量子耐性6G：プロトコル法案と、その後に迫る光子

by Simon McCorkindale May 12, 2026

6G標準化はまだ数年先だが、その暗号化の選択はすでに行われつつある。ファイブアイズのPQC移行期限はすべて、最初の商用6Gラジオが期待される時期より前に設定されている。東芝ブリストル研究所の新論文は、NISTが標準化したプリミティブが実際の通信関連ハードウェア——デスクトップクラス、ARMクラスのエッジ、そして意図的なネットワーク障害下——でどのように動作するかをベンチマークしている。この知見は6G移行を計画している者にとって有益だ。論文の最終文——格子ベース暗号の物理層補完としてQKDを指摘している——は間違いなくより有益であり、同じ2週間に発表された他の3本の論文が、その物理層がほとんどの事業者が気づいているよりも速く実用段階へ進んでいることを示唆しているからだ。

参照： arXiv 2605.06881v1、Kudaloor & Aijaz（東芝ブリストル研究・イノベーション研究所）、IEEE Communications Standards Magazine 受理、2026年5月7日。

論文の測定内容

著者らは、NISTが標準化したPQCプリミティブ——それらを呼び出すTLSのようなプロトコルとは区別される、基礎となる暗号アルゴリズム（ML-KEM / Kyber、ML-DSA / Dilithium、Falcon）——をliboqs（Open Quantum SafeプロジェクトのリファレンスCライブラリ）、openssl speed、および2つのリファレンスプラットフォームでの完全なTLS 1.3ハンドシェイクを通じて評価している。プラットフォームは、コアを代表するIntel Core i7と、ARMクラスのエッジ/IoTシリコンを代表するRaspberry Pi 4だ。ハンドシェイクはセッション再開なしで測定されている——つまり、すべての接続は完全な鍵交換と証明書検証であり、以前のセッションチケットの高速再利用ではない——これは移行コスト見積もりの保守的ケースだ。著者らはプリミティブを単独で、理想的な条件下での完全なハンドシェイク、およびtc netem（制御された遅延、パケットロス、並べ替えをネットワークインターフェースに注入するLinuxカーネルユーティリティで、実際の無線条件をラボでシミュレートするために使用）による意図的なネットワーク障害下でのハンドシェイクをベンチマークしている。また、アルゴリズムレベルでの暗号文の膨張と、プロトコル層での対応するTCPペイロードの増加も表にまとめている。

論文から持ち出す価値のある結果が3つある。

ハンドシェイクのコストは管理可能だが、ゼロではない。ハイブリッドX25519MLKEM768は、TLS 1.3ハンドシェイクに従来のX25519と比べて約2 KBを追加する。ML-DSA署名を加えると、それは約10 KBに達する。デスクトップクラスのコアではCPU使用率はほとんど変化しない。接続あたりのエネルギー消費は約36%高い。セッション単位ではわずかな差だ。しかし、全国規模の6Gネットワークが日々生成する何十億もの短命なセッション全体では、電力予算の一項目となる。

制約のあるハードウェアでは結果が異なる。i7では、ML-KEMの鍵生成は従来のX25519と同程度で動作する。Raspberry Pi 4では、従来方式がすべてのML-KEM変種にわたって明確な優位性を保ち、i7はあらゆる点でPiの約2倍高速だ——この差はマイクロアーキテクチャとSIMD幅（シングル命令マルチデータベクトルユニットであり、x86の方が組み込みARMより幅広く成熟している）による。そのようなリソースはセンサー、メーター、ハンドセット内のシリコンには豊富にない。著者らは明確に述べている：PQCは高性能プラットフォームでは競争力があるが、制約のあるプラットフォームではパラメータの選択と暗号文サイズが決定的だ。

回線は問題ない——問題が生じるまでは。損失のないラボ条件下では、PQC対応TLSは従来のものと概ね同等だ。50ミリ秒の遅延、または20ミリ秒と0.5%のパケットロスを導入すると、Falcon-512のハンドシェイクスループットは5,600から数十まで崩壊する。ハンドシェイクのスケーラビリティは、著者らの言葉を借りれば「強くネットワークに制限される」。ベンダーのベンチマークは通常ループバックで実行されるが、展開先は無線環境だ。

その影響はエンジニアだけでなく、標準化機関にも及ぶ。PQCはドロップイン代替ではない：鍵サイズが異なり、ハンドシェイクのセマンティクスが異なり、障害モードも異なる。3GPPは、認証・鍵合意においてPQCとハイブリッドスキームがどのようにネゴシエートされるかを規定しなければならない。ETSIは、事業者が段階的に導入できる移行プロファイルを公開しなければならない。GSMAは、それをローミングと移行期間中の証明書管理に関するガイダンスに変換しなければならない。これはいずれも完了していない。すべてが6Gの重要なパス上にある。

最終文が担う重要な役割

論文の最終行——「ML-KEMのような格子ベースのスキームとQKDのような物理層アプローチを組み合わせることで、長期的に安全でレジリエントな6Gネットワークを支えることができる」——は読み返す価値がある。PQCは、限定的かつ把握可能なハンドシェイクコストを持つレイヤー7の問題だ。QKDは、光ファイバーが単一の事業者に属し、脅威モデルが国家レベルの敵による「今収集して後で復号する」攻撃であるネットワークの区間に対するレイヤー1のオプションだ。両者は代替関係にない。同じネットワークの異なる層に位置している。そして物理層は動き始めている。

