Googleは2026年3月25日、ポスト量子暗号(PQC: Post-Quantum Cryptography)への移行タイムラインを2029年に設定すると公表しました。これは2029年に量子コンピュータが現在の公開鍵暗号を破る「Q Day」が到来するという予測ではなく、量子ハードウェア、量子エラー訂正、量子素因数分解の計算コスト見積もりの進展を踏まえ、PQC移行に必要な準備を前倒しするための目標です。本記事ではGoogle公式ブログ、NSAのCNSA 2.0資料、NIST標準化文書に基づき、実務上の影響を解説します。
Googleが2029年を期限に設定した背景
Googleセキュリティエンジニアリング担当VPのHeather Adkinsと上級暗号技術エンジニアのSophie Schmiegが署名した公式ブログ記事では、量子コンピュータが既存の暗号標準、特に暗号化とデジタル署名に対して重大な脅威をもたらすと述べています。
Googleが指摘する脅威は2つに分かれます。1つ目は「Store Now, Decrypt Later(SNDL)」攻撃です。これは暗号化された通信やデータを今のうちに収集・蓄積しておき、将来量子コンピュータが実用化された時点で復号するという手法で、既に現在進行形のリスクです。2つ目はデジタル署名への脅威で、こちらは量子コンピュータ(Googleの表現では「暗号学的に意味のある量子コンピュータ=CRQC」)が実際に登場する前にPQCへの移行を完了しておく必要があります。署名が侵害されると、信頼されたエンティティのなりすましや悪意あるソフトウェアの配布が可能になるためです。
Googleはこの評価を受けて脅威モデルを調整し、認証サービスのPQC移行を最優先に位置づけました。公式ブログでは他のエンジニアリングチームにも同様の優先順位付けを推奨しています。
2029年は「予測」ではなく「準備期限」
この点は正確に理解しておく必要があります。Googleの2029年タイムラインは「2029年にQ Dayが来る」という予測ではなく、「2029年までにPQC移行を完了させる」という自社の準備期限です。Google公式ブログの表現では、このタイムラインは「量子コンピュータのハードウェア開発、量子エラー訂正、量子素因数分解の計算コスト見積もりの進展を踏まえた移行ニーズの反映」であり、特定の技術的マイルストーンに紐づいた保証ではないとされています。
ただし、Googleが量子コンピュータの開発者であると同時に広く利用されるデジタルインフラの提供者でもあるという立場から、業界に対して「明確さと緊急性を提供する」意図で設定されたものです。
他の主要タイムラインとの比較
Googleの2029年は、政府機関の期限と比較しても前倒し感のある設定です。
米国国家安全保障局(NSA)はCNSA 2.0(Commercial National Security Algorithm Suite 2.0)で、国家安全保障システム(NSS)向けにカテゴリ別の段階的PQC移行を定めています。FAQでは新規導入について2027年1月1日からCNSA 2.0準拠を期待するとしており、アルゴリズム文書ではソフトウェア/ファームウェア署名は2030年まで、Webブラウザ/サーバーとクラウドサービスは2033年まで、OSも2033年までにCNSA 2.0の排他的使用へ移行する想定です。NSS全体の量子耐性アルゴリズム移行完了は2035年を見込んでいます。
NISTは2024年8月にPQC標準(ML-KEM: FIPS 203、ML-DSA: FIPS 204、SLH-DSA: FIPS 205)を正式公開しました。さらにNIST IR 8547初期公開ドラフトでは、112ビットセキュリティの古典公開鍵方式(RSA-2048やECC-256など)について、2030年以降は非推奨(Deprecated)、2035年以降は完全に使用禁止(Disallowed)とする方針を示しています。
英国NCSCは主要組織に対し2035年までのPQC採用を推奨しています。
つまり、Googleの2029年はNSAの段階的タイムライン(2027年〜2035年)やNCSCの2035年と比べても前倒しの目標です。ただし、Googleの2029年は規制上の期限ではなく、自社の移行目標として設定されたものです。
Googleが既に実施しているPQC対応
Googleは、Android 17の次回ベータからML-DSAを用いたPQCデジタル署名保護のテストを開始し、製品版で一般提供すると説明しています。Google ChromeではPQCサポートが既に提供されています。Google Cloud側では、Cloud KMSでのML-KEMプレビュー導入、ML-DSA/SLH-DSA対応、Certificate Authority Serviceにおける量子安全証明書基盤の整備が進められています。
実務者にとっての意味
SNDL攻撃は「今」のリスク
量子コンピュータ自体はまだ実用段階にありませんが、SNDL攻撃のリスクは現在進行形です。国家レベルの攻撃者が暗号化された通信・文書・メールを大量に収集し、将来の量子コンピュータで復号する「Harvest Now, Decrypt Later」戦略は複数の情報機関が警告しています。長期間機密性を維持する必要のあるデータ(医療記録、政府機密、知的財産、金融取引など)を扱う組織にとって、暗号化通信のPQC移行は将来の課題ではなく現在の課題です。
デジタル署名は「Q Day前」に移行が必要
暗号化と異なり、デジタル署名の移行はQ Day後では手遅れです。Q Day到来時点で署名がPQCに移行されていなければ、攻撃者はソフトウェアアップデートの署名を偽造したり、認証システムを侵害したりすることが可能になります。Googleがデジタル署名と認証サービスの移行を最優先にしている理由はここにあります。
暗号アジリティの確保
NISTが推奨する「暗号アジリティ」(暗号アルゴリズムをプロトコルやアプリケーション、インフラ全体で迅速に差し替えられる能力)は、PQC移行に限らず長期的なセキュリティ戦略の基盤です。新規システムの設計・調達時にPQCアルゴリズムへの対応を要件に含めること、既存システムでは暗号ライブラリのアップデートパスを確認しておくことが推奨されます。
自組織の暗号棚卸し
NIST、CISA、NSAの共同ガイダンスでは、PQC移行の第一歩として「暗号棚卸し」(自組織のどこでどの暗号アルゴリズムが使われているかの把握)を推奨しています。RSA、ECDSA、ECDH、Diffie-Hellman等の量子脆弱アルゴリズムが使われている箇所を特定し、優先順位をつけて移行計画を策定することが求められます。
一次ソース:
Google公式ブログ「Quantum frontiers may be closer than they appear」(2026年3月25日) ── blog.google
NSA CNSA 2.0 Cybersecurity Advisory(2024年12月 Ver.2.1) ── media.defense.gov
NIST IR 8547「Transition to Post-Quantum Cryptography Standards」 ── nvlpubs.nist.gov
コメント