Amazon CTOのWerner Vogelsが2026年は耐量子暗号(PQC)なくして安全なしと伝える理由 -- HNDL攻撃に今すぐ備えよ

Amazon CTOのWerner Vogelsは毎年年末に、翌年のテクノロジー予測を発表しています。re:Invent 2025の直前の11月に公開された「Tech predictions for 2026 and beyond」では次の5つの予測が掲げられました。

1. 人に寄り添うAIロボット
2. AI時代のルネッサンス開発者
3. 耐量子暗号なくして安全なし
4. 防衛技術
5. 好奇心を育むパーソナライズド学習

• Amazon CTO Werner Vogels predicts the renaissance developer era
• Tech predictions for 2026 and beyond | All Things Distributed

自身のre:Inventでの最後のキーノートではAI時代の ルネッサンス開発者(renaissance developer) を提唱し、大いに話題になりました。

https://www.youtube.com/watch?v=3Y1G9najGiI

2025/12/11(木)に開催されたre:Growth 2025 福岡では、このWerner Vogelsの2026年予測をテーマに登壇させて頂きました。

https://classmethod.connpass.com/event/372977/

本記事では、この中から、3つ目の 耐量子暗号(PQC) について取り上げます。

量子コンピュータが実用化されると、RSAや楕円曲線暗号などの古典非対称暗号は脆弱になると予測されています。量子コンピュータでも解読できない暗号を耐量子暗号(Post-Quantum Cryptography; PQC)と呼びます。主要OSやブラウザや主要ウェブサイトはPQCに対応しており、実際、Cloudflareの2025年10月のレポートによると、ブラウザトラフィックの50%でPQCの鍵交換が行われているほど普及しています。

2025年のポスト量子インターネットの現状

Wernerは、量子コンピュータの実用化を見据えた攻撃(HNDL)がすでに起きており、実用化のタイムラインが前倒しになっていることなどから、耐量子暗号への移行に今すぐに取り組み、量子技術に明るい人材の育成を強調しています。

暗号方式の耐量子化

AESのような対称暗号の場合、鍵長を伸ばすことで量子コンピュータに対する耐性を高めることができます。

例えば、AWS(S3/EBSなど)の場合、256ビットの鍵長のAES-256が使用されており、量子コンピュータに対してもすでに十分な耐性を持っています。

The importance of encryption and how AWS can help | AWS Security Blog

一方で、公開鍵暗号のRSAや楕円曲線暗号にみられるような非対称暗号の場合は、Shorのアルゴリズムのような量子技術を使って危殆化するため、新しい暗号方式(耐量子暗号)が求められています。

public-key systems need entirely new mathematical foundations to survive the quantum era.

量子コンピュータの実用化タイムラインは圧縮されている

様々な企業が量子コンピュータの実用化に取り組んでおり、ハードウェアやアーキテクチャーの進歩が続いています。

AWSは従来に比べて量子誤り訂正のハードウェア効率が90%向上した量子チップ「Ocelot」を発表しました。

• Amazon's new Ocelot chip brings us closer to building a practical quantum computer@2025/02/27

Googleは従来のスーパーコンピュータよりも 13,000 倍高速に計算できる、量子チップ「Willow」を発表し、Nature 誌に論文が掲載されました。

• The Quantum Echoes algorithm breakthrough | Google@2025/10/22
• Observation of constructive interference at the edge of quantum ergodicity | Nature

IBMは2029年までに、200個の論理量子ビットを備えた大規模な誤り対訂正量子コンピュータ「IBM Quantum Starling」を構築する計画を発表しています。

• IBM lays out clear path to fault-tolerant quantum computing | IBM Quantum Computing Blog@2025/06/10

2048ビットRSA暗号の解読コストも劇的に下がっています。GoogleのCraig Gidney氏らによる2019年の予測では、2,000万個の ノイズあり量子ビット が必要とされていましたが、同氏の2025年の最新研究では、アルゴリズムの改良により100万個未満での解読が可能と発表されました。つまり、必要な計算資源が 95%も削減 されたことを意味し、量子コンピュータによる暗号突破のリスクが、想定よりも遥かに早く訪れることを示唆しています。

• 2019
  • [1905.09749] How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits@arXiv
• 2025
  • [2505.15917] How to factor 2048 bit RSA integers with less than a million noisy qubits@arXiv
  • How to factor 2048 bit RSA integers with less than a million noisy qubits@Google Research

5年後にはRSAやECC暗号を破る量子コンピュータが登場する可能性があるとVogelsは述べています。

It’s plausible that in about five years, there will be quantum computers capable of breaking the RSA and ECC encryption that secures the vast majority of internet communications, financial transactions, and your sensitive personal data.

HNDL(Harvest Now, Decrypt Later)攻撃に今すぐ備えよ

量子コンピュータがある程度実用的になる5年後の話をなんで今しなくちゃいけないのか、なんで今から量子コンピュータに備えないといけないのか、疑問に思うかもしれません。

「Quantum-safe becomes the only safe」の段落は次の一文で始まります。

Personal data, financial records, and state secrets are already being harvested by malicious actors betting on quantum’s arrival.

個人データ、財務記録、国家機密はすでに、量子コンピューターの到来に賭ける悪意のある人物によって収集されています。(Google翻訳)

"harvested"は「(農作物の)収穫」を意味し、コンピュータ系の文脈では余り見かけることがありませんが、PQC のコンテキストでは非常に重要なキーワードです。

量子コンピュータはまだまだ先なのだから、古典暗号のままでも問題ないのではないか?耐量子暗号化を急がなくてよいのではないかと思いがちです。

そこで登場するのが HNDL 攻撃です。

古典暗号を使って暗号化されているデータを収集("harvest")し、量子コンピュータが実用化された後に解読する攻撃手法です。

Wernerの記事では、このHNDL攻撃のリスクとして、アメリカの連邦準備制度(FRB)による次の研究が紹介されています。

The Fed - “Harvest Now Decrypt Later”: Examining Post-Quantum Cryptography and the Data Privacy Risks for Distributed Ledger Networks@2025/09

量子コンピュータの実用化後に、データが解読されないよう、耐量子暗号(PQC)に今すぐに切り替えなさいと言っています。

Preparation isn’t something you can put off, the work must begin now, and organizations need to act on three fronts: deploying post-quantum cryptography (PQC)

PQC移行環境は整っている

アメリカ国立標準技術研究所(NIST)は2024年に耐量子暗号アルゴリズムの標準化を完了し、PQCソリューションは急速に普及しています。

Windows/macOS/iOSなどの主要OSはすでにPQCに対応しており、Google ChromeのようなブラウザやAWSのようなクラウドもPQCをサポートしています。

AWSを例に取ると、以下の様なサービスがPQCに対応しています。

• PQC系署名(ML-DSA)に対応
  • KMS(Key Management Service)
• API通信時の鍵交換
  • Secrets Manager
  • S3
  • ACM(AWS Certificate Manager)
• ブラウザからのTLS通信時の鍵交換
  • CloudFront
  • ALB/NLB

ここで注意すべきは、ACMやS3はAPIエンドポイントとの通信、CloudFrontやALB がPQC対応していると言っても、証明書は従来のままということです。

例外的に、KMSはPQC系のML-DSA署名に対応し、プライベートな環境でPQC署名を利用できます。

また、AWSはPQCの移行案内も提供しています。

• AWS post-quantum cryptography migration plan | AWS Security Blog
• Post-Quantum Cryptography - Amazon Web Services
• ワークショップ

レガシー環境のPQC移行は難しい

クラウドやスマートフォンのようなモダンな環境はPQC対応が進んでいます。一方で、家電やOTといった製品寿命の長いレガシー環境のPQC移行は容易ではありません。

計算能力が不足していたり、アップデートが困難であったり、対象とするデバイスの数も膨大です。

ゲートウェイから段階的にPQC対応を進めるハイブリッドアプローチが必要になるでしょう。

量子技術人材の育成

Wernerの記事で引用されているイギリスの2025年6月のレポートによると、イギリス内で量子技術に関連する職種の需要が急増しており、2030年までに25万人、2035年までに84万人の新規雇用が生まれると予測されています。

UK Quantum Skills Taskforce report - GOV.UK

Wernerの記事とほぼ同じタイミングで公開された世界経済フォーラムのレポートによると、アメリカでは2018年から2025年で量子技術の求人が3倍に増えたり、量子技術者の求人に対して応募者数が足りていない状況が続いていること、また、これらの仕事の多くが高度な学位を要求するようなものではない中で、デジタル・ディバイドならぬ、量子ディバイドが起きており、組織はクロスファンクショナルに向き合い、ドメインエキスパートをアップスキルすることなどが提唱されています。

How we upskill quantum talent for a quantum-safe future | World Economic Forum@2025/11/22

耐量子暗号なくして安全なし

量子安全だけが安全になる時代に備えて、以下の3点に取り組む必要があります。

1. 耐量子暗号(PQC)の導入
2. 量子技術者の育成
3. レガシーな物理インフラのPQC移行

Wernerは、「量子安全だけが安全になる時代はすぐに来る」と記事を締めくくっています。

Those that delay now will face vulnerabilities with no viable remediation path when quantum computers mature. It won't be long before quantum-safe is the only safe.

参考

• Tech predictions for 2026 and beyond | All Things Distributed
• AWS post-quantum cryptography migration plan
• Amazon announces Ocelot quantum chip - Amazon Science
• UK Quantum Skills Taskforce Report