WindowsのTLSプロトコル層に耐量子暗号が実装、3つのML-KEMグループが設定可能に

2026年7月16日 16:28

Microsoftは7月14日の月例セキュリティ更新プログラム(Patch Tuesday)において、WindowsのTLS実装であるSchannelにハイブリッド耐量子鍵交換を導入した。これにより、Windows 11およびWindows Server 2025環境において、ネットワークトラフィック層での耐量子暗号(ML-KEM)の設定が可能となる。ただし、本機能はデフォルトでは無効であり、有効化には管理者の設定とTLS 1.3環境が必須となる。

■APIからネットワークトラフィックへの移行

Microsoftの7月14日の月例セキュリティ更新プログラム(Patch Tuesday)は、通常のセキュリティ修正のバッチよりも重要なものをもたらした。それは、Windowsが暗号化接続をネゴシエートする方法の静かな書き換えである。Microsoftの7月14日のセキュリティブログで詳述されているように、このアップデートにより、ブラウザやシステムサービス、ほぼすべてのWindowsアプリケーションの暗号化通信を処理するWindowsのTLS実装「Schannel」に、ハイブリッド耐量子鍵交換が直接組み込まれた。これにより、耐量子暗号は開発者向けAPIの段階から、実際のネットワークトラフィックが流れるプロトコル層へと移行した。

Windows 11またはWindows Server 2025を運用する組織のセキュリティチームは、本日から耐量子TLSの設定を開始できる。ただし、この機能は自動的には有効化されず、TLS 1.2を実行している環境はこのアップデートによる保護を受けられない。

Microsoftの7月14日のセキュリティブログによると、今回のアップデートでは、NIST標準のML-KEM(FIPS 203)と従来の楕円曲線アルゴリズムを組み合わせた3つのハイブリッド構成(X25519_MLKEM768、SecP256r1_MLKEM768、SecP384r1_MLKEM1024)が提供される。この機能は、Windows 11バージョン24H2および25H2向けの更新プログラムKB5089573、26H1向けのKB5095091、およびWindows Server 2025向けの7月14日のパッチKB5099536から利用可能となる。また、Windows暗号化APIにおける複合PQC(耐量子暗号)アルゴリズムのサポートは、24H2および25H2向けのKB5095093を通じて提供される。

■プロトコルレベルでの展開がもたらす変化

APIからプロトコルへの移行こそが、このアップデートの重要な点である。Microsoftは2025年11月にWindows 11でPQC APIを一般提供し、ML-KEMを暗号化APIのプリミティブとして初めて利用可能にした。これにより、開発者は自身のアプリケーションで耐量子暗号を試すための基盤を得た。昨日のアップデートは次のレイヤーを完成させるものであり、SchannelはTLSハンドシェイク中にML-KEMハイブリッド鍵交換を直接ネゴシエートするようになり、アプリケーション開発者自身が組み込む必要がなくなった。

SchannelはWindowsの基盤となるTLSプロバイダーである。MicrosoftのSchannel SSPの概要で説明されているように、独自のSSLスタックをバンドルしていない多くのブラウザ、Windowsシステムサービス、エンタープライズ管理ツール、ドメイン認証トラフィックなど、OS内蔵のTLSサポートに依存するWindows上のすべてのアプリケーションは、実際の鍵交換にSchannelを使用する。ML-KEMをSchannel層に展開するということは、これらのアプリケーションのアップグレードパスが、個々のアプリケーションのコードベースではなく、Windows Updateを通じて行われることを意味する。

現在利用可能な3つのハイブリッド構成は、従来アルゴリズムとML-KEMを2つの異なるセキュリティレベルで組み合わせている。X25519_MLKEM768は、広く展開されているX25519楕円曲線アルゴリズムとNISTセキュリティレベル3のML-KEMを組み合わせたもので、ほとんどのエンタープライズおよびWebワークロードで推奨される構成である。SecP256r1_MLKEM768は、NIST P-256曲線と同じML-KEMパラメータセットを組み合わせている。SecP384r1_MLKEM1024は、NIST P-384とセキュリティレベル5のML-KEMを使用し、国家安全保障システム向けのNSAのCNSA 2.0指令の要件を満たしている。

■MLWE問題と量子コンピュータへの耐性

ML-KEMの量子耐性は、格子暗号の大きなファミリーに属する数学的構造である「Module Learning With Errors(MLWE)」問題に基づいている。簡単に言えば、多項式環上の連立一次方程式のセットにおいて、各方程式が意図的に小さなランダムなエラーで破損されている場合、元の秘密の解を見つけ出すという問題である。NIST FIPS 203で規定されているように、ノイズがなければ、この問題は従来の線形代数を用いて多項式時間で簡単に解くことができる。しかしノイズがある場合、従来型であれ量子型であれ、秘密を復元できる既知の効率的なアルゴリズムは存在しない。

