未来を見据えた次世代暗号技術「耐量子暗号」への移行戦略

量子コンピューターの技術進展により、その驚異的な計算能力が現実のものとなりつつあります。一方で量子コンピューターが実用化されると「現在主流となっている暗号技術の安全性が根本から覆される」と、さまざまな論文が警鐘を鳴らしています。

この「量子コンピューターの脅威」に対抗するため、耐量子暗号（Post-Quantum Cryptography、以下PQC：量子コンピューターによる解読リスクに耐性を持つ新しい暗号方式）への移行が急務とされています。本稿では、PQCを取り巻く動きと、企業に与える影響、そして企業が取るべきアクションを包括的に解説します。

PQCの必要性

これまで情報通信の世界で広く利用されてきたRSAやECCなどの公開鍵暗号ですが、量子コンピューターの進歩によって、第三者による解読リスクが現実味を帯びています。

暗号が解読された場合、企業が保有する顧客情報や知的資産などの機密情報が、第三者の手に渡ってしまう可能性があります。さらに、暗号化されているデータをいまのうちに収集し、将来の量子計算機で解読する「Harvest now, decrypt later」戦略の攻撃手段も懸念されます。

この脅威に対し、世界各国をはじめ、日本でも金融事業者が率先して対策を推進しています。

• 米国 国立標準技術研究所（NIST）：PQCの標準化を完了（2024年）
• 米国 国家安全保障局（NSA）：国家安全保障に関わるシステムは2035年までにPQCへの移行を推奨（2024年）
• 欧州 欧州委員会：各加盟国へのPQC移行検討を促す勧告を発信（2024年）
• 欧州 EU18カ国のサイバー機関：PQC移行検討を促す声明を発表（2024年）
• 日本 金融庁：「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」を開催（2024年）
• 日本 内閣官房 国家サイバー統括室：「政府機関等における耐量子計算機暗号（PQC）への移行について（中間とりまとめ）」を公表し、政府機関等が2035年をめどにPQCへ移行する方針を示す（2025年）

※2025年12月時点での主要動向の抜粋

考慮すべき情報通信環境

暗号技術が果たす役割は、単に「データを暗号化する（機密性を確保する）」ことにとどまらず、「データが改ざんされていないことを保証する（完全性を保証する）」「なりすましを防止する（真正性を確保する）」「行動の事実を否定できないようにする（否認防止）」ことが挙げられます（図表1）。

図表1：暗号技術の利用目的と利用箇所の例

企業のデータ利用は多岐にわたりますが、これらの環境において解読リスクのある暗号技術を利用している場合は、PQCへの移行を段階的に実施することが必要です（図表2、図表3）。

企業における推奨対応

前段で述べたとおり、量子コンピューター技術の進展は、公開鍵暗号を前提とした現代のサイバー空間の安全性を根本から揺るがすものであり、日本でも米国でも政府機関に対する移行期限が明確化されはじめています。一方で、量子コンピューターの技術が飛躍的に進歩する「ブレークスルー」の発生タイミングは予測が非常に困難です。「政府が設定する期限までは安全」という保証はなく、さらに現在「Harvest now, decrypt later」という攻撃手法がすでに進行中とされており、実質的に安心できる期限はほとんど存在しないと考えられます。

さらに、PQCへの移行は単なるプロダクトのアップデートにとどまらず、企業全体のデジタル基盤（業務システム、ネットワーク、クラウド、データ連携、認証基盤、公開鍵暗号基盤等）と信頼インフラ（電子証明書、署名基盤、ID管理等）の広範な再構築が伴うため、長期的に取り組む必要があります。

