロジェクトになります。世界的にも、移行には2~5年かかると見られています。だからこそ、順序立てて進めることが大切です。ここでは、防御側がたどる現実的な4ステップを示します。
1. 棚卸し|どこで暗号を使っているかを把握する
最初の一歩は、攻撃者と戦うことではなく「自社の現状を知る」ことです。自社のシステムのどこで、どんな暗号が使われているかを洗い出します。Webサーバーの証明書、VPN、社内通信、保存データの暗号化、外部サービスとの連携など、暗号は思った以上にあちこちで使われています。これを一覧にしないと、何をどこから替えればいいのか判断できません。
この「暗号の棚卸し」は、近年「クリプト・アジリティ(暗号の機敏性)」という考え方とセットで語られます。特定の暗号方式に固く縛られず、必要なときに別の方式へ素早く切り替えられる柔軟さを持っておこう、という発想です。今回のような大きな移行に備えるうえで、まず自社の暗号の地図を持つことが出発点になります。
2. 優先順位づけ|「長く守りたいデータ」から考える
すべてを同時に移行するのは非現実的です。そこで効いてくるのが、先ほどの「ハーベスト・ナウ・ディクリプト・レイター」の視点です。長期間にわたって秘密を保ちたいデータほど、優先的に守る。これが優先順位づけの基本軸になります。
たとえば、数十年有効な契約や設計図、長く価値の残る個人情報を扱う通信は、早めに手当てしたい対象です。逆に、すぐに価値がなくなる一時的なデータは、優先度を下げてよいでしょう。限られた人手と予算をどこに集中するかを、「データの寿命」という客観的なものさしで決めるわけです。
3. 試験導入|ハイブリッド方式から始める
いきなり既存の暗号をすべて捨てて新方式に切り替えるのは、リスクが高すぎます。そこで現実的に採られているのが「ハイブリッド方式」です。これは、従来の暗号と耐量子暗号を組み合わせて使うやり方です。仮に新しい暗号にまだ未知の弱点があっても、従来の暗号が併用されているため、片方が破られても安全を保ちやすくなります。
多くのソフトウェアやクラウドサービスは、すでにこのハイブリッド方式の対応を進めています。まずは影響の小さい範囲で試験的に導入し、動作や性能への影響を確かめながら広げていくのが安全な進め方です。クラウド環境での暗号設定や鍵管理の実務については、姉妹サイトクラウドマスターズ.TOKYOでも扱っています。
4. 段階的な展開|更新の波に乗る
最後は、棚卸しと優先順位に沿って、実際の置き換えを段階的に進めていきます。ここで現実的なのは、「すべてを自前で改修する」のではなく、OS・ブラウザ・サーバーソフト・クラウドサービスのアップデートに乗る形で移行が進む部分が大きい、という点です。GoogleがAndroidやChromeに耐量子暗号を組み込むように、利用している製品側が対応してくれる部分も増えていきます。だからこそ、提供元のロードマップを把握し、更新を遅らせずに適用していく姿勢が効いてきます。
| ステップ | やること | 中小企業での現実的な始め方 |
|---|---|---|
| 1. 棚卸し | 暗号の利用箇所を一覧化 | 証明書・VPN・暗号化ストレージを書き出す |
| 2. 優先順位 | 長期保存データを特定 | 「10年後も困るデータ」を選び出す |
| 3. 試験導入 | ハイブリッド方式を試す | 対応済みサービスの設定を確認・有効化 |
| 4. 段階展開 | 更新に合わせて置き換え | OS・ソフトの更新を遅らせず適用 |
中小企業の情シスが今日からできること
「耐量子暗号への移行」と聞くと、専任チームを抱える大企業の話に思えるかもしれません。けれども、専任担当がいない組織でも、今日から踏み出せる現実的な一歩があります。大がかりな投資は前提にしていません。
・提供元の方針を確認する: 自社が使うクラウドサービスやソフトの提供元が、耐量子暗号への対応をどう進めるか公表しているかを確認する。多くの大手はロードマップを示しています。
・「長く守りたいデータ」を書き出す: 完璧でなくてよいので、数年~数十年単位で秘密にしたい情報を洗い出す。優先順位づけの土台になります。
・更新を遅らせない体制を作る: OSやソフトのアップデートを後回しにしない運用にする。耐量子暗号の多くは、製品の更新を通じて静かに入ってきます。
・暗号設定の見直し習慣を持つ: 古い暗号方式(古いTLSバージョンなど)を使い続けていないか、定期的に点検する。
ここで強調したいのは、「今すぐすべてを耐量子暗号に替えなさい」と言っているわけではない、ということです。中小企業にとっての当面の現実的なゴールは、「あわてず移行できる準備を整えておくこと」です。自社の暗号の地図を持ち、守りたいデータを把握し、更新の波に乗れる体制を作る。これだけでも、いざ本格的な移行が必要になったときの動きやすさが大きく変わります。落ち着いて、できるところから手をつけていきましょう。
よくある誤解と注意点
このテーマで陥りやすい誤解を整理しておきます。正しく理解することが、過剰な不安や、逆に油断を防ぐことにつながります。
・「2029年に暗号が破られる」: 違います。2029年はGoogleが自社移行を終える目標年です。Q-Dayがいつ来るかは誰にも断言できません。
・「まだ量子コンピュータがないから関係ない」: 「いま盗んで将来解読する」攻撃があるため、長期保存データを持つ組織は今から無関係ではありません。
・「すべての暗号が危ない」: 主に公開鍵暗号が対象です。共通鍵暗号やハッシュは、影響が限定的と考えられています。
・「中小企業は何もできない」: 棚卸しと優先順位づけ、更新を遅らせない運用は、規模に関係なく今日から始められます。
よくある質問(FAQ)
