近年、量子コンピュータの技術進歩が目覚ましいスピードで進んでいる。これに伴い、現在日常的に利用されている暗号技術(RSAや楕円曲線暗号など)が将来的に破られるリスク、いわゆる「量子脅威」が現実味を帯びてきた。
このような背景から、米国家安全保障局(NSA)は国家安全保障システム(NSS)を保護するための新たな暗号スイート「CNSA 2.0(Commercial National Security Algorithm Suite 2.0)」に関するFAQドキュメントを公開した。
本記事では、このドキュメントを基に、なぜ今暗号の移行が必要なのか、そして具体的にどのようなアルゴリズムが採用されたのかを解説する。
1. なぜ今、暗号のアップデートが必要なのか?
量子計算機(CRQC)による壊滅的なリスク
現在普及している公開鍵暗号(非対称鍵交換やデジタル署名)は、従来のコンピュータでは解くのが困難な数学的プロセスの難しさに依存している。しかし、「暗号解析に有効な量子コンピュータ(CRQC: Cryptanalytically Relevant Quantum Computer)」が実現すると、これらの暗号は圧倒的な速度で解読されてしまい、システムの機密性や真正性が根底から覆る致命的な影響を受ける。
既存の暗号の鍵長を伸ばすだけでは不十分な理由
「RSAやECC(楕円曲線暗号)の鍵の長さを引き延ばせば耐えられるのではないか」という疑問に対し、FAQでは明確に否定されている。量子耐性を達成するためには、これら既存の主要アルゴリズムそのものを根底から置き換える必要がある。
「データ生存期間」の課題:今すぐ動くべき理由
NSAが今このタイミングで強力に移行を推進しているのは、国家安全保障に関わるシステムやデータのライフサイクルが非常に長いためだ。仮に強力な量子コンピュータの完成が数年先だとしても、現在暗号化されて通信されているデータを攻撃者が今から蓄積し、将来量子コンピュータが完成した時点で解読する(Harvest Now, Decrypt Later)という脅威が存在する。そのため、今から対策を講じなければ間に合わない。
2. 「CNSA 2.0」で採用された耐量子暗号(PQC)アルゴリズム
CNSA 2.0は、米国立標準技術研究所(NIST)によって標準化されたアルゴリズムから、NSAが国家安全保障システムの要件に合わせて選定したものだ。
主な採用アルゴリズムとパラメータは以下の通りである。
汎用アルゴリズム
- 共通鍵暗号(データの保護): AES-256
- 量子コンピュータは共通鍵暗号に対しては公開鍵暗号ほど劇的な効果を持たないため、鍵サイズが十分に大きいAES-256が引き続き利用される。
- 非対称鍵確立: ML-KEM (旧 CRYSTALS-Kyber)
- 格子暗号をベースとした方式であり、すべての分類レベルで「ML-KEM-1024」パラメータの使用が求められる。なお、本方式はDiffie-Hellman型のような鍵交換ではなく、鍵カプセル化メカニズム(KEM)に分類される。
- デジタル署名: ML-DSA (旧 CRYSTALS-Dilithium)
- ソフトウェア署名やファームウェア署名を含むあらゆるユースケースをカバーし、パラメータには「ML-DSA-87」が指定されている。
- ハッシュ関数: SHA-384 / SHA-512
- SHA-2ファミリーが引き続き推奨されている。なお、SHA-3は一般用途のハッシュとしては承認されておらず、特定の内部ハードウェア処理(セキュアブート等)にのみ限定的な利用が認められている。
特定用途(ファームウェア・ソフトウェア署名)向け
- ステートフル・ハッシュベース署名: LMS / XMSS
- これらはNISTによって早期に標準化されており、すでに商用利用が可能だ。NSAは、機器の寿命が長く後からのアップデートが困難な「ファームウェア署名」において、これらの早期導入を極めて重視している。
- なお、推奨パラメータとして「LMS SHA-256/192」が明記されている。
技術精度の観点から見る「非採用・除外」のアルゴリズム
NISTの標準化プロセスに含まれていても、NSAのCNSA 2.0では不採用とされたアルゴリズムがある点は重要だ。
- SLH-DSA (旧 SPHINCS+) の除外: ステートレス・ハッシュベース署名であるSLH-DSAは、CNSA 2.0の対象外とされており、NSSにおけるいかなる使用も承認されていない。なお、NSAはFAQの中でその除外理由について明示していない。
- HSS・XMSSMTの非承認: 複数層(マルチツリー)構造を持つこれらのステートフル・ハッシュベース署名は、国家安全保障システム(NSS)においては承認されていない。
3. ハイブリッド移行に対するNSAの独自スタンス
PQCへの移行期において、多くの標準化機関(ドイツBSIなど)や商用製品は、既存の古典暗号(RSAやECC)と新たなPQCアルゴリズムを組み合わせる「ハイブリッド方式」を推奨または実装している。これは、万が一PQCアルゴリズムに未知の脆弱性が発見された場合の安全弁とするためだ。
しかし、NSAはFAQの中で独自の明確な立場を示している。NSAはCNSA 2.0で選定したアルゴリズムに十分な信頼を置いており、セキュリティ上の目的でNSS開発者に対してハイブリッド認証製品の使用を要求しないとしている。商用分野のトレンドとは異なり、NSAはCNSA 2.0単体での実装で十分安全であると判断している点は、今後の実装方針を検討する上で極めて重要な知見である。
4. 2035年に向けたタイムラインと移行スケジュール
NSAは、国家安全保障システム(NSS)のすべてを2035年までに完全に量子耐性(QR)を備えた状態にするという高い目標を掲げている。これに伴い、以下のような具体的なマイルストーンが定められている。
- 2027年1月1日〜: NSS向けに新しく調達・導入されるすべてのシステムは、原則としてCNSA 2.0に準拠している必要がある。
- 2030年12月31日まで: CNSA 2.0をサポートできない古い機器やサービスは、完全に段階的廃止(フェーズアウト)が求められる。
- 2031年12月31日〜: すべてのシステムでCNSA 2.0アルゴリズムの使用が義務化(マンデート)される。
機器の調達における注意点(暗号アジリティ)
今後新しく購入する機器は、たとえ現時点でCNSA 2.0への強制移行前であったとしても、将来のソフトウェアアップデートだけで新しいアルゴリズムやプロトコルを動かせるだけの十分な「メモリ」と「処理能力」を備えておくこと(暗号アジリティ:Cryptographic Agility)が強く推奨されている。
5. まとめ:一般企業への影響とこれからの備え
今回のCNSA 2.0要件は、主に米国の政府機関や国防産業(DIB)を対象としたものだが、インターオペラビリティ(相互運用性)の観点から、サプライチェーンを通じて日本のITベンダーや民間企業にも広く波及していくことが予想される。
特に、ハイブリッド方式に頼らずCNSA 2.0単体での移行を見据えるNSAの姿勢や、採用・非採用アルゴリズムの厳格な選定基準は、日本のPKI・セキュリティ専門家にとっても大いに参考になる指標だ。まずは、自社システムや提供サービスにおける暗号アルゴリズムの棚卸しを進め、次世代の暗号標準である「ML-KEM」や「ML-DSA」への移行ロードマップの策定に着手すべきだ。