3週間で3段階、実用化へ

IonQ + Florida LambdaRail、2026年4月27日。FLRの1,540マイルの研究・教育（R&E）専用ダークファイバーバックボーン——大学や研究機関が商用通信ネットワークと並行して相互間で運用する種類の専用NREN基盤——にIonQのQKDを展開するためのマスターサービス契約。最初のフェーズは、パームビーチとマイアミデードを結ぶ100マイルの3ノード回廊で、米国初の州全域量子安全ネットワーク構想だ。スイスとルーマニア（RoNaQCI）でのIonQの既存展開に続くもの。テストベッドではなく、本番環境のファイバーだ。

Wang et al.、Light: Science & Applications、2026年5月9日。テレコムCバンドのオンデマンド量子ドット単一光子源を使用した、標準ファイバー120 kmにわたるタイムビンQKD。6時間の連続無人運用で持続的に約15 bpsのセキュア鍵レートを達成。レートは控えめだが、固体素子であり、環境変動に対して本質的に堅牢で、手動の再調整なしに動作したシステムだ。

Albrechtsen et al.、arXiv 2510.09251（Niels Bohr / Sparrow Quantum / Bochum / Basel、2025年10月）およびAnisimov et al.、arXiv 2605.03717v1（HZDR Dresden、2026年5月）。2つの相補的なハードウェア。前者は、シリコンフォトニクスおよび標準CMOSドライブ電圧と互換性のある導波路内のテレコムバンド量子ドット光子源——長距離QKDの送信側であり、産業用基板上にある。後者は、テレコムOバンドおよびCバンド発光を持つ炭化シリコン中の塩素欠陥量子メモリで、室温でスピン活性であり、ウェーハスケーラブルなプラットフォーム上にある——量子リピーター問題のメモリ側だ。

送信側はテレコムバンド、メモリ側もテレコムバンド、両方とも産業用基板上にあり、今日あなたのML-KEMハイブリッドTLSを運ぶ同じファイバー上にある。

世界の現状

QKDのニュースを読んでいると、世界中の事業者が実際よりもはるかに先を進んでいると思いがちだ。しかしデータはそうではないことを示している。世界100社以上の携帯事業者を対象としたGSMAインテリジェンスの2025年事業者量子調査では、何らかの形でQKDを展開しているのは20%に過ぎず、稼働中のIoTデバイスの8%が量子安全——つまり、調査対象の事業者の約80%はQKDに着手しておらず、IoTデバイスの90%以上がリスクにさらされたままだ。2022年にIBMとVodafoneが主導し、現在業界議論の中心となっているGSMAポスト量子テレコムネットワークタスクフォースには、50社以上の通信会社と20社以上の主要事業者が参加している。重要ではあるが、世界の事業者ベース全体からすれば一部に過ぎない。

目に見えるリーダーは少数だ。TelefónicaはQuantum Technology Centre of Excellenceを2025年に立ち上げた。Deutsche TelekomはBerlin Quantum Labを2023年から運営している。VodafoneはGSMAタスクフォースの共同創設者だ。SingtelはエンタープライズにマネージドQKDセキュリティサービスを販売している。KDDI、NTT、BT、Orange、SK TelecomはいずれもQKDパイロットを実施している。2026年3月にMWCバルセロナで発表したTier-1キャリアのQuSecureは、プロキシメッシュアプローチにより既存の通信インフラにX25519+ML-KEM-768ハイブリッドTLSを展開している——通信事業者の本番インフラにおけるポスト量子TLSの最初の発表事例研究だ。GSMAの数字によると、世界のその他の事業者の大半はまだ暗号インベントリの作成と計画段階にある。

NZの現状

ニュージーランドの立場は、世界の平均的な事業者の立場と概ね一致している——リーダーでもなく、特別に遅れているわけでもない。4月のスキャンでは、NZの通信会社がパブリックウェブエッジ（移行が最も容易な領域）でオリジン側のポスト量子TLSを運用していないことが示された。KudaloorとAijazの論文が実際にベンチマークする5Gコアとシグナリングプレーンはさらに数層深いところにあり、それらについての公開データはない。ここの事業者はTelefónica、Deutsche Telekom、Vodafoneが公表しているような量子安全ロードマップをまだ発表しておらず、Florida LambdaRail、Australian Quantum Network、シンガポールのNational Quantum-Safe Networkに相当するNZのものは現在存在しない。REANNZ——FLRと役割が同等のニュージーランドのNREN——は両島間に100 Gbpsのファイバーを運用し、ChorusとLocal Fibre Companiesは商用アクセスファイバーを運用し、海底ケーブルはシドニー、ハワイおよびその先へ延びている。現在、それらのいずれも量子鍵を運んでいないし、量子安全ネットワークインフラはNZIATの量子技術発見プロセスの範囲（現在示されている通り）にも、DPMCの重要インフラ諮問にも現れていない——後者については、私たちが4月に提出した通り、暗号についてまったく言及していない。

重要なのはNZが特別に遅れているということではない——GSMAの数字によれば、世界全体のバーは低く、ほとんどの事業者はまだ展開より計画段階にある。重要なのは、バーは動いており、リーダーたちは差を広げつつあり、計画は後でよりも今行う方が有益だということだ。KudaloorとAijazの論文は、NZの事業者が他の国々と同じスケジュールで行うべき6G PQC移行の議論にとって有益な資料だ。その背後にある3つのQKD進展は、私たちがまだ行っていないように見える量子ネットワークの議論にとって有益な資料だ。

最後に行くことに賞はない。

Kaysecは、ニュージーランドを拠点とする量子技術企業Spinsphereのポスト量子セキュリティ部門です。私たちはNZの組織が暗号インベントリの作成、HNDLリスク評価、PQC移行計画を行う際に支援します。お問い合わせ。