1. はじめに：なぜ今PQCなのか？

量子コンピュータの研究開発は近年急速に進展しており、従来の公開鍵暗号方式であるRSAやECCは、将来的に破られるリスクが現実的なものとなりつつあります。

特にShorのアルゴリズムにより、大規模な量子コンピュータが実用化された場合、現在広く使われている暗号基盤は短時間で解読される可能性があります。 

このリスクをさらに深刻にするのが「Harvest Now, Decrypt Later（今収集し、後で解読する）」という攻撃シナリオです。攻撃者は現時点では解読できない暗号化データを長期間保存し、将来量子コンピュータが実用化された段階で解読を試みます。このため、長期間保護が必要なデータを扱うシステムでは、すでに対策が必要です。 

また、各国における法規制対応が必要となる状況も徐々に進展しています。例えば欧州CRA（Cyber Resilience Act）では、製品に求められるセキュリティ特性要件の中で「最新の技術を用いて、データを暗号化する」（… by encrypting relevant data at rest or in transit by state of the art mechanisms）（※1）ことが示されています。ここでいう「最新の技術」とは、公開鍵暗号方式においてはPQCを指しています。

※ 1：European Union " REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL "

こうした背景から、量子耐性を持つ暗号技術（PQC：Post-Quantum Cryptography）への移行が加速しており、一般的な製品においてもPQCの実装が進んでいます。

例えば、Hewlett Packard社のPCは最下層のファームウェアをPQCアルゴリズムによって保護する機能を搭載しており、これはCPUなどのハードウェアデバイスをセキュアブートする際にPQCが必要となっていることを表しています（※2）。

※2：Tech＆Device TV " 「量子コンピューター攻撃」の処方箋――PQCによるハードウェア起点の防御戦略とは " 

2. PQC（耐量子計算機暗号）とは？

PQC（耐量子計算機暗号）とは、量子コンピュータによる攻撃に対しても安全性を維持できるよう設計された暗号アルゴリズムの総称です。

従来暗号が素因数分解や離散対数問題の困難性に依存しているのに対し、PQCは量子コンピュータの計算能力でも効率的に解けない数学問題に基づいています。 

公開鍵暗号方式とPQCアルゴリズムの仕組みに関して、初めて学習される方向けに、「図解で学ぶPQC入門」という簡易的な説明資料を用意しました。ぜひダウンロードいただき、理解の参考としてご使用ください。 

従来のRSAやECCと比較すると、PQCは一般的に鍵サイズや計算量が増大する傾向があります。そのため、実装においては性能、メモリ、消費電力といった観点で新たな設計課題が生じます。 

主なアルゴリズム分類としては以下が挙げられます。 

　
・格子暗号（Lattice）：ML-KEMやML-DSAに代表され、高い並列性を活かしたハードウェア実装に適しています。 
・ハッシュベース署名：LMSやXMSSなど、比較的シンプルで堅牢性が高く、セキュアブートなどの用途に適しています。 

3. PQC標準化とCNSAガイドライン

PQCの実用化に向けては、NIST（米国国立標準技術研究所）が主導する標準化プロセスが進行しており、2024年8月に、ML-KEM（旧Kyber）やML-DSA（旧Dilithium）などが標準として採用されました。これにより、PQCは研究段階から実運用フェーズへと移行しつつあります。 
 
また、米国国家安全保障局（NSA）が策定したCNSA 2.0では、PQCアルゴリズムへの移行スケジュールが明確に示されています。このガイドラインでは、将来的なシステム更新を見据えた設計が強く求められており、Firmware等の署名のためのアルゴリズムを2030年までにPQCアルゴリズムへと対応させることを示しています。 
 
特にCPU/FPGA/ASIC/SoC設計においては、開発から製品リリース、フィールドでの長期運用までのライフサイクルが長いため、この移行スケジュールとのギャップが大きな問題となります。後から暗号アルゴリズムを差し替えることが困難なケースも多く、設計段階からの対応が不可欠です。 
 
したがって、CRA対応などでセキュアブート機能を製品に実装する際に、今後長期運用されるデバイスでは、PQC移行を見据えた設計が重要になります。 

4. 実装上の課題：ソフトウェア vs ハードウェア

PQCアルゴリズムをCPU上で実装した場合、従来暗号と比較して大幅に処理負荷が増大することが知られています。特に格子暗号では大規模な行列演算が必要となり、処理時間の増加や消費電力の増大につながります。 
 
また、リアルタイム性が求められるシステムにおいては、レイテンシーの増加も大きな問題となります。 そのため、CPUのみで実装した場合、性能・消費電力面で課題が生じるケースがあります。 
 
このような背景から、PQCを効率的に実行するためにはハードウェアアクセラレーションが重要になります。FPGAは並列処理に優れており、アルゴリズム仕様の変更にも柔軟に対応できるため、PQC実装の有力なプラットフォームとして注目されています。 

5. セキュアブートとPQC：最重要ユースケース

セキュアブートは、デバイス起動時にビットストリームやファームウェアの正当性を検証することで、不正なコードの実行を防ぐ重要な機能です。

この信頼の起点（Root of Trust）はシステム全体のセキュリティを支える基盤となります。 

　
 
従来のセキュアブートはRSAやECCなどの公開鍵暗号に依存していましたが、量子コンピュータの登場により、これらの安全性が脅かされる可能性があります。そのため、長期間運用される機器においては、セキュアブートの耐量子化が重要な課題となります。 
 
PQCをセキュアブートに導入することで、将来にわたる長期的なセキュリティ保証が可能になります。また、署名ベースの検証方式により、攻撃耐性の向上も期待できます。

特に産業機器やインフラ用途など、長期間にわたりアップデートが困難なシステムにおいては、その重要性は一層高まります。 
 
このように、「セキュアブートこそPQC適用の最初のターゲット」であり、デバイス設計、ハードウェア開発において最優先で検討すべき領域といえます。 

6. まとめ：今後のPQC対応と設計指針

量子コンピュータの実用化時期には不確実性があるものの、暗号の移行には長いリードタイムが必要です。特にFPGAを用いた組込み機器や長期運用システムでは、設計段階からの対応が不可欠です。

そのため、PQC対応は「将来の課題」ではなく「今すぐ着手すべき設計要件」といえます。 

また、PQCは従来暗号に比べ計算量・メモリ要求が大きく、ソフトウェア単体での実装には限界があります。FPGAによるハードウェアアクセラレーションを活用することで、実用的な性能・電力効率を実現できます。 

その中で、Lattice MachXO5-NX TDQは、低消費電力・柔軟性・セキュア機能を備えたFPGAとして、PQC時代の設計に適したプラットフォームです。

LMS, XMSS, ML-DSA, ML-KEMといった複数のPQCアルゴリズムに対応可能であり、将来の変化にも対応できる“crypto agility”を実現します。詳細については以下のボタンよりご確認ください。 

お問い合わせ

製品の詳細・技術的なご質問など、まずはお気軽にご相談ください。