「今収集し、後で解読する」脅威に備えよ:米政府の耐量子暗号義務化とCloudflareの2029年ロードマップ
2026年6月26日 18:03
米トランプ大統領が2026年6月22日に署名した大統領令により、連邦政府機関および請負業者に対し、2030年までの耐量子暗号(PQC)への移行が義務付けられた。これを受けてCloudflareは、政府目標を1年前倒しする2029年までの完全移行ロードマップを発表した。この動きは政府ベンダーのみならず、民間企業や重要インフラ事業者にも広範な影響を及ぼすとみられ、早期の対応が求められている。
■米大統領令が定める2030年期限とCloudflareの前倒し
トランプ大統領が2026年6月22日に大統領令14409号「先進的暗号攻撃から国家を保護する(Securing the Nation Against Advanced Cryptographic Attacks)」に署名した。これを受けてCloudflare(クラウドフレア)は、インターネットの耐量子暗号(PQC)移行に向けた詳細なロードマップを公開し、連邦政府の義務化期限を1年上回る社内目標を設定した。これにより、米国政府にソフトウェア、ハードウェア、またはサービスを販売するすべての組織に明確な遵守期限が課されることになり、その影響は政府調達に直接参加していない銀行、病院、大学などにも及ぶとみられる。
大統領令は、連邦政府機関に対し、最も機密性の高いシステムを耐量子暗号化へ移行する期限を2030年12月31日まで、より困難な耐量子認証への移行完了期限を2031年12月31日までと定めている。また、政府請負業者(コントラクター)に対しては、連邦調達規則評議会(FAR Council)が180日以内に公開する予定の規則案に基づき、2030年の期限が課される見通しだ。一方、Cloudflareは、暗号化と認証の両方を含む完全な耐量子セキュリティの達成目標を2029年に設定している。これは、Googleやスタートアップ企業Oratomicによる研究の進展を受け、暗号解読が可能な量子コンピュータの実用化予測時期が短縮されたことに伴い、2026年4月に前倒しされたものである。
■「今収集し、後で解読する」脅威の現実
これらの期限が急がれる背景には、現時点で実用的な量子コンピュータが存在している必要はないという事実がある。大統領令では、敵対者が将来的に十分に強力なマシンが登場した段階で解読することを見越して、暗号化された米国政府のデータを「すでに収集している可能性がある」と明記している。セキュリティ業界で「今収集し、後で解読する(harvest now, decrypt later)」と呼ばれるこの戦略に対し、10年以上の機密保持が必要なデータは、現在行われている傍受によってすでに危険にさらされていることになる。
この脅威は一様ではない。政府機関、銀行、医療機関、防衛産業、電気通信事業者などが扱うデータは、2030年以降も価値を持ち続ける。2026年に収集された金融取引記録、機密電報、生体認証データベースなどは、将来的に量子コンピュータによる解読が可能になった時点でも依然として極めて機密性が高い。そのため、大統領令の期限設定やCloudflareの前倒し決定は、単なる規制上の手続きではなく、すでに始まっている攻撃に対する技術的な防御策であると言える。
■暗号化と認証:性質の異なる2つの移行課題
Cloudflareは、PQCへの移行を、順次進めるのではなく並行して進めるべき2つの異なる技術的課題として位置づけている。
第1の移行である「耐量子暗号化」は、すでに順調に進んでいる。Cloudflareのネットワークに到達するブラウザトラフィックの3分の2以上が、米国国立標準技術研究所(NIST)がFIPS 203として標準化したアルゴリズム「ML-KEM」に基づく耐量子鍵合意をすでに使用している。このアルゴリズムは、高次元空間における短いベクトルを見つけることの困難さに依存する格子暗号の一種であり、既知の量子アルゴリズムでは効率的に解けない数学的問題に基づいている。ML-KEMはCloudflareのSASEプラットフォーム「Cloudflare One」に導入されており、TLS、MASQUE、IPsec接続をカバーし、顧客は追加コストなしで利用できる。ウェブブラウザやクラウドプラットフォームは、米サイバーセキュリティ・インフラセキュリティ庁(CISA)の「広く利用可能」なカテゴリに分類されており、政府機関はすでにこれらのカテゴリでPQC対応製品のみを調達するよう指示されている。
一方で、第2の移行である「耐量子認証」は始まったばかりであり、技術的な難易度は暗号化よりもはるかに高い。
■認証移行が極めて困難な理由:署名サイズの肥大化と依存関係
耐量子認証とは、従来のデジタル署名(ECDSAやRSA)を、耐量子仕様の「ML-DSA(FIPS 204)」に置き換えることを意味する。最大の技術的障害はそのデータサイズにある。従来のECDSA署名が約64バイトであるのに対し、ML-DSA署名は約2,420〜4,595バイトに達する。これは38倍から72倍の増加であり、TLSハンドシェイクが運ぶペイロードの構造的な変化をもたらす。
