【衝撃】量子コンピュータが暗号を破る日、Googleは「2029年」と見ている
Googleが全インフラのポスト量子暗号移行を2029年完了と発表。NIST推奨より6年前倒し。技術的背景、移行先アルゴリズム、他社の対応状況を解説
ニュース
kkm
Backend Engineer / AWS / Django
Googleが「今の暗号は破られる」と宣言した
2026年3月25日、Googleはセキュリティエンジニアリング担当VP Heather Adkins氏とシニアスタッフ暗号学者Sophie Schmieg氏の連名で、全インフラのポスト量子暗号(PQC)への移行を2029年までに完了すると発表しました。
ポスト量子暗号とは、量子コンピュータでも破れない暗号のことです。今のインターネットで使われている暗号(RSAや楕円曲線暗号)は、十分な性能を持つ量子コンピュータが登場すれば破られることが数学的にわかっています。Googleはその日が「思ったより近い」と判断し、移行を急いでいます。
注目すべきは、このスケジュールがアメリカ政府の推奨よりも大幅に前倒しだということです。
| 組織 | 移行完了目標 | 備考 |
|---|---|---|
| 2029年 | 今回の発表 | |
| NSA(米国家安全保障局) | 2031年 | 国家安全保障システム向け |
| Microsoft | 2033年 | 2029年に早期導入開始 |
| NIST(米国標準技術研究所) | 2035年 | 2030年に旧暗号を非推奨化 |
Googleが急ぐ理由は、量子コンピュータの進化が「予想より速い」ことにあります。
量子コンピュータはいつ暗号を破れるようになるのか
現在のインターネット暗号の多くは「大きな数の素因数分解は計算機には難しい」という前提に支えられています。RSA暗号がその代表です。しかし量子コンピュータが持つ「ショアのアルゴリズム」を使えば、この素因数分解を劇的に高速化できることが1994年に理論的に証明されています。
問題は「いつ、十分な量子ビットが揃うか」です。この推定値がここ数年で急激に下がっています。
2012年の時点では、RSA-2048を破るために約10億量子ビットが必要とされていました。2019年にはそれが約2,000万に。そして2025年のGoogle Craig Gidney氏の研究では、約100万のノイジー量子ビットがあれば1週間程度で破れるという推定が出ています。
100万量子ビットのマシンは今すぐには存在しません。しかしIBMは2029年までに数百の「論理量子ビット」(エラー訂正済みの量子ビット)を持つ耐障害性量子コンピュータのロードマップを公開しています。量子誤り訂正技術の進歩により、必要な物理量子ビット数も減少傾向にあります。
業界の見方も切迫しています。セキュリティ専門家の61%が「2年以内」、28%が「3〜5年以内」に現行暗号が侵害される可能性を認識しているという調査結果もあります。
暗号が「破られる瞬間」は予告なく来ます。破られてから対応するのでは遅いからこそ、Googleは前倒しで動いています。
「今盗んで、後で解読する」攻撃はもう始まっている
量子コンピュータがまだ暗号を破れないなら、なぜ今急ぐ必要があるのか。その答えが「Harvest Now, Decrypt Later」(HNDL)攻撃です。
仕組みは単純です。国家レベルの攻撃者が、現在の暗号化された通信データを大量に傍受・保存しておきます。今は解読できなくても、将来量子コンピュータが実用化されたときに、保存しておいたデータを一気に復号します。
Googleはこの脅威が現在進行形であると公式ブログで明言しています。今日暗号化されたメール、チャット、金融取引のデータが、5年後、10年後に丸見えになる可能性があるということです。
技術的に見ると、この脅威の性質が移行の優先順位を決めています。HNDL攻撃の対象は暗号化(鍵交換)です。過去に傍受したデータを復号されるリスクがあるため、こちらの移行が最も急がれます。一方、デジタル署名の移行も重要ですが、こちらはリアルタイム性が求められます。量子コンピュータが稼働した瞬間に署名が偽造可能になるため、「その日が来る前に」移行を完了しなければなりません。
つまり、暗号化は「すでに手遅れかもしれない」リスク、署名は「間に合わせなければならない」リスク。どちらも急ぐ理由があり、Googleが2029年という期限を設定した背景がここにあります。
RSAはどこに消えるのか。移行先のアルゴリズムを整理する
移行先は、アメリカの国立標準技術研究所(NIST)が2024年8月に正式発行した3つの標準に基づいています。
| 標準名 | 旧名 | 用途 | 置き換える対象 | 安全性の根拠 |
