株式会社 ECSEC Laboratoryのホームページ

内閣官房に設置されている「政府機関等における耐量子計算機暗号（PQC）利用に関する関係府省庁連絡会議」は、2025年11月19日（水）に開催された第２回会議において、政府機関などにおける耐量子計算機暗号への移行方針を示す「政府機関等における耐量子計算機暗号（PQC）への移行について（中間とりまとめ）」を公表しました。そこで、2026年5月の本コラムでは、2026年 3月30日（月）に改定されたCRYPTREC暗号リスト（電子政府推奨暗号リスト（2022R2））に新たに含まれた耐量子計算機暗号（PQC）リストが与える影響について解説していきます。

中間とりまとめでは、今後の量子計算機技術の進歩により、現在広く利用されている公開鍵暗号（RSAやECDSA等）の安全性が低下し、危殆化することを前提に、原則2035年までにPQCに移行することを目標とする内容になっています。このPQCに移行する上でまず必要となってくるのは、どのようなPQCが必要なのかを政府側から示される必要があり、今回のCRYPTREC暗号リストの改定（2022R2）はその具体的な一歩と考えられます。

CRYPTREC（Cryptography Research and Evaluation Committees ）は、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトです。デジタル庁、総務省及び経済産業省が共同で運営する暗号技術検討会と、国立研究開発法人情報通信研究機構（NICT）及び独立行政法人情報処理推進機構（IPA）が共同で運営する暗号技術評価委員会及び、暗号技術活用委員会で構成されています。

今回のCRYPTREC暗号リストの更新（2022R2）における最大のポイントは、＜表２ 耐量子計算機暗号（PQC）リスト＞が記載されたことです。このリストに記載された暗号技術は、現行暗号の解読に利用可能な水準の量子計算機（CRQC: Cryptographically Relevant Quantum Computer）への耐性を有することが確認された暗号技術です。以下に、2022R2の＜表２ 耐量子計算機暗号（PQC）リスト＞を参考のために引用します。

＜表２ 耐量子計算機暗号（PQC）リスト＞
現行暗号の解読に利用可能な水準の量子計算機（CRQC: Cryptographically Relevant Quantum Computer）への耐性を有することが確認された暗号技術のリスト⁴。

（注８）セキュリティのカテゴリを合わせて記載する。各カテゴリはNIST の

　　　　 “Submission Requirements and Evaluation Criteria for the Post-Quantum 

　　　　Cryptography Standardization Process”に従い、次のように、カテゴリ名の

　　　　右に記載の鍵探索又は衝突探索と同程度以上の計算資源が攻撃に必要である

　　　　ことを意味する。
　　　　　・Category 1 128ビット鍵を持つブロック暗号に対する鍵探索
　　　　　・Category 2 256ビットのハッシュ関数に対する衝突探索
　　　　　・Category 3 192ビット鍵を持つブロック暗号に対する鍵探索
　　　　　・Category 4 384ビットのハッシュ関数に対する衝突探索
　　　　　・Category 5 256ビット鍵を持つブロック暗号に対する鍵探索

　　　　https://csrc.nist.gov/CSRC/media/Projects/Post-Quantum-Cryptography/ 

　　　　documents/call-for-proposals-final-dec-2016.pdf （令和８年３月25日現在）

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
4    暗号技術の耐量子計算機暗号（PQC）リストへの追加について検討中である。
https://www.cryptrec.go.jp/report/cryptrec-mt-1501-2026.pdf

以下、リストに記載されている暗号アルゴリズムの簡単な説明です。
・公開鍵暗号 署名：名称欄は「‐」ですが、これはまだ現行暗号の解読に利用可能な水準の量子計算機への耐性を有することが確認された暗号技術が現時点ではないことを示しているだけで、今後の更新で耐性を有することが確認された暗号技術が記載されるでしょう。
・ML-KEM：ML-KEM（Module Lattice Key Encapsulation Mechanism）は安全な鍵交換を行うアルゴリズムです。ML-KEM により、二者が安全でないチャネル上で共有秘密鍵を確立することが可能になります。
・AES：AES（Advanced Encryption Standard）は、現代のデジタルセキュリティで最も広く使われる「共通鍵暗号方式」の標準技術。高速かつ非常に強固なため、Wi-Fi通信、ファイルの暗号化、クラウド上のデータ保護、オンライン決済など、機密情報を守る用途で幅広く利用されています。
・SHA2、SHA3：WebサイトのSSL/TLS証明書や電子署名、パスワード保存において、データの改ざん検知や真正性（なりすまし防止）を保証するために使われる暗号学的ハッシュ関数です。SHA3は現行のSHA2の補完となる別系統の設計によるハッシュ関数です。

これらのPQCアルゴリズムの利用は、原則2035年までに政府調達に対する要求事項として、求められることとなると考えられます。また、「IT 製品の調達におけるセキュリティ要件リスト （第 2.1 版） 令和８年２月６日 経済産業省」、セキュリティ要件適合評価及びラベリング制度（JC-STAR）★3の適合要件としても今後はPQC対応を求められていくとも考えられますので、自社製品の政府調達化を検討されている機器ベンダーの皆様におきましては、対応の検討を具体的に考えるべきタイミングになってきていることを社内で共有することが必要かと思われます。

現在、PQCの標準化で日本の一歩先を行くNIST（米国立標準技術研究所）においては、
・FIPS 203：鍵交換 CRYSTALS-Kyber(ML-KEM)
・FIPS 204：署名 CRYSTALS-Dilithium(ML-DSA)
・FIPS 205：署名 Sphincs+(SLH-DSA)
の3つのアルゴリズムが標準化されており、更に
・FIPS 206：署名 FALCON(FN-DSA)
の標準化が進行中です。標準化されているアルゴリズムについては、ECSEC Lab.で試験の実施が可能です。また、これらのアルゴリズムに先行してPQCアルゴリズムとして利用可能な、ステートフル・ハッシュベース署名（LMS (Leighton-Micali Signatures)/XMSS (eXtended Merkle Signature Scheme)）が、SP 800-208として規格化されており、現在はLMSのみCAVP試験が可能です。

米国ではNSA（アメリカ国家安全保障局：National Security Agency）のCNSA 2.0（商用国家安全保障アルゴリズムスイート2.0：Commercial National Security Algorithm Suite 2.0（IPA訳版））でも、NSS（国家安全保障システム:National Security Systems）内の商用製品のクラスではCNSA 2.0アルゴリズム（PQCアルゴリズム）の使用が2030年（OS、ブラウザ等の一部は除く）から義務付けられますので、米国政府調達機器のベンダーの皆様、米国政府調達機器のベンダーへOEM/ODM供給する機器ベンダーの皆様は、こちらへの対応も必要となるでしょう。