RSA廃止2030への備え:ML-KEM(FIPS 203)企業移行計画の立て方

2030年はRSA-2048とECC P-256が暗号標準から廃止される年だ。NIST(米国国立標準技術研究所)はNIST IR 8547で、2030年を境にRSA-2048・ECC P-256・Diffie-Hellman 2048ビットを使用不可と定め、2035年までに全標準から削除する工程を示している[2]。企業が完全移行に要する期間は2〜5年とされており、2026年に着手しなければ2030年には間に合わない[2]。

NIST FIPS 203(ML-KEM、旧CRYSTALS-Kyber)は2024年8月13日に正式公開された。量子コンピューターによる現行暗号の解読リスクに備えるPQC(Post-Quantum Cryptography、耐量子暗号)の標準として、今後数年のうちに企業インフラへの組み込みが必要になる[1]。

PQC移行が必要な背景

現在広く使われているRSAやECCの安全性は、大きな数の素因数分解や楕円曲線離散対数問題の計算困難性に依存している。古典コンピューターでは現実的な時間で解けないが、量子コンピューターはShorのアルゴリズムを用いてこれらを多項式時間で解く理論的な能力を持つ。

「今はまだ量子コンピューターは実用段階でないのでは」という反論があるが、問題はタイムラインだ。

  1. HNDL(Harvest Now, Decrypt Later)攻撃:現在の暗号通信を傍受・保存しておき、将来の量子コンピューターで復号する手法がすでに想定されている。今日送信する機密通信は将来解読されうる。

  2. 移行期間の長さ:システム全体の暗号ライブラリ・証明書チェーン・VPN装置・HSMの入れ替えには数年かかる。2030年に廃止が確定してから始めるのでは間に合わない。

  3. 規制の先行:NSA CNSA 2.0は2027年から国家安全保障システムの新規導入にPQCを義務付け、2033〜2035年に完全移行目標を設定している[2]。米国政府の調達基準が先行するため、グローバルな取引や政府調達を行う企業は影響を受ける。

移行対象の優先順位

すべてのシステムを同時に移行するのは非現実的で、リスクと対応コストから優先順位を付ける。推奨順序は次の通りだ。

優先順位対象理由
1HSM(ハードウェアセキュリティモジュール)機器の物理的リプレースが必要で調達リードタイムが長い
2CA(認証局)証明書チェーンルートCA・中間CAの更新が全証明書に影響
3TLSライブラリ(OpenSSL・BoringSSL等)WebサーバやAPIの通信暗号化の基盤
4VPNアプライアンスIKEv2でのPQC鍵交換対応が必要
5コード署名インフラソフトウェア配布の信頼チェーン全体に影響
6認証トークン(JWT・OAuth等)アプリ層の移行で対応

現在地:クラウドプロバイダーの対応状況

大手クラウドプロバイダーはすでにPQCの組み込みを進めており、顧客への波及は始まっている。

AWS:ALB・NLB・CloudFront・KMS・ACMでML-KEMを用いたハイブリッドPQ鍵交換を既定有効化。CRYSTALS-Kyber(旧標準)から正式なML-KEMへの移行が2026年内に完了予定[3]。Workload Credentials ProviderもPQCに対応。

Cloudflare:人間が起点とするWebトラフィックの50%超をX25519MLKEM768(Diffie-HellmanとML-KEMのハイブリッド)で保護済み(2025年10月時点)。

Google:Chrome 131以降でX25519Kyber768によるハイブリッドPQCをデフォルト有効化。

企業が今すぐ始める移行ファーストステップ

1. 暗号資産インベントリ(Crypto Agility Assessment)の作成:組織内でRSA・ECCを使っているシステムを網羅的にリストアップする。TLS証明書・コード署名証明書・HSM・VPN設定・JWT署名鍵が主な対象だ。

2. TLSライブラリのバージョン確認:OpenSSL 3.2以降がML-KEMのハイブリッドモードをサポート。使用中のOpenSSLバージョンを確認し、3.2未満であれば計画的にアップグレードする。

3. テスト環境でのハイブリッドPQC評価:本番移行前に、Cloudflareのpq-interopテストサーバやAWSのPQCテストエンドポイントで実装をテストする。

4. HSMリプレース計画の策定:調達リードタイムが最長のHSMから移行計画に組み込む。FIPS 140-3認定のPQC対応HSMを選定する。

まとめ

2030年のRSA廃止まで4年を切った。「2〜5年かかる」移行を2026年に始めれば間に合う計算だが、先行するのはHSMと証明書チェーンの評価から始めることだ。クラウドプロバイダー側の対応は進んでいるが、クライアント側ライブラリ・社内VPN・HSMは各企業の責務で対応が必要だ。

よくある質問(FAQ)

Q1. ML-KEMとCRYSTALS-Kyberは何が違いますか?
同じアルゴリズムの異なる名称です。CRYSTALS-KyberはNISTの標準化プロセスで候補として使われた名称で、FIPS 203として標準化されたバージョンからML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism)という正式名称になりました。

Q2. ハイブリッドPQCとは何ですか?
従来の鍵交換(例:X25519/ECDH)とML-KEMを組み合わせて、どちらか一方が破られても安全性を保つ方式です。量子コンピューターが現実になる前の移行期に、安全性の連続性を保つための実用的な手法です。

Q3. 日本企業はどの規制に対応が必要ですか?
現時点(2026年)では日本独自のPQC義務化規制はありませんが、NIST標準を参照する暗号ポリシーを持つ組織(政府系・金融・防衛産業等)は対応が求められます。またAWS等がML-KEMをデフォルト化するため、クライアント側が古い実装を使い続けると接続互換性の問題が生じます。

出典

[1] NIST, “NIST Releases First 3 Finalized Post-Quantum Encryption Standards” (2024-08-13) https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards

[2] Jugger Insight, “NIST Post-Quantum Cryptography Enterprise Guide 2026” https://juggerinsight.com/en/nist-post-quantum-cryptography-enterprise-guide-2026/

[3] AWS, “Migrating to Post-Quantum Cryptography” https://aws.amazon.com/security/post-quantum-cryptography/migrating-to-post-quantum-cryptography/