レポート

アルゴリズムは完成した。インフラはまだだ。

by Simon McCorkindale

2026年5月第2週に発表された3本の論文は、ポスト量子移行スタックのそれぞれ異なる部分を取り上げている。次世代デジタル署名候補に関するNISTの新たな報告書、本番稼働中の銀行でのPQC概念実証デプロイ、そしてRaspberry Piハードウェア上で動作するFN-DSA実装だ。合わせて読むと、3つの角度から同じメッセージが伝わってくる――アルゴリズムはもはや問題ではない。問題は運用にある。

NISTは保険をかけている

5月14日、NISTはIR 8610を公開し、追加デジタル署名プロセスの第3ラウンドに9つのアルゴリズム候補を進めた。9つの生き残り候補――FAEST、HAWK、MAYO、MQOM、QR-UOV、SDitH、SNOVA、SQIsign、UOV――は4つの異なる数学的ファミリーにまたがっている。5つの候補は脱落した。

NISTがこのプロセスを開始した理由は明確に述べる価値がある。既存の3つのポスト量子署名標準のうち2つ、ML-DSA(FIPS 204)とFN-DSA(FIPS 206、2027年予定)は格子ベースだ。もし誰かがModule-LWEの困難性仮定を破れば、両者は同時に崩壊する。SLH-DSA(FIPS 205)は生き残るが、その署名は最大17 KBに達し――唯一残る選択肢としては大きすぎる。NISTは保険を構築しているのだ。

最も注目すべき数値はSQIsignのもので、NISTセキュリティカテゴリ1において148バイトの署名を実現し、RSA-2048より小さい。DNSSEC、ファームウェア署名、IoT認証において、このコンパクトさは変革的だ。HAWKは整数のみの演算を提供し、専用FPUなしではマイクロコントローラ上での安全なデプロイが困難なFN-DSAの浮動小数点要件を排除する。多変数候補(UOVファミリー)は2025年のウェッジ攻撃に耐えて生き残った――NISTはその署名コンパクト性が独自であるため残したが、標準化は他よりも時間がかかるだろう。

このいずれも、2026年に組織が行うべきことを変えるわけではない。ML-DSAとSLH-DSAは最終標準だ。追加署名プロセスは、楽観的に見ても2028〜2030年以前に最終版を生み出さないだろう。IR 8610の実践的な意味はより限定的だが重要だ。アルゴリズムの選択を、コードに組み込まれた定数としてではなく、切り替え可能なポリシー決定として扱うこと。NISTは自らが最近公開した標準と並行して明示的に別トラックを走らせている。クリプト・アジリティこそが唯一の合理的な対応だ。

運用上のボトルネック

NTU/OCBCの論文は、より差し迫った問題を取り上げている。今日実現できる移行が、なぜ実際には行われていないのか?

研究チームは自動化されたTLS設定解析フレームワークを構築し、公開GitHubリポジトリから収集した8,443件の実際のNginx設定ファイルに適用した。量子脆弱性の所見は明確だ。測定したコーパスにおいて、ポスト量子ハイブリッド鍵交換の採用率はゼロだ。X25519MLKEM768は4つの設定にのみ登場し、曲線を明示的に指定している設定の0.8%にすぎない。より即座に懸念されるのは、28.9%が前方秘匿性のないRSA鍵交換を使用していることで、これは量子ハードウェアを必要としない事前量子脆弱性であり、将来的な鍵の漏洩さえあれば悪用できる。さらに21.8%はTLS 1.0または1.1を依然として許可している。

論文の核心的な主張は、ボトルネックはアルゴリズムではなく運用にあるということだ。X25519MLKEM768は現在のOpenSSLとBouncyCastleで利用可能だ。アルゴリズムは存在する。ライブラリもサポートしている。組織に欠けているのは、各TLSエンドポイントが実際に何を許可するよう設定されているかについての正確な可視性だ――ライブハンドシェイクで何をネゴシエートするかではなく、設定ファイルの中でどんなフォールバックが休眠しているか、どんなネットワークスキャナーにも見えない状態でいるか、ということだ。