これが重要である理由は、従来の公開鍵暗号を脅かす量子コンピューティングアルゴリズムが、RSAや楕円曲線暗号(ECC)が依存する数学的構造に対して特異的に機能するためである。耐量子暗号の文献で確立されているように、大きな整数を効率的に素因数分解してRSAを破り、ECCの基礎となる離散対数問題を解くことができる量子ルーチンであるShorのアルゴリズムには、MLWEに対する既知の類似物が存在しない。格子問題の構造は、同じアプローチには屈しないのである。

実用上のトレードオフは鍵のサイズである。Quantum Security DefenceのML-KEMベンチマーク分析によると、ML-KEM-768の公開鍵は1,184バイト、暗号文は1,088バイトであるのに対し、X25519の公開鍵は32バイトであり、ML-KEM-768の公開鍵は約37倍大きくなる。同ベンチマーク分析によれば、従来のみの交換と比較したハイブリッドX25519+ML-KEM-768 TLSハンドシェイクの帯域幅のオーバーヘッドは約2.27 KBである。これはほとんどのWebおよびエンタープライズアプリケーションにとっては無視できるレベルだが、金融取引インフラストラクチャのような高頻度・低遅延の環境では、接続のセットアップ時間が規模に応じて重要になるため、現実的なエンジニアリング上の懸念事項となる。

直感に反して、最新のハードウェアでの鍵操作において、ML-KEMはX25519よりも計算速度が速い。展開上の懸念はCPUではなく帯域幅である。金融インフラにおける耐量子TLSのパフォーマンスに関するarxivの研究によると、一部の金融インフラの調査では、計算の追加ではなくメッセージサイズの増加により、接続セットアップ時間が約23%(約24.7ミリ秒から30.4ミリ秒へ)増加することが示されている。

■TLS 1.3が必須条件

このアップデートがもたらす最も重要な運用上の制約は、見出しには現れていない。ML-KEMハイブリッドグループは、TLS 1.3環境下でのみ利用可能である。Microsoftのドキュメントに明記されているように、依然としてTLS 1.2を実行している組織、またはサーバーやクライアントがTLS 1.3への移行を完了していない組織は、パッチをインストールしたとしても、このアップデートによる耐量子保護を受けることはできない。

Microsoftはドキュメントでこの点を明記しており、これは多くのエンタープライズ環境にとって順序付けの問題を生じさせる。「Harvest now, decrypt later(今すぐ収集し、後で復号する)」攻撃のリスクにさらされる、寿命の長い機密データを保有している可能性が最も高い組織(政府機関、金融機関、医療機関、防衛関連企業)は、TLS 1.2の互換性要件が残る、複雑でレガシーが絡み合ったTLS展開を行っている可能性も最も高い。これらの組織にとって、PQCへの移行とTLSバージョンの移行は切り離すことができない。

ハイブリッド設計は、移行リスクに部分的に対処している。Windows 11クライアントが、まだML-KEMをサポートしていないサーバーとのTLS接続をネゴシエートする場合、ハンドシェイクは接続を切断することなく、従来のコンポーネント(X25519またはP-256鍵交換のみ)にフォールバックする。ハイブリッド防御の多層防御に関するMicrosoftのガイダンスで説明されているように、ハイブリッド鍵交換における「ハイブリッド」とは、攻撃者がセッションを侵害するためには、従来のアルゴリズムとML-KEMアルゴリズムの両方を同時に破る必要があることを意味する。どちらか一方が生き残れば、セッションは保護される。

■「Harvest-Now」の脅威はすでに進行中

この特定のアップデートの背後にある緊急性は、量子コンピュータが現在存在していることを必要としない脅威モデルに起因している。攻撃者は現在、暗号化されたトラフィックを記録して保存し、量子ハードウェアが成熟して収集したデータを復号できるようになるまで待つことができる。「Harvest now, decrypt later」の脅威モデルが説明するように、この戦略は、外交通信、医療記録、知的財産、金融契約など、機密性の保持期間が長いデータが、従来のみのTLSの下ですでにリスクにさらされていることを意味する。

複数の国家サイバーセキュリティ機関が、将来の復号を目的とした暗号化トラフィックの組織的な収集がすでに進行中であると公に述べている。NSAのCNSA 2.0アドバイザリによると、NSA、CISA、および同盟国の同等機関はすべて、これを将来の脅威ではなく現在の脅威として扱うガイダンスを発行している。量子コンピュータが鍵合意を破った後では、キャプチャされたセッションデータを遡及的に再暗号化することはできないため、鍵交換セッションは特に優先的なターゲットとなる。

