IETF国際動向 – 第124回IETFより～耐量子計算機暗号（PQC）標準化の進展とIETF 124のハイライト

既に公開済みの「IETF国際動向 – 第124回IETFより ～WebおよびAI関連の動向～」「IETF国際動向 – 第124回IETFミーティング概要とBOFより-」に続いて、耐量子計算機暗号（PQC）標準化の進展についてご紹介します。今回のレポートは、伊藤忠彦氏（セコム株式会社）にご執筆いただきました。

こんにちは、セコム株式会社IS研究所上級研究員／JNSA PKI・PQC相互運用WGリーダの伊藤忠彦です。

2025年11月、カナダ・モントリオールで開催されたIETF 124では、耐量子計算機暗号（Post-Quantum Cryptography：PQC）の標準化に関する議論が大きく進展しました。量子計算機の進歩に伴い、既存の公開鍵暗号の安全性に対する検討が続く中、PQC導入に関する複数のアプローチが並行して整備されています。今回は、デジタル証明書分野についてPQC標準化の最新状況を整理し、今後の方向性について解説します。

「PureなPQC」利用の標準は出そろいつつある

NIST（米国国立標準技術研究所）が標準化したPQCアルゴリズム（ML-KEM、ML-DSA、SLH-DSA）を、既存のX.509証明書やCMSでそのまま利用するための標準化が進んでいます。

• ML-DSAの利用：RFC 9881、RFC 9882
• SLH-DSAの利用：RFC 9909、RFC 9814
• ML-KEMについても、近くRFCとなる見込みです。

この「PureなPQC」アプローチは、既存プロトコルの変更を最小限に抑えるアプローチです。そのため、比較的容易に実装できると期待されています。従ってRFCの公開に伴い、それらのRFC準拠した製品が登場し、PQCを導入しやすい環境を（後述の方式に比べて）早期に実現することも期待されています。なお、SLH-DSAの利用では、状態管理に注意が必要ですが、その点を解説するドキュメント（draft-ietf-pquip-hbs-state）の整備も進んでいます。

既存アルゴリズムとの併用方式も標準化の山場を越える

従来の「枯れた」アルゴリズムをPQCと組み合わせ、安全性を高めるComposite方式の標準化も進展しました。このアプローチはPure方式に比べ仕様が複雑化することから、標準化に時間がかかっていましたが、標準化に向けて大きな進展が見られました（draft-ietf-lamps-pq-composite-kem、draft-ietf-lamps-pq-composite-sigs）。もっとも、今後細かな修正が行われる可能性もありますので、これらの方式を標準化を待たずに実装する場合は注意が必要となります。

新しいプロトコルへの置き換え提案も始動

既存の公開鍵暗号をPQCに置き換えることが、（各種データ量の増加等に伴い）困難が予想されるユースケースも存在します。そのようなユースケースに対しては、新たなプロトコル（やエコシステム）を構築するアプローチが考えられます。

IETF 124でBoFが開催され、その後に正式なWGとなったplants