量子コンピュータで TLS は破られるのか ― ML-KEM / Kyber とポスト量子暗号の実務

量子コンピュータが問題にするのは、主に公開鍵暗号です。現在の TLS では、通信内容そのものは AES や ChaCha20 のような共通鍵暗号で暗号化されます。一方、その共通鍵を安全に共有したり、相手の証明書を検証したりする部分で、RSA、ECDHE、ECDSA などの公開鍵暗号が使われます。

Shor のアルゴリズムは、整数の素因数分解や離散対数問題を高速に解ける可能性を示しました。RSA は素因数分解、Diffie-Hellman や楕円曲線暗号は離散対数問題に安全性を依存しています。つまり、十分に大規模で誤り訂正された量子コンピュータができれば、これらの前提が崩れる可能性があります。

ただし、これは「今日のブラウザで HTTPS が突然無意味になる」という話ではありません。問題は、将来の脅威に対して暗号基盤の移行に長い時間がかかることです。

ポスト量子暗号でよく出てくる言葉が Harvest Now, Decrypt Later です。これは、攻撃者がいま暗号化通信を大量に保存しておき、将来の量子コンピュータで復号する、というリスクを指します。

もし通信内容の価値が数週間で消えるなら、将来復号されても被害は小さいかもしれません。しかし、医療情報、国家機密、研究開発資料、長期契約、個人識別情報のように、10 年後も価値が残るデータでは話が変わります。

そのため、ポスト量子暗号への移行は「量子コンピュータが完成してから始める」では遅い可能性があります。特に長期秘匿性が必要な通信や保存データでは、今から暗号資産の棚卸しと移行計画が必要になります。

NIST は 2016 年からポスト量子暗号の標準化プロジェクトを進め、2024 年 8 月 13 日に最初の 3 つの標準を正式公開しました。名称がやや分かりにくいので、役割で整理すると見通しがよくなります。

ここで重要なのは、ML-KEM は「暗号化方式」というより、共有秘密を確立するための KEM (Key-Encapsulation Mechanism) だという点です。TLS の文脈では、通信内容を直接 ML-KEM で暗号化するのではなく、共通鍵を作る材料として使います。

KEM は、公開鍵を使って共有秘密を安全に作るための仕組みです。ざっくり言えば、受信側が公開鍵を配り、送信側がその公開鍵から「カプセル化された鍵」と共有秘密を作り、受信側が秘密鍵で同じ共有秘密を取り出します。

KeyGen()      -> public key, secret key
Encaps(pk)   -> ciphertext, shared secret
Decaps(sk, ciphertext) -> shared secret

FIPS 203 の ML-KEM は Module Learning with Errors 問題に安全性を関係づけています。NIST は ML-KEM-512、ML-KEM-768、ML-KEM-1024 の 3 つのパラメータセットを定義しており、数字が大きいほど高いセキュリティ強度を狙う一方、性能やサイズのコストも増えます。

以前は CRYSTALS-Kyber と呼ばれていた方式が、標準化された名前として ML-KEM になりました。記事やライブラリでは Kyber という名前がまだ残っていることがありますが、標準文書上の名称は ML-KEM と覚えると混乱しにくいです。

TLS 1.3 の鍵交換では、現在は X25519 や P-256 のような楕円曲線 Diffie-Hellman が広く使われています。ポスト量子移行では、これをいきなり全部 ML-KEM に置き換えるのではなく、従来方式とポスト量子方式を組み合わせるハイブリッド鍵交換が現実的です。

たとえば X25519 + ML-KEM のように、古典的な楕円曲線鍵交換とポスト量子 KEM の両方から共有秘密を作り、それらを組み合わせて最終的な TLS の鍵材料にします。こうすると、どちらか一方に未知の問題があっても、もう一方が保てば安全性を残せる設計にできます。

ハイブリッドは移行期のための妥協ではありますが、非常に重要な妥協です。新しい暗号だけに全振りするリスクと、古い暗号だけに残るリスクの両方を下げられるからです。

TLS の公開鍵暗号は鍵交換だけではありません。サーバー証明書やソフトウェア署名、コード署名、パッケージ署名、ファームウェア更新など、多くの場所でデジタル署名が使われています。ここで登場するのが FIPS 204 の ML-DSA と FIPS 205 の SLH-DSA です。

ML-DSA は CRYSTALS-Dilithium を標準化した署名方式で、NIST は主要なデジタル署名標準として位置づけています。SLH-DSA は SPHINCS+ を標準化した、ステートレスなハッシュベース署名です。NIST の説明では、SLH-DSA は ML-DSA とは異なる数学的アプローチに基づくバックアップ的な役割も持ちます。

実務では、TLS の通信路だけでなく、証明書チェーン、CA、コード署名、長期保存される署名文書まで含めて考える必要があります。鍵交換だけを置き換えても、署名基盤が古いままなら移行は完了しません。

量子コンピュータの影響は、公開鍵暗号と共通鍵暗号で違います。RSA や ECC は Shor のアルゴリズムで大きな影響を受けます。一方、AES や SHA-256 のような共通鍵暗号・ハッシュ関数は、主に Grover のアルゴリズムによる探索高速化を考えます。

そのため、共通鍵暗号は鍵長を十分に取ることで対処しやすい分野です。たとえば AES-256 のように長い鍵を使う設計は、ポスト量子時代でも有力な選択肢と見られています。ハッシュ関数も出力長や用途を見て選ぶ必要がありますが、RSA/ECCほど根本から置き換える話ではありません。

「量子コンピュータで暗号が全部終わる」と言うと、ここを見誤ります。本当に移行が重いのは、公開鍵暗号、証明書、鍵交換、署名、鍵管理のほうです。

多くの開発者にとって、今日から独自に ML-KEM を実装する必要はありません。むしろ、暗号プリミティブを自作しないことが重要です。現実的にやるべきことは、暗号をどこで使っているかを把握し、ライブラリやTLS終端の更新に追従できる状態を作ることです。

• 公開鍵暗号を直接使っている箇所を棚卸しする
• TLS 終端がどのライブラリ、CDN、ロードバランサーに依存しているか確認する
• 証明書、コード署名、鍵保管、バックアップデータの保存期間を確認する
• 暗号方式を固定文字列で埋め込まず、更新できる設計にする
• 長期秘匿が必要なデータから優先して移行計画を立てる

逆に、ブログ記事を読んで急に独自の「量子耐性暗号」を実装するのは危険です。標準化されたアルゴリズムを、検証されたライブラリやOS、ブラウザ、CDN、HSM の更新を通じて使うのが基本です。

2026年時点で、大規模な量子コンピュータが今日の TLS を即座に破っているわけではありません。しかし、NIST が標準を正式公開し、主要な暗号ライブラリや通信基盤が移行を始めている以上、ポスト量子暗号は未来の研究テーマではなく、実務の移行テーマになりました。

短くまとめると、RSA/ECC は将来の量子計算機に弱い可能性がある。長期秘匿データでは Harvest Now, Decrypt Later が問題になる。NIST は ML-KEM、ML-DSA、SLH-DSA を標準化した。TLS では当面、X25519 などの従来方式と ML-KEM を組み合わせるハイブリッド移行が現実的です。

慌てて暗号を自作する必要はありません。ただし、どこで暗号を使っているか分からないシステムは移行できません。まずは暗号資産の棚卸し、TLS終端の確認、長期秘匿データの分類から始めるのが、いちばん堅実なポスト量子対策です。