ShorアルゴリズムのRSA-2048解読に必要な量子ビット数が1年未満で1桁減少した

現代のデジタルインフラを支える公開鍵暗号の数学的基盤は、量子コンピューターが完成した瞬間に崩壊するのではない。攻撃者が十分な量子計算能力を持った時点で、すでに収集済みの暗号化データを解読できるようになった瞬間に崩壊する。この時間的逆転——脅威はマシンの完成より先に到来する——こそがQデーという問題の本質的な構造であり、現在測定される準備不足が、数年後のセキュリティ侵害として直接顕在化する理由を説明している。

危機にさらされているメカニズムは特殊なものではない。支配的な公開鍵暗号標準であるRSAは、単一の数学的非対称性に依存している。2つの大きな素数を掛け合わせることは計算上自明だが、積からそれらの素数を回収することは、2048ビット以上の鍵サイズでは事実上不可能なほど難易度が指数的に上昇する。ウェブトラフィックを保護するTLSハンドシェイク、アイデンティティを認証する証明機関、金融取引を検証するデジタル署名——信頼されたデジタル通信の全体的な構造は、この非対称性が維持されることに依存している。

1994年に形式化されたShorのアルゴリズムは、量子計算がこの非対称性を完全に解消することを示した。量子重ね合わせと量子フーリエ変換を活用して因数分解問題をエンコードするモジュラー算術関数の周期を求めることで、十分に大きな量子コンピューターはRSAの秘密鍵を古典的マシンが必要とする数十億年ではなく数時間で回収できる。このアルゴリズム自体は30年間知られていた。過去1年で変わったのは、それを実行するためのリソース見積もりである。

暗号学的に有意な量子コンピューターのハードウェア要件は、最近まで事実上のバリアとして機能するほど巨大だった。初期の見積もりではRSA-2048を因数分解するために必要な物理量子ビット数は約10億とされていた。2021年までにGidneyとEkeråはその見積もりを約2000万量子ビットが8時間稼働するレベルまで引き下げていた——当時存在するいかなるシステムをも超えてはいたが、もはや天文学的な数ではなかった。そして2024年から2025年にかけて1年未満の間に、3つのアルゴリズム的発展によってその見積もりはさらに1桁崩壊した。

第一は、Shorのアルゴリズムにおける核心的な計算操作であるモジュラー冪乗の実行方法の再構築だった。古典的アプローチでは、2048ビット数全体を同時に保持できるほど大きな量子レジスターが必要で、量子ビット数が増大していた。Chevignard、Fouque、Schrottenloherが開発した近似モジュラー算術は、これをはるかに小さなレジスターを使った分割的アプローチに置き換え、後で訂正できる制御されたエラーを許容する。量子コンピューターはもはやメモリ上に問題全体を保持する必要がなくなった。第二の進歩は、耐障害性量子計算における支配的なコストのボトルネックに対処した。それは誤り訂正不可能なゲート操作に必要な特殊な量子リソース状態の生成である。従来のマジック状態蒸留は膨大なオーバーヘッドを必要としていたが、Google Quantum AIで開発されたマジック状態育成は、はるかに低いオーバーヘッドで低品質の状態から高忠実度の状態を育てる。第三の発展は、2025年のCraig Gidneyによる論文でこれらの技術を統合し、必要なToffoliゲート操作の総数を約2兆から約65億まで——つまり100倍以上——削減したものだ。

組み合わせた結果: RSA-2048の因数分解は、約100万の物理量子ビットが約1週間稼働することで技術的に実現可能となった。現在の最先端量子プロセッサーは数百量子ビット規模で動作しており、この要件との間のハードウェアギャップは依然として実在する。しかし圧縮の軌跡が定性的に変化した。10億から2000万量子ビットへの削減に12年かかったのに対し、2000万から100万以下への削減には1年もかからなかった。

並行するハードウェアの発展もこの軌跡を強化している。2024年末にデモンストレーションされたGoogleのWillowチップは、量子誤り訂正がサーフェスコードの閾値以下にノイズを抑制できることを実験的に確認した初の証明であり、すべてのリソース見積もりの根拠となるノイズ前提が物理的に達成可能であることを示した。IBMの公表されたロードマップは2029年までに約200の論理量子ビットを搭載した最初の大規模耐障害性量子コンピューターを目標としている。複数の独立したプラットフォームで99.9%以上の2量子ビットゲートの忠実度が実証された。

この圧縮は、かつて快適なほど遠い将来のこととして扱われていた脅威——今集め、後で復号する攻撃——に実質的な緊急性を与える。暗号化されたネットワークトラフィックを長年収集してきた国家アクターや高度な非国家アクターは、暗号学的に有意な量子コンピューターが存在する瞬間に読み取り可能になる暗号文を保持している。Qデーリスクを評価するための適切な時間軸は「量子コンピューターはいつ完成するか」ではなく「今日暗号化するデータはどれほどの期間、機密性を維持する必要があるか」だ。