Cloudflareの実環境テストでは、耐量子認証のペイロードサイズにおいて、ファイアウォールやロードバランサー、侵入検知システムが巨大なTLSレコードを処理できず、接続の約5%が完全に失敗することが判明した。また、接続が維持された場合でも、ペイロードが大きいためにTCPの初期輻輳ウィンドウを超過し、ネットワークの往復回数(ラウンドトリップ)が増加して通信速度が低下する。このオーバーヘッドに対処するため、CloudflareはGoogle Chromeと共同で「Merkle Tree Certificates」と呼ばれる新しい方式を開発している。これは、個々の証明書に署名するのではなく、数千の証明書にわたる耐量子署名を一括処理することで、接続あたりの認証コストを劇的に削減する技術である。
さらに、サイズの問題に加えて依存関係の連鎖も課題となる。耐量子認証には、クライアント、サーバー、認証局、証明書透明性(CT)ログ、ルートストア、ブラウザなど、信頼チェーンを構成するすべての要素の協調的なアップグレードが必要である。この公開鍵暗号基盤(PKI)の依存関係は、ソフトウェアアップデートの配信やファームウェア署名のインフラにも共通している。現在HTTPS接続を保護しているECDSAやRSAの鍵は、OSやブラウザ、企業向けアプリケーションを最新に保つためのソフトウェアアップデートの署名にも使われている。量子コンピュータを持つ攻撃者が従来の署名を偽造できるようになれば、ウェブサーバーになりすますだけでなく、認証レイヤーが移行されていないデバイスに対して、正当に見える悪意あるソフトウェアアップデートを配布することが可能になる。大統領令が定める2030年の暗号化期限と2031年の認証期限の間の1年の猶予は、これら2つのトラックが互いの完了を待っていられないほど緊密であることを示している。
■政府ベンダー規制が民間企業に与える波及効果
大統領令において最も影響力が大きいのは、政府機関の期限ではなく、請負業者に対する遵守要件かもしれない。FAR Councilは、対象となる請負業者に対し、2030年12月31日までにNIST FIPSの耐量子標準に準拠することを義務付ける規則案を公開するよう指示されている。政府機関がPQCに移行するためには、調達する製品がPQCをサポートしている必要があるため、政府への販売を希望するベンダーは、定められたスケジュール通りに量子安全な製品を出荷しなければならない。
CISAは、PQCが「広く利用可能」な技術カテゴリ(クラウドプラットフォーム、ウェブブラウザ、チャット・メッセージングソフト、エンドポイントセキュリティツールなど)と、依然として「移行中」のカテゴリ(ネットワークハードウェア、アイデンティティ・アクセス管理システム、電子メールサーバー、データベースシステムなど)を区別したリストを公開している。「移行中」のカテゴリに属するハードウェアを調達する組織は、これらを優先対応項目として特定すべきである。なぜなら、これらのカテゴリではベンダー間でのPQCサポートがまだ標準化されておらず、遵守までの猶予期間が一般的なハードウェアの更新サイクルよりも短いためである。
ベンダーが政府の要件を満たすために開発した製品は、最終的に民間企業でも使用されることになる。2030年の請負業者向け期限を満たすために構築されたルーターやアイデンティティ管理システムは、同じ製品ラインとして病院、銀行、大学などにも出荷される。QuSecureの戦略・研究担当エグゼクティブバイスプレジデントであるガーフィールド・ジョーンズ氏は、「鍵確立に関する2030年の期限は具体的なコンプライアンス期限であり、多くの組織の現状と本来あるべき姿との間には大きなギャップがある。暗号資産のインベントリ(棚卸し)を開始していない機関や請負業者は、すでに遅れをとっている」と指摘している。
■Cloudflareが米行政管理予算局(OMB)に求める明確化
大統領令は方向性を示すものであり、米行政管理予算局(OMB)は署名日から90日以内に実施ガイダンスを発行することになっている。Cloudflareは、そのガイダンスに含めるべき具体的な要望を公開した。
その筆頭は、耐量子暗号に「移行した」状態の定義である。ML-KEMをサポートしていても、従来の暗号のみによるTLSハンドシェイクを許可し続けるシステムは、ダウングレード攻撃に対して脆弱なままである。攻撃者は接続を強制的に量子脆弱な鍵交換に戻すことができる。2014年のPOODLE脆弱性でも同様の失敗が露呈した。正式に非推奨となった後も、後方互換性のためにサーバーでSSLv3が有効化され続けた結果、古いプロトコルを標的とした攻撃にユーザーがさらされることになった。ダウングレード互換性のある構成を禁止する明確な定義がなければ、2030年の期限は、技術的にはPQCをサポートしているものの、必要に応じて従来の暗号化に強制的に戻されてしまうシステムを生み出すリスクがある。