その理由は、暗号技術が企業活動のあらゆる層に深く組み込まれ、単一システムの置き換えでは対応できないという構造にあります。具体的に言うと、1）暗号は通信、認証、データ保護など幅広い領域で利用されており、それぞれの依存関係を整理しながら段階的に進む必要があるだけでなく、2）クラウドやSaaS、ネットワーク機器などの外部ベンダー側の対応時期にも依存し、さらに3）移行期間中には旧方式と新方式が共存するハイブリッド運用が不可欠であり、鍵管理や証明書運用などの基盤レベルの再設計が求められます。PQC移行においては「クリプトアジリティ（Cryptographic agility）」、つまり暗号方式を柔軟かつ迅速に切り替えられる能力を設計原則として組み込むことが何よりも重要です。これにより、将来的な新たな脅威や標準変更にも対応できるような持続的なセキュリティ基盤を構築できます。

このような背景から、企業はPQCへの移行を早期に開始し、サプライチェーン全体を含めた戦略的な移行計画や体制を早急に整備することが求められます。

移行プロジェクトは「構想→準備→移行（対応）」の3ステップで進みますが、その実効性を確保するためには、図表4の①自社内の俯瞰と②エコシステムの俯瞰の双方の観点に注意しながら、全体感のある対応の下で進むことが重要となります。

図表4：移行プロジェクトの推進における要点

観点①：自社内部を俯瞰し、移行プロジェクトの全体像・役割・期限を把握・管理

暗号技術は企業のあらゆる領域で利用されますが、部門単位では全体像が把握しづらく、どこから着手すべきか判断できない状況に陥る可能性があります。そのため、まずは企業内部に目を向け、暗号を利用する業務、システム、部門横断の関係性（どの業務がどのシステムに依存し、どの部門が管理・運用しているか）を「全体像」として把握し理解する必要があります。

①-1 移行プロジェクトの全体構造を把握

移行プロジェクトを構想するにあたって、まずは全体の構造として、移行箇所、優先領域、社内リソースを把握した上で、最終的にロードマップに具体化します。

• どの業務（システム）がどういう暗号に依存しているかの把握
• どの領域を最優先で移行すべきかの検討
• 必要な工数、人材、予算などの試算
• 「構想→準備→移行」全体ロードマップの策定

①-2 「いつまでに、何を完了させるか」というタイムリミットへの意識

各国動向や業界ガイドライン（今後発行された場合）等を参照しつつ、自社の状況に合わせて期限を設定し、逆算してフェーズごとのタイムラインを設計します。特に、重要インフラ企業や金融業などでは、政府機関と同等の期限設定が求められるケースも想定されます。

①-3 部門ごとに果たすべき役割を俯瞰

PQC移行は単一部門では完結し難く、全社横断で連携して対応したほうが効率的に進められるため、以下を明確に定めた上で、事前に必要な理解・協力を得るように準備します。また、準備・移行フェーズでは各部門の対応状況を統合的に管理し、部門間調整を行うことが求められます。

• 各部門の役割
• 関与するタイミング

以下の図表5では、典型的な企業における部門別の役割を一例として整理しています。これはあくまで一般的な参照モデルであり、企業規模・業態・システム環境に応じた調整（例：クラウド中心の企業は外部ベンダーへの依存が高いため、より外部ベンダーの動向を注視する必要がある一方、オンプレミス中心の企業は、アプリ改修や公開鍵暗号基盤（PKI）など自社対応が多くなる）が必要です。

観点②：外部ベンダー・取引先・サプライチェーンを俯瞰し、エコシステム全体で整合性を確保

暗号技術は企業内部では完結できず、図表6で示すようにクラウド、SaaS、デバイス、認証局など、多くの外部ベンダーと連動して成り立っています。具体的には、企業の通信・認証・データ保護などの基盤機能の多くは外部サービス（VPN、認証局等）によって提供されており、暗号プロトコルの更新時期も外部ベンダーの対応時期に左右されるため、自社単独で移行を完了できず、エコシステム全体を俯瞰した移行を計画することが必要となります。

図表6：PQC移行時のエコシステム全体における相互の関係性

②-1 外部ベンダー・外部サービスの整理と対応状況の確認

• 社内で利用しているクラウド、SaaS、ネットワーク機器、セキュリティ製品など暗号技術に関連する製品・サービスを一覧化
• 上記製品・サービスの提供ベンダーを洗い出し、それぞれのPQC移行ロードマップ、サポート方針の確認
• 自社内の移行計画への影響評価