Gartnerの2026年の分析では、2048ビットRSAを破ることができる暗号論的に関連性のある量子コンピュータの登場時期を2030年から2035年の間と予測している。GoogleのCraig Gidney氏による2025年の論文では、RSA-2048を破るために必要な量子ビットのリソース要件が、ハードウェアの進歩ではなくアルゴリズムの改善により、2000万物理量子ビットから100万物理量子ビット未満へと下方修正された。これは、2年前の見立てよりも猶予期間が短い可能性を示唆している。

■ML-KEMの有効化には意図的な設定が必要

ML-KEMハイブリッドグループは、デフォルトで無効の状態で出荷される。これらを有効にするには管理者の明示的な操作が必要であり、これは組織が広範な展開の前にテストする時間を与えるための意図的な設計上の選択である。Windows 11 24H2のMicrosoftのTLSサポートグループページに文書化されているように、設定ルートは既存のTLS楕円曲線設定に使用されるものと同じである。

ドメイン参加環境の管理者は、既存のECC曲線順序設定の下でグループポリシーを使用する。最新の管理プラットフォームを使用している組織は、Microsoft Intuneを含むモバイルデバイス管理(MDM)を通じてグループを設定できる。スクリプトまたは自動化された環境では、TLS PowerShellコマンドレットを使用する。ML-KEMハイブリッドグループは、既存のTLS曲線と並んでWindows管理インターフェースに表示されるため、新しいツールやワークフローの変更は必要ない。

Windows Server 2025向けには、このアップデートによりWindows暗号化APIおよび証明書機能に複合PQCアルゴリズムも導入され、ハイブリッド暗号化オブジェクトのサポートがTLSを超えた署名および鍵カプセル化のシナリオに拡張される。

■ADCS ML-DSA:証明書レイヤーも移行中

このTLSアップデートは、2か月前に完了した関連するマイルストーンと並行して提供される。Microsoftのセキュリティブログで確認されたように、Windows Server 2025でのML-DSA証明書発行に対するActive Directory証明書サービス(ADCS)のサポートは2026年5月に一般提供に達し、エンタープライズの公開鍵インフラストラクチャに耐量子デジタル署名をもたらした。

以前はCRYSTALS-Dilithiumとして知られていたML-DSA(FIPS 204)は、認証局、OCSPレスポンダー、コード署名などの署名操作を処理する。これは、鍵交換におけるML-KEMの役割を補完するものである。ADCSは現在、3つのML-DSAパラメータセット(ML-DSA-44、ML-DSA-65、ML-DSA-87)をサポートしており、組織はさまざまな証明書のユースケースに合わせて、セキュリティと署名サイズのトレードオフを調整できる。

運用上の重要な制約として、既存の認証局をインプレースでアップグレードしてML-DSA証明書を発行することはできない。Microsoftは、本番環境への展開前に耐量子証明書ワークフローをテストおよび検証するために、既存のインフラストラクチャと並行して並行CA階層を展開することを推奨している。TLSと証明書の両方の移行を計画している組織は、インプレースアップグレードではなく、この並行展開期間を計画する必要がある。

ハイブリッドTLS鍵交換とML-DSA証明書発行は連携して、エンタープライズインフラストラクチャにおける公開鍵暗号の2つの大きなカテゴリ、すなわち「転送中のデータの保護」と「IDおよびコードの認証」に対処する。

■すでに効力を発揮している規制の期限

移行の時計は理論上のものではない。NSAのCNSA 2.0指令は、2027年までに新しい国家安全保障システムに耐量子暗号を義務付けている。2026年6月の連邦大統領令では、連邦政府の民間高価値システムに対するPQCコンプライアンスの期限を、鍵確立については2030年、デジタル署名については2031年と定めている。NISTのIR 8547は、2030年以降のすべての新しい連邦システムにおいてRSA-2048およびECC P-256を非推奨とし、2035年以降はレガシーの相互運用性を含めてそれらを完全に禁止している。

Microsoftのセキュリティブログで詳述されているように、Microsoftの社内PQC準備目標も同じ期間に設定されている。同社は、Windowsサーバー、クラウドサービス、コード署名、Windows PKIなど、エコシステム全体が耐量子暗号に実質的に対応するための目標を2029年に設定している。7月14日のアップデートは、そのタイムライン上の1つのマイルストーンであり、終着点ではない。

セキュリティ実務者が一貫して指摘しているように、より困難な作業は、アルゴリズムを有効にすることではなく、TLSエンドポイント、コード署名パイプライン、VPNトンネル、SSHキー、S/MIME、データベース接続など、公開鍵暗号が使用されているすべての場所を見つけ出すことである。PQCへの移行を2029年の問題として扱う組織は、2027年に始まる規制の期限と、完全なエンタープライズ暗号化の移行に通常必要となる10年以上のタイムラインという、複合的な圧力に直面することになる。

ML-KEMがAPIに留まらずWindowsのTLSスタックに搭載されたことで、Microsoftはその移行における最大の摩擦点の1つを取り除いた。エンタープライズのセキュリティチームにとっての疑問はもはや「Windowsはいつこれをサポートするのか?」ではなく、「いつこれを設定するのか、そしてそれに必要なTLS 1.3への移行は完了しているのか?」ということである。

■注目ポイントQ&A

●7月14日のWindowsアップデートをインストールすると、組織は自動的に量子攻撃から保護されますか?

いいえ。ML-KEMハイブリッドグループはデフォルトで無効になっており、管理者がグループポリシー、モバイルデバイス管理(MDM)、またはTLS PowerShellコマンドレットを使用して明示的に有効にする必要があります。KB5089573またはKB5101650をインストールすると、Windows環境で耐量子鍵交換を使用する機能が提供されますが、設定するまでは何もアクティブになりません。さらに、耐量子保護はTLS 1.3を使用する接続にのみ適用されます。TLS 1.2以前でネゴシエートされたセッションは、ML-KEMグループを有効にした後でも、このアップデートによる恩恵を受けません。

●「Harvest now, decrypt later」とは何ですか?なぜ量子コンピュータが存在する前に行動を起こすべきなのですか?

「Harvest now, decrypt later(HNDL:今すぐ収集し、後で復号する)」とは、攻撃者が現在暗号化されたネットワークトラフィックを記録して保存し、それを保護している暗号を破ることができる十分に強力な量子コンピュータが登場するまで待つという攻撃戦略です。収集は現在行われており、データは何年にもわたって攻撃者の手に渡ったままになるため、暗号を解読できる量子コンピュータがまだ存在していなくても、脅威はすでにアクティブです。政府の通信、健康記録、金融契約、知的財産など、量子コンピュータの登場予測時期よりも長く機密を保持する必要があるデータは、従来のTLSの下ですでにリスクにさらされています。鍵交換が破られると、それが保護していたすべてのトラフィックが読み取り可能になるため、TLS鍵交換セッションは主要なターゲットとなります。耐量子ハイブリッド鍵交換は、新しいセッションに対するこの遡及的な脆弱性を排除します。

●組織は耐量子暗号への移行を義務付けられていますか?また、いつまでに移行する必要がありますか?

米国連邦政府の領域またはその防衛産業基盤で事業を展開している組織の場合、特定の期限付きで義務付けられています。NSAのCNSA 2.0指令は、2027年までに新しい国家安全保障システムにPQCを義務付けています。2026年6月の連邦大統領令は、連邦政府の民間高価値システムに対して2030年および2031年のコンプライアンス期限を設定しています。民間組織の場合、現時点では直接的な法的義務は限られていますが、2030年以降の新しい連邦システムでRSA-2048とECC P-256を非推奨とし、2035年以降は完全に禁止するというNISTのタイムラインは、調達要件、ベンダーのコンプライアンスプログラム、およびサイバー保険の条件を通じて波及していくでしょう。エンタープライズの暗号化移行には通常10年かかることを考慮すると、セキュリティ実務者からの実践的なアドバイスは、規制上のステータスに関係なく、今すぐ計画とインベントリの作成を開始することです。

●TLS 1.3はこのアップデートとどのような関係がありますか?まだTLS 1.2を使用している場合はどうなりますか?

TLS 1.3は、Windows Schannelにおけるハイブリッド耐量子鍵交換の必須条件です。TLS 1.2接続でML-KEM保護を利用する方法はありません。7月14日のアップデートで提供されるPQCハイブリッドグループは、TLS 1.3ハンドシェイク中にのみネゴシエートされます。サーバー、クライアント、またはネットワークアプライアンスで依然としてTLS 1.2を実行している組織は、このアップデートによる耐量子保護を受けられません。そのような状況にある場合、PQCへの移行とTLSバージョンの移行は事実上同じプロジェクトになります。耐量子機能が効果を発揮する前に、TLS 1.3へのアップグレードを完了する必要があります。Microsoftは、耐量子設定を行う前、またはそれと並行して、TLS 1.3への移行を完了することを強く推奨しています。

元記事: Post-Quantum Cryptography Comes to Windows TLS: Three ML-KEM Groups Now Configurable

関連記事

最新記事