|---|---|---|---|---|
| ML-KEM (FIPS 203) | CRYSTALS-Kyber | 鍵交換 (暗号化通信の確立) | RSA鍵交換 ECDH / X25519 | 格子問題 (Module-LWE) |
| ML-DSA (FIPS 204) | CRYSTALS-Dilithium | デジタル署名 (改ざん防止) | RSA署名 ECDSA | 格子問題 (Module-LWE) |
| SLH-DSA (FIPS 205) | SPHINCS+ | デジタル署名 (バックアップ) | ML-DSAが 破られた場合の保険 | ハッシュ関数 |
ML-KEMとML-DSAは「格子問題」と呼ばれる数学的な難問に安全性の根拠を置いています。格子問題は、量子コンピュータでも効率的に解けないと考えられている問題です。現在の暗号がショアのアルゴリズムで破られるのは「素因数分解」と「離散対数」という特定の問題が量子的に解けるからであり、格子問題はこれとは別の構造を持っています。
SLH-DSAはハッシュ関数の安全性に依拠しており、ML-DSAとは異なる数学的基盤を持つため、保険として位置づけられています。ML-DSAの格子問題に何らかの脆弱性が見つかった場合でも、SLH-DSAで署名の安全性を担保できます。暗号の世界では「卵を一つの籠に盛るな」が鉄則です。
実際の移行では、いきなり新しい暗号だけに切り替えるのではなく、ハイブリッド方式(従来の暗号+ポスト量子暗号の併用)が使われます。たとえばChromeではX25519 + ML-KEM-768というハイブリッド鍵交換が採用されています。どちらか一方が破られても、もう一方で安全性が保たれる設計です。
Googleは自社サービスをどこまで移行したのか
Googleは「2029年に全面移行」と言っていますが、実はすでにかなりの部分が移行済みです。
Chromeは2024年11月のバージョン131以降、TLS 1.3でX25519 + ML-KEM-768のハイブリッド鍵交換をデフォルトで有効にしています。世界で数十億人が使うブラウザの通信が、すでにポスト量子暗号で保護されています。今この記事をChromeで読んでいるなら、あなたの通信も対象です。
Cloud KMS(鍵管理サービス)では、ポスト量子暗号のプレビューが提供されています。X-Wing KEM(X25519 + ML-KEM-768のハイブリッド)と、量子安全デジタル署名の両方が利用可能です。
Android 17(2026年ベータ開始)では、OS起動時の改ざん検証(Android Verified Boot)にML-DSA署名が導入されます。アプリストアのGoogle Playでも新規アプリにML-DSA署名鍵が生成され、既存アプリも段階的に対応していく計画です。さらに、署名鍵の2年ごとのアップグレードを義務化する方針も示されています。
社内通信は、すでに全面的にポスト量子暗号に移行済みです。
Googleは自社の暗号ライブラリBoringCryptoとTinkでPQCの実装をオープンソースとして公開しています。自社だけ安全になっても、エコシステム全体が脆弱なら意味がない。という判断でしょう。
Microsoft、Apple、Cloudflare、Signalはどうしているのか
ポスト量子暗号への移行はGoogleだけの話ではありません。主要なテック企業の対応状況を比較します。
Microsoftは2029年に早期導入開始、2033年に完全移行という計画です。Windows 11とWindows Server 2025でML-KEMとML-DSAがCNG API経由で利用可能になっています。.NET 10にもPQCサポートが入る予定です。Googleより4年遅い計画ですが、OS・開発フレームワーク・認証基盤を同時に動かす必要があるため、保守的なスケジュールになっています。
Cloudflareは実は最も進んでいます。Cloudflareネットワークに到達するWebトラフィックの3分の1以上がすでにTLS 1.3のハイブリッドML-KEM鍵交換で保護されています。SASE(Cloudflare One)プラットフォームとWARP VPNクライアントもPQC対応済みです。「インターネットの配管」を担う企業として、インフラ層から先に固めるアプローチです。
Appleは2024年にiMessageでPQ3プロトコルを導入しました。メッセージングアプリとしては世界初のポスト量子暗号対応です。個人間の通信がHNDL攻撃の対象になりうるという認識から、早期に動いた形です。
