2030年という日付は量子コンピュータの到来の日付ではない
暗号は長年、ほとんどのエンタープライズセキュリティの議論の下で静かに動作してきました。RSAとECDSAは、ほとんどの管理者が決して読まないページの中に存在し、TLSハンドシェイクは接続が確立されると忘れられる技術的な詳細でした。2024年にこの状況が変わりました。NISTは最初のポスト量子暗号(PQC)標準を確定し、2030年までに移行を完了するためのエンタープライズインフラのカウンターが動き始めました。
NSAのCommercial National Security Algorithm Suite 2.0(CNSA 2.0)は、米国の国家安全保障システムのポスト量子暗号への移行の目標年として2030年を定めています。このタイムラインは実質的な業界の期限として扱われています。国家安全保障の顧客に納入するベンダーは準拠しなければなりません。エンタープライズの顧客も同じ標準を追っています。なぜなら、その監査人、規制当局、大口の取引相手が追っているからです。
しかしここに一般的な誤解があります:2030年の期限は「量子コンピュータが到来する年」を意味しません。
暗号に関連する量子コンピュータがいつ存在するかについての専門家の予測は、2030年代後半から「決して来ない」まで、分析者によって異なります。2030年の期限はリードタイムに関するものです。世界のPKI、すべてのTLSエンドポイント、すべての認証局、RSAがハードコードされて出荷されたすべての組み込みデバイスを移行するには10年以上かかります。脅威が運用上のものになるはるか前に作業を始める必要があります。さもなければ、必要なときに移行が完了していないことになります。
これに「今収集し、後で復号する」(harvest now, decrypt later — HNDL)脅威を加えてください。2026年にあなたの暗号化トラフィックを記録する敵対者は、量子能力を獲得したときに数年後にその記録を復号できます。データが2030年以降も秘密に保たれなければならない場合 — 営業秘密、M&A通信、封印された法的文書、長い保持ウィンドウを持つ顧客PII — ポスト量子保護は今必要です。期限はデータの機密性の寿命に適用されるのであって、量子コンピュータの到着日に適用されるのではありません。
数字で見るPQC移行
NISTが2024年に確定したもの
2016年に始まった複数年にわたる選定プロセスを経て、NISTは2024年8月に最初のポスト量子暗号標準を確定しました。3つのアルゴリズムが登場し、それぞれが従来の公開鍵アルゴリズムが提供する異なる暗号プリミティブに対応します。3つすべてが格子ベースまたはハッシュベースであり — NISTが他の候補をふるい落とした後に選んだファミリーです。
ML-KEM (FIPS 203)
Module-Lattice-Based Key Encapsulation Mechanism、旧Kyber。鍵交換のための標準 — TLSが公開チャネル上で共有秘密を確立するステップです。1990年代から使用されているRSAベースの鍵交換とECDHを置き換えます。ML-KEM-768はハンドシェイクに約1.1 KBを追加します。X25519は約100バイトでした。CPUコストはRSA-2048と競合できます。
ML-DSA (FIPS 204)
Module-Lattice-Based Digital Signature Algorithm、旧Dilithium。デジタル署名のための標準であり、証明書、コード署名、認証、そして受信者が送信者の身元を検証しなければならないあらゆるコンテキストで使用されます。RSAとECDSAを置き換えます。ML-DSA-65の署名は約3.3 KB;ECDSAは約70バイトです。署名性能はECDSAと比較可能です。
ML-SLH (FIPS 205)
Stateless Hash-Based Signature Algorithm、旧SPHINCS+。異なるトレードオフを持つ代替の署名スキームです。ML-DSAより遅く、より大きな署名を生成します。しかしハッシュベースであり — そのセキュリティはML-DSAの基盤となる格子問題よりも擁護しやすい前提に依存します。ほとんどの展開は性能のためにML-DSAを使用します。ML-SLHは、保守的な前提がより重要となる長期アーカイブ署名のために留保されます。
エンタープライズADCが満たすべき能力
エンタープライズのアプリケーションデリバリーコントローラー — ロードバランサー、WAF、SSL終端装置、GTMシステム — はTLS終端の境界に位置します。この位置により、PQCサポートはより広範な移行のためのゲートとなります:ADCがPQCを話せなければ、その背後にあるものも何も話せないのです。
TLS 1.3鍵交換におけるML-KEM
