PQC移行時に企業は何から始めるべき？高木教授が説く、ベンダーが売り込む「欠陥PQC」の見分け方

アメリカに続き、日本もやっとPQC移行へ動き出した

　アメリカのNIST（米国国立標準技術研究所）が主導するPQC（耐量子計算機暗号）の標準化と、2030年からの現行暗号の段階的廃止。前編で触れたこの明確なタイムリミットに対して、日本の対応はやや出遅れていた。しかし今、政府主導での巻き返しが本格化している。

　「ITシステム全般に言えることだが、日本はPQCへの対応においてもアメリカに主導権を握られ、周回遅れになりかけていた。民間企業からも『政府が旗振りをしてくれないと、勝手に動けない』という声が数多く上がっていた」と、東京大学 大学院情報理工学系研究科の高木剛氏は語る。

　その状況が大きく動いたのが、2025年11月のことだ。内閣官房 国家サイバー統括室が「政府機関等における耐量子計算機暗号（PQC）への移行について」という中間とりまとめを公表した。

　「政府が『原則として2035年までにPQCへの移行を行うことを目指す』と明言し、来年度（2026年度）にロードマップを策定すると発表しました。これは非常に大きな転機であり、この方針が示されたことで、ようやく民間のシステム担当者たちも実装に向けた準備を本格化させはじめました」（高木氏）

　すでに金融業界など、データの長期的な秘匿性が極めて重要な分野では、政府の動きを待たずに独自の要請を出したり、先行して対策を進めたりしている。今後はこのロードマップをもとに、総務省や経済産業省、デジタル庁などが連携し、全産業に向けた移行指針が順次示されていく見通しだという。

　また、PQC移行を下支えしているのが、高木氏が委員長を務める「CRYPTREC（電子政府推奨暗号リスト）」の暗号技術評価委員会だ。CRYPTRECは、政府機関が情報システムを調達する際に「どの暗号なら安全に使ってよいか」を定めたホワイトリストを作成・管理している。

　「リスト自体は技術名が並んでいるだけの非常にドライな文書ですが、これが政府の調達基準や各種法令に紐づく極めて重要なものです。すでに我々は去年の3月にPQCの第一版リストを公表しました。安全性が確認されたものから順次リストに追加し、民間企業もこれを参照することで、安全なPQC製品を選定するための判断材料になります」（高木氏）