Signalは2023年9月にPQXDHプロトコル(X25519 + CRYSTALS-Kyberのハイブリッド)を導入済みです。さらにSPQR(Sparse Post Quantum Ratchet)を開発し、鍵交換だけでなく会話全体を通じた量子安全性を確保しています。プライバシー重視のメッセージングアプリとして、暗号技術の最前線を走り続けています。
AWSもKMS、ACM、Secrets ManagerでML-KEMポスト量子TLSをサポートしています。クラウド基盤では3大プロバイダ(Google、Microsoft、AWS)すべてがPQCの提供を始めている状況です。
企業の91%に移行計画がない
大手テック企業の対応は進んでいます。しかし、Trusted Computing Groupの調査によると、企業の91%がPQC移行の正式なロードマップを持っていないことが判明しています。
これは無理もない面があります。ほとんどの企業にとって「暗号アルゴリズムの移行」は、自社で直接手を動かす領域ではありません。使っているクラウドサービス、ブラウザ、OSがアップデートされれば、多くの場合は自動的に移行される部分が大きいからです。
しかし、問題はそこからはみ出す部分です。自社で暗号鍵を管理しているシステム、独自に実装したTLS通信、ハードウェアセキュリティモジュール(HSM)を使っている基幹システムなどは、能動的な対応が必要です。特に金融機関や政府系システムでは、暗号アルゴリズムの切り替えに伴う認証取得や規制対応も加わるため、移行には年単位の時間がかかります。
開発者として今できることはあります。まず、自分が関わるシステムでどの暗号アルゴリズムが使われているかを棚卸しすること。OpenSSLのバージョン、TLS設定、証明書の鍵長と署名アルゴリズムを確認するところから始められます。次に、GoogleのBoringCryptoやTink、あるいはOpenSSLの最新版でPQCが利用可能かを検証すること。まだ本番環境に入れる段階ではなくても、テスト環境で試しておけば、いざ移行が始まったときに慌てずに済みます。
暗号が壊れてから動いても遅い
暗号の世界には「暗号は徐々に弱くなり、ある日突然破られる」という経験則があります。MD5もSHA-1も、理論的な攻撃が発表されてから実用的な攻撃が成功するまでに年単位のラグがありました。RSAと楕円曲線暗号が同じ道をたどる保証はありませんが、たどらない保証もありません。
Googleの発表で重要なのは、2029年という数字そのものよりも、「なぜ前倒しにしたか」の理由です。量子ハードウェアの進化が加速し、量子誤り訂正の効率が改善し、RSAを破るのに必要なリソースの推定値が年々下がっている。この3つの事実は、Googleだけでなく全てのシステムに当てはまります。
ChromeユーザーはすでにPQCの恩恵を受けています。CloudflareやSignalのユーザーも同様です。しかし、インターネットの全てのシステムが移行するにはまだ時間がかかります。ハイブリッド方式という「両方の暗号を併用する」現実的なアプローチが用意されているのは、移行の敷居を下げるためです。
暗号が破られた後では、保存されたデータの機密性は二度と取り戻せません。だからこそ、「早すぎる対応」というものは存在しないのです。
参照元
- • Google's timeline for PQC migration - Google Blog
- • NIST Releases First 3 Finalized Post-Quantum Encryption Standards
- • Google races to secure encryption before quantum threats arrive - Help Net Security
- • Google targets 2029 for post-quantum cyber readiness - Computer Weekly
- • Q-Day Revisited - RSA-2048 Broken by 2030 - PostQuantum
- • Post-quantum cryptography (PQC) - Google Cloud
- • Why Google now uses post-quantum cryptography for internal comms
- • iMessage with PQ3 - Apple Security Research
- • Quantum Resistance and the Signal Protocol - Signal
- • State of the post-quantum Internet in 2025 - Cloudflare
- • Quantum-safe security - Microsoft