また、Cloudflareは「暗号アジリティ(cryptographic agility)」の義務化も求めている。これは、暗号アルゴリズムの変更をアーキテクチャの再構築ではなく設定変更のみで行えるようにシステムを設計することである。さらに、あらゆる規模の組織が耐量子セキュリティにアクセスできるようにすることも求めている。電力網、水道システム、交通ネットワークなどの重要インフラ事業者の多くは、容易なアップグレード経路がないレガシーシステムで稼働しており、大統領令による支援対象には指定されているものの、明確な移行期限は設定されていない。資金不足の重要インフラを従来の暗号化に残したまま政府システムのみを保護する移行策では、国家全体の量子リスクを完全に解消することはできない。
■国際標準の整合性と組織が今すぐ取り組むべき対策
インターネットトラフィックの大部分を運ぶTLS接続は国境を越えるため、互換性のない耐量子標準が乱立すると、それ自体が脆弱性を生むことになる。CloudflareはIPsecを教訓的な例として挙げている。合意された耐量子標準がなかったため、ベンダー各社が独自の互換性のないアルゴリズムをIPsec VPN接続向けに出荷し、相互運用性に依存するすべての組織で移行が遅れる結果となった。TLSコミュニティは、従来のX25519鍵交換と耐量子ML-KEM-768を組み合わせたハイブリッドアルゴリズム「X25519MLKEM768」に早期に収束することでこの事態を回避した。これにより、導入開始時に異なるベンダーのクライアントとサーバーが、複雑な設定交渉なしに耐量子ハンドシェイクを完了できるようになった。
大統領令は国務省に対し、同盟国と連携してPQCの採用を推進するよう指示している。Cloudflareは、この連携が象徴的な調整にとどまらず、NIST標準アルゴリズムの真の相互承認を推進すべきだと推奨している。これにより、国家レベルの攻撃者が隙を突いて悪用できるような断片化した信頼階層を作ることなく、国際的なTLS接続を耐量子仕様で保護できるようになる。
Cloudflareが公開したロードマップでは、2030年の期限やOMBの実施ガイダンスを待たずに今すぐ行動することを推奨している。過去の暗号移行(SHA-1、SSLv3、MD5など)では、非推奨化の日を移行の「開始日」と捉えた組織が多かったため、想定以上の時間を要した経緯がある。
推奨される手順は以下の通りである。まず、「今収集し、後で解読する」脅威は量子コンピュータの登場時期に関わらず現在進行形で存在するため、すべての公開インターネットトラフィックを今すぐ耐量子暗号で保護すること。次に、CISAの「広く利用可能」および「移行中」のカテゴリに属するベンダーに対し、PQCサポートを基本要件とするよう調達基準を更新すること。そして、完全な暗号部品表(CBOM)の完成を待つのではなく、どの内部システムが機密データを扱っているか、またはインターネットに公開されているかを特定する「量子影響インベントリ」を実施することである。完全なインベントリの作成には調達サイクル全体がかかる場合があり、完成時には内容が古くなっている可能性がある。リスクと露出に焦点を当てた量子影響インベントリは、実効性のある出発点となり、その後の詳細な部品表作成の基礎となる。
■注目ポイントQ&A
●「今収集し、後で解読する(harvest now, decrypt later)」とは何ですか?なぜ今すぐ対策が必要なのですか?
攻撃者が将来的に高性能な量子コンピュータが実用化された段階で解読することを目的に、現在暗号化されている通信データをあらかじめ収集・保存しておく手法です。10年以上の機密保持が必要なデータは、すでに現在の傍受によって危険にさらされているため、今すぐの対策が必要です。
●なぜ耐量子認証は、耐量子暗号化に比べて移行が難しく、時間がかかるのですか?
耐量子認証(ML-DSA)の署名サイズが、従来のECDSA(約64バイト)に比べて38〜72倍(約2,420〜4,595バイト)に肥大化するためです。これにより一部のネットワーク機器で接続エラーが発生したり、通信速度が低下したりします。また、認証局やブラウザ、コード署名インフラなど、信頼チェーン全体を協調してアップグレードする必要があるためです。
●「暗号アジリティ(cryptographic agility)」とは何ですか?
システムの設計において、暗号アルゴリズムの変更を、システムの再構築(アーキテクチャの書き換え)を伴わずに、設定変更だけで容易に行えるようにしておく設計原則のことです。将来的に採用した耐量子暗号アルゴリズムに脆弱性が見つかった場合でも、迅速に対応するための重要な備えとなります。
●連邦政府の請負業者ではない一般企業にも、この期限は関係ありますか?
直接的な義務はありませんが、実質的に大きな影響を受けます。政府に製品を納入する主要ベンダーが2030年までに耐量子暗号に対応した製品を開発・出荷するため、それが一般市場(病院、銀行、大学など)に流通する製品の標準仕様となるからです。特にネットワーク機器などの調達においては、今から対応状況を確認しておく必要があります。
元記事: Post-Quantum Encryption: Cloudflare Moves to 2029 as Federal 2030 Mandate Reaches Every Vendor