②-2 サプライチェーン全体の暗号依存を俯瞰

• 海外子会社、グローバル拠点の移行状況の把握、全体統括／推進
• 取引先が利用する暗号方式と移行方針の把握
• データ連携、API通信、EDI、電子契約などへの影響調査

②-3 社内と社外の整合性を意識

• ベンダーや取引先、グループ会社など、多くのステークホルダーとの共同テスト
• 移行時のリスク低減のための検証計画の策定

これら二つのアプローチは、単一部門による取り組みでは実現できません。経営による意思決定、ITインフラの刷新、サプライチェーンとの協働、そして全社的な意識改革が連携して初めて、量子時代の「信頼インフラ」が構築されます。

PwCの支援内容

これまで述べてきたように、PQC移行は単なる技術的なアップデートにとどまらず、企業の信頼の根幹を再構築する戦略的課題です。その道のりは、暗号資産の網羅的な棚卸しから、サプライチェーン全体を巻き込んだ移行計画の策定、そして段階的なシステム改修に至るまで、数年単位の期間を要します。さらに各ステップにおいては、技術的な実現可能性、ビジネスへの影響、外部環境の変化など、多岐にわたる要素を考慮した高度な意思決定が求められます。

こうした複雑かつ前例のない取り組みを、企業が自社のリソースのみで完遂することは決して容易ではありません。PwCコンサルティングは、この困難な変革に挑む企業に対し、構想から移行完了までをワンストップで支援する体制を整え、以下3つの価値を提供しています。

構想フェーズ：第三者視点による網羅的かつ客観的なロードマップ策定支援

移行の出発点となる構想フェーズでは、社内の利害関係から独立した中立的な視点が重要です。私たちは、同程度のプロジェクト経験や他社事例を踏まえた客観的なアプローチに基づき、自社では困難な暗号の依存関係の可視化を行い、ビジネスインパクトを評価します。これにより、外部動向を踏まえた実効性の高い優先順位付けと、現実的な移行ロードマップの策定を支援します。

準備フェーズ：リスク分析と暗号設計における、高度な専門性に基づく最適解の導出

PQCの技術的な選定や移行計画の具体化を進める準備フェーズは、深い技術的知見が求められる領域です。特にこの段階では、クリプトアジリティの観点から、暗号方式や鍵管理方式を柔軟に変更できる設計・運用体制の確立が不可欠です。これにより、PQC導入後も新たな標準追加や脆弱性発見時に迅速な対応が可能となります。PwCコンサルティングは、未来を見据えた管理設計・体制構築の支援とともに、事業内容やリスクプロファイルに応じた最適な暗号方式の選定ガイドや、外部ベンダー・SaaSなどとの技術的な整合性評価、相互接続テストの設計などにより、将来にわたって安全性を維持できるアーキテクチャの実現を支援します。

移行フェーズ：プロジェクトの成功を左右する要所における、確実かつ安全な実行支援

実際のシステム改修や証明書切り替えを行う移行フェーズでは、予期せぬトラブルが事業継続に致命的な影響を及ぼす可能性があります。PwCコンサルティングは、これまで数多くの複雑なシステム移行や大規模なプロジェクト管理を推進してきた豊富な実績の下、実践的なプロジェクト遂行能力を提供します。リスクを先読みし、影響範囲の特定や技術的な助言などを通して、プロジェクトの停滞や手戻りを未然に防ぎます。私たちがプロジェクトの重要な局面（要所）を守ることで、確実かつ安全な移行の完遂をサポートします。

以下の図表7は、PQC移行の各フェーズで検討すべき主要な事項と、それに対するPwCコンサルティングの具体的な支援範囲を整理したものです。

本稿が、企業の新たなリスクへの対応にとって有益な情報となり、PQC移行プロジェクトのスタートに寄与するものであれば幸いです。量子時代の「信頼インフラ」構築に係る挑戦にともに立ち向かい、成功を収めるための一助となることを願っています。