可視性が確立されれば移行が実現可能であることを実証するため、チームはシンガポールのOCBC BankでハイブリッドPQCをデプロイした。ApacheウェブサーバーとJava/Spring Boot APIゲートウェイの両方をX25519MLKEM768に移行した。バンキングアプリケーションへの変更はゼロ。パフォーマンスオーバーヘッド:接続確立+23%(24.7 msから30.4 ms)、エンドツーエンドレイテンシ+1.3%、100同時クライアント下でのエラーゼロ。教訓は、TLS終端は保護するアプリケーションとは独立して移行できるということだ。注意すべき点として、HSMバックの秘密鍵を持つ組織は移行開始前にHSMファームウェアの互換性を評価する必要がある。移行中にHSMの非互換性を発見することは、デプロイ前スキャンで防止できる一般的な失敗パターンだ。

制約のあるハードウェア上のPQC

FeingoldとYuは、liboqs、oqs-provider、OpenSSL、mosquittoのオープンソーススタックを使用したMQTTモーションセンサーネットワークを実行する3台のRaspberry Pi 5にFN-DSA(FALCON-1024)を導入した。その結果は一般的な仮定に反するものだった。FALCON-1024の証明書生成は同一ハードウェア上でRSA-2048の320 msに対して平均約69 msと、約4.5倍高速だった。RSA証明書生成は大整数の素数テストとモジュラー指数演算が支配的だが、FALCONはNTRU格子多項式演算と高速フーリエ変換を使用し、制約のあるシリコン上の同等セキュリティレベルにおいて真に効率的だ。

率直な注意点として、FALCONのガウスサンプリングは浮動小数点演算に依存しており、タイミングリークとサイドチャネルリスクを生じさせる。物理的にアクセス可能な環境でのIoTデプロイには、サイドチャネル耐性のために明示的に設計された類似スキームであるSOLMAEが、論理的な次のステップとして特定されている。

実践的なポイントは、オープンソーススタックだ。liboqs + oqs-provider + OpenSSL + mosquittoはすべて公開されており、今日すでに市販のARMハードウェア上で動作している。

NZの考察

私たちの4月のスキャンでは、NZの上水道、下水道、交通セクター全体でオリジン側のPQCがゼロだった。医療分野は総計80%がPQCポジティブだったが、オリジンではゼロ――すべての結果はCDN経由で配信されていた。NTU/OCBCの論文はそのメカニズムを説明している。組織は内部サービスメッシュやAPIゲートウェイが何を実行しているかはもちろん、自社のTLS設定がフォールバックとして何を実際に許可しているかを把握していない。CDNがデフォルトでポスト量子TLSを有効にすることは有用だが、それはエッジを測定するものであって、境界を測定するものではない。

OCBCの概念実証は、まだ移行していないNZの銀行にとっての「これが始め方だ」というテンプレートだ。ASB、BNZ、Westpac、Kiwibankはすべて、4月のスキャンでオリジン側のPQCがゼロだった。NTU/OCBCのデプロイは、同等の機関が管理可能なオーバーヘッドでアプリケーション変更なしにTLS終端レイヤーを移行できることを実証している。運用テンプレートは存在する。

Raspberry Pi上のFALCONの結果は、NZの水道・エネルギーIoT資産に残っている言い訳を打ち砕く。DPMC重要インフラ法案は2026年後半に予定されている。今から暗号インベントリを開始する組織は、法案が施行された時点でデフォルトで準拠していることになる。

最後になることに賞はない。

参考文献:

  • NIST IR 8610 — Alagic et al.、NIST、2026年5月14日。
  • arXiv 2605.17955v1 — Balaji et al.、南洋理工大学 / OCBC Bank、2026年5月18日。
  • arXiv 2605.13698v1 — Feingold & Yu、クリーブランド州立大学、2026年5月13日。

Kaysecは、ニュージーランドを拠点とする量子テクノロジー企業Spinsphereのポスト量子セキュリティ部門です。私たちはNZの組織の暗号インベントリ、HNDLリスク評価、TLS設定監査、PQC移行計画を支援しています。お問い合わせ