この脅威への暗号学的対応には、名称、標準のセット、そしてコンプライアンスのタイムラインが存在する。耐量子暗号は、RSAと楕円曲線暗号の基盤となる整数因数分解および離散対数問題を、古典的・量子的攻撃の両方に耐えると考えられる数学的構造に置き換える。世界の標準化機関に採用された主要なファミリーは格子ベース暗号であり、その安全性は高次元空間における最短ベクトル問題と関連する幾何学的課題の困難さに基づいている。2024年8月、NISTは3つの耐量子暗号標準を最終化した。2025年3月には5番目のアルゴリズムとしてHQCが選定され、格子ベースの前提が将来的に弱体化した場合に備えたアルゴリズム多様性を提供している。

標準の存在は移行問題を解決しない。それを開始するだけだ。この規模の暗号移行は、完全なインフラ浸透に歴史的に15年から20年を要してきた——そしてこの移行は過去のいかなる先例よりも構造的に複雑だ。公開鍵インフラをすべての層で再設計する必要がある。鍵を保存・管理するハードウェアセキュリティモジュールの交換または更新、証明機関による新しい認証階層の発行、数十億エンドポイントにわたるTLS実装の更新、組み込みシステム・産業制御インフラ・長期金融システムに組み込まれたプロトコルの監査と交換が必要だ。これらのシステムの多くは、移行を簡単にするアーキテクチャ的特性である暗号アジリティを欠いている。

規制枠組みはハードウェアの軌跡の緊急性を反映した圧縮されたタイムラインで応答している。NSAの商業国家安全保障アルゴリズムスイート2.0は、すべての新しい国家安全保障システムを2027年1月までに量子安全にすることを義務付けている。NISTの廃止スケジュールは量子脆弱なアルゴリズムを2035年以降に承認済み標準から削除し、高リスクシステムはより早期に移行することを求めている。欧州連合のネットワーク・情報システム協力グループは2025年に調整された実施ロードマップを公表した。IBMビジネスバリュー研究所の2025年耐量子安全性評価は100点満点で世界平均25点という結果を見出した——規制の締め切りと機関の準備状況の間のギャップの定量的尺度だ。

金融セクターは特に複雑な課題に直面している。グローバルバンキングのインフラは何万もの暗号エンドポイントを通じてトランザクションをルーティングし、暗号アジリティを念頭に設計されていないハードウェアセキュリティモジュール、決済プロトコルスタック、規制コンプライアンス枠組みへの深い依存関係を持つ。PQC移行の規制義務は、軽微なプロトコル更新でさえ通常数年のタイムスケールで動作する変更管理プロセスと衝突する。

この技術的状況から浮かび上がる実践的なアドバイスはパニックではなく、段階的で優先順位付けされた行動だ。暗号インベントリが前提条件となる。機密保持の期間が長いデータ——分類された政府通信、長期金融記録、健康データ、知的財産——を扱うシステムは、規制の締め切りが強制する前でも早期移行のために優先されなければならない。ML-KEMと古典的な鍵交換アルゴリズムを並行して組み合わせたハイブリッド暗号展開は実用的な橋渡しを提供する。ハイブリッドスキームで保護されたデータを解読するには、攻撃者が古典的コンポーネントと耐量子コンポーネントの両方を同時に破る必要があり、収集・復号攻撃のコストを大幅に引き上げる。

2024年と2025年のアルゴリズム的発展が根本的に変えたのは、Qデーをめぐる不確実性の分布だ。以前のコンセンサスは暗号学的に有意な量子計算を2040年代にまで延びる大きな誤差を伴いつつ2030年代に快適に位置づけていた。リソース見積もりが100万量子ビット以下に圧縮されたことと、IBMの2029年に向けたロードマップ、そしてGoogleの閾値以下の誤り訂正の実験的確認が相まって、信頼できる見積もりを意味のある形で前倒しし、不確実性の範囲を狭めた。

耐量子暗号への移行は、格子ベースアルゴリズムの展開で終わらない。それは長期的な安全性が高次元空間における幾何学的問題の困難さに関する前提に依存する新しい暗号的表面を生み出す——数十億年という期間で見れば人類の知的営為の中で最も重要な移行の一つとなりうる前提だ。現在この瞬間が要求するのは、量子計算がいつ成熟するかについての確実性ではなく、自らのセキュリティ態勢が依然として素数の因数分解が困難であるという前提に基づいた機関を構築しているとはどういうことかについての冷静な評価だ。その前提には有効期限がある。