ADCはTLS 1.3ハンドシェイクにおいてML-KEMを鍵交換アルゴリズムとして受け入れ、ネゴシエートできなければなりません。ほとんどの展開はハイブリッドモード — ML-KEMをX25519またはP-256と組み合わせる — を選ぶため、ハイブリッドグループのサポートも必要です。
証明書署名のためのML-DSA
ADCがクライアントに提示する証明書と、上流サービスから検証する証明書 — その両方がML-DSAサポートを要求します。証明書チェーン検証、OCSP stapling、SCT検証のすべてがML-DSAに対応している必要があります。
より大きなハンドシェイクペイロード容量
ML-KEM-768はハンドシェイクに約1.1 KBを追加し、ML-DSA-65の署名は約3.3 KBです。ADCはより大きなハンドシェイクパケットを処理しなければなりません。これはMTU構成、接続レートのバジェッティング、DDoS緩和のチューニングに直接関係します。
証明書ライフサイクルツール
既存の証明書管理ツールは従来の鍵と署名のサイズを前提としています。PQC証明書はより大きく、ACMEワークフロー、証明書ストア、HSM統合は新しいサイズプロファイルに対応するための更新を要求します。
デフォルトでハイブリッドモード
純粋なPQC展開はまだ時期尚早です。アルゴリズムはより新しく、暗号解析の歴史が限られています。ハイブリッドモード(同じハンドシェイク内で従来とPQC)は保守的な経路です:2つのコンポーネントのいずれかが安全であれば接続は安全です。少なくとも2028年まではデフォルトでハイブリッドを計画すべきです。
性能マージン
ML-KEMのCPUコストはRSA-2048と競合でき、ML-DSAの署名はECDSAと比較可能です。実際の性能への影響は小さいですがゼロではありません。キャパシティプランニングは、ハイブリッド移行の間のわずかに高いTLSハンドシェイクCPUコストを考慮に入れるべきです。
純粋なPQC展開は機密性のために単一の新しいアルゴリズムファミリーに依存します。将来の暗号解析の結果がML-KEMを弱体化させた場合、ML-KEMのみを使用するすべての接続が遡及的に脆弱になります。ハイブリッドモード — ML-KEMとX25519またはP-256の組み合わせ — はセッション秘密を両方から導出します。アルゴリズムのいずれかが持ちこたえれば接続は安全です。コストはハイブリッドハンドシェイクのサイズ(2つの寄与のうち大きい方)です。利益は両ファミリーにおける将来の未知の弱点に対する多層防御です。主要なブラウザ(Chrome、Firefox)とTLSライブラリは2024〜2026年にかけてハイブリッドモードを展開し、IETFはハイブリッドグループ識別子を標準化しました。エンタープライズの展開では、ハイブリッドは少なくとも2028年までデフォルトであるべきです。
エンタープライズ移行のための運用上のタイムライン
今(2026年):暗号面を棚卸しする
すべてのTLSエンドポイント、認証局との関係、コード署名ワークフロー、長期機密データフローを列挙してください。棚卸しなしには移行範囲を計画できません。ほとんどの組織は忘れていた面を発見します — 内部サービス、レガシークライアント、組み込みデバイス、B2B統合。
今(2026年):公開向けTLSでPQCを有効にする
サポートするADCについて、公開向けTLSエンドポイントでML-KEMハイブリッドモードを有効にしてください。この変更は保守的です:ハイブリッドモードは、PQCが後で弱体化された場合に従来のセキュリティにフォールバックします。実際の本番トラフィックがすぐに利益を得ます。
2026〜2027年:ML-DSA証明書のパイロット
証明書管理ツール、監視、運用手順を検証するために、重要でないワークロードに対してML-DSA署名証明書を発行し始めてください。証明書チェーン検証のコードパスが、重要なサービスの負荷を担う前にエクササイズされます。
2027〜2028年:内部サービスに拡大する
ハイブリッドTLSとML-DSA証明書を内部の東西トラフィックに拡大してください。内部サービスはパイロット中の互換性の問題に対してより高い許容度を持ちます。ロングテールの互換性の問題が、公開向けになる前に表面化します。
2028〜2029年:ロングテールのクリーンアップ
PQCサポートを欠く組み込みデバイス、レガシー統合、パートナー向けAPIに対処してください。一部のベンダーには圧力が必要であり、一部のレガシーシステムは置き換えが必要です。ロングテールは、移行の時間予算が実際に消費される場所です。
2030年:運用上のPQC
すべての新しいTLS接続がハイブリッドまたは純粋PQCを使用します。従来のみの接続には明示的な例外と文書化された廃止タイムラインが必要です。移行はもはやプロジェクトではなく運用です — 継続的な暗号の機敏性が新しい常態となります。
2026年のADC製品選択にとってこれは何を意味するか?
2026年に下されるエンタープライズインフラの決定は、PQC移行ウィンドウの全体を通じて生き続けます。今日選ばれてPQCサポートを欠くADCは、2030年より前に強制的な置き換えとなります — 購入者が計画していなかったコストです。ベンダー評価のための実践的な帰結は3つの見出しの下にまとめられます。
第一に、PQCサポートはロードマップ項目としてではなく、基本能力としてチェックされるべきです。「2027年のバージョンでML-KEMをサポートします」と「ML-KEMは現行バージョンにあります」は同じことではありません。ハイブリッド移行は実際の本番検証を要求し、それには機能が今利用可能であることが必要です。
第二に、PQC実装のFIPS 140-3検証ステータスは規制対象セクター — 政府、防衛、銀行 — にとって重要です。検証は採用に遅れるため、調達のタイムラインに組み込まれるべきです。
第三に、運用上のストーリーは暗号的なものより重要かもしれません:ADCがPQCサイズの下で証明書管理ワークフローをどう扱うか、より大きなハンドシェイク予算のためにどうチューニングするか、PQC対従来のセッション分布をどう報告するか。数学は確立しました。運用はまだ業界全体で解決されつつあります。
TR7のモダンテクノロジーのポジショニングには、現行バージョンでのML-KEMとML-DSAのサポートが含まれます。将来の機能ゲートとしてではありません。これを可能にするアーキテクチャ上の選択は、HTTP/3とゼロダウンタイム更新を可能にするものと同じです:TR7はクリーンな出発点から構築され、これらの要件以前のアーキテクチャに後付けされたものではありません。2026年のベンダー評価の一環としてPQCの準備状況を測定する組織にとって、このゼロからの姿勢は決定を容易にする要素です。
参考文献と出典
2024年8月 — 複数年にわたる選定プロセスを経て、FIPS 203 (ML-KEM)、FIPS 204 (ML-DSA)、FIPS 205 (ML-SLH) を公開。https://csrc.nist.gov/projects/post-quantum-cryptography
Commercial National Security Algorithm Suite 2.0は、米国の国家安全保障システムのポスト量子暗号への移行の目標年として2030年を定めています。https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3148990/
ML-KEM (Kyber) のパラメータセット、暗号文サイズ、セキュリティ特性を含む完全な仕様。https://csrc.nist.gov/pubs/fips/203/final
ML-DSA (Dilithium) の署名サイズ、検証、セキュリティ分析を含む完全な仕様。https://csrc.nist.gov/pubs/fips/204/final
TLS 1.3のためのハイブリッドポスト量子鍵交換グループ識別子を定義するインターネットドラフト。https://datatracker.ietf.org/doc/draft-ietf-tls-hybrid-design/
2030年を含め、次に来るもののために構築
TR7のエンタープライズADCは、現行バージョンでML-KEMとML-DSAをサポートします — 従来とポスト量子のアルゴリズムを組み合わせるハイブリッドTLSモードを含みます。HTTP/3、QUIC、ゼロダウンタイム更新、そしてポスト量子暗号は同じアーキテクチャ上のコミットメントの一部です:古いものに後付けするのではなく、次に来るもののために構築すること。
TR7 モダンテクノロジーを探る