Q. Q-Dayは具体的にいつ来るのですか?
正確な時期は誰にも断言できません。evolutionQのレポートでは、暗号を破れる量子コンピュータが10年以内に登場する確率を28~49%、15年以内では51~70%と推定しています。「いつ来るか」より「来たときに困らないか」で備えるのが現実的です。
Q. 耐量子暗号(PQC)はもう実用化されているのですか?
はい。NISTが2024年8月に標準(FIPS 203・204・205)を正式公開しており、研究段階ではなく「使える技術」になっています。GoogleやMicrosoftなどの大手が、製品やサービスへの組み込みをすでに進めています。
Q. 自社で何か特別な暗号を開発する必要がありますか?
いいえ。暗号方式を自作するのはむしろ危険で、避けるべきです。NISTが標準化した方式を、製品やサービスの更新を通じて取り入れていくのが正しい進め方です。多くの場合、利用しているソフトやクラウド側の対応に乗る形になります。
Q. 「ハイブリッド方式」とは何ですか? なぜ安全なのですか?
従来の暗号と耐量子暗号を組み合わせて使う方式です。新しい暗号にまだ知られていない弱点があったとしても、従来の暗号が併用されているため、片方だけが破られても安全を保ちやすくなります。移行期の現実的な選択肢として広く使われています。
Q. 中小企業が最初にやるべきことは何ですか?
まずは「長期間秘密にしたいデータ」を書き出すことです。次に、自社が使うサービスの提供元が耐量子暗号への対応をどう進めるかを確認します。この2つだけでも、移行に向けた優先順位の土台ができます。
Q. いま使っているVPNやWebサイトは、すぐに危険になりますか?
すぐに危険になるわけではありません。当面は従来の暗号も機能します。ただし「いま盗んで将来解読する」リスクを考えると、長期保存データを扱う通信ほど、対応済みの設定への切り替えを前向きに検討する価値があります。
Q. 古いTLSバージョンを使い続けているのですが、問題ですか?
耐量子暗号以前の問題として、古いTLSバージョンには既知の弱点があり、見直しが推奨されます。暗号の棚卸しのついでに、古い暗号方式を使っていないか点検しておくと、耐量子暗号への移行もスムーズになります。
本記事のまとめ
Q-Dayとは、量子コンピュータが現在の公開鍵暗号を破れるようになる「いつか来る日」を指します。Googleが2029年という期限を切って耐量子暗号への移行を進める背景には、「いま盗まれたデータが将来解読される」というハーベスト・ナウ・ディクリプト・レイターのリスクがあります。だからこそ、Q-Dayが来てからではなく、今から準備を始める意味があるのです。
守る側がやるべきことは、決して特別な魔法ではありません。自社の暗号の使いどころを棚卸しし、長く守りたいデータから優先順位をつけ、ハイブリッド方式で試しながら、製品の更新の波に乗って段階的に置き換えていく。NISTが標準を公開し、大手が動き始めたいま、耐量子暗号は「未来の技術」から「準備すべき現実」へと変わりました。あわてず、できるところから、足元を固めていきましょう。正しく知れば、量子の時代も落ち着いて迎えられます。
PR
耐量子暗号への移行を社内で説明する立場になったとき、暗号の基礎を一冊で押さえておくと話が早く進みます。RSA・楕円曲線暗号・ハッシュ・電子署名・PKIまでを平易に解説した定番書で、PQC移行の議論についていくための土台づくりに最適な一冊です。
「いつか来る変化」に、いまから備えませんか?
耐量子暗号への移行は、慌てて飛びつくものではなく、順を追って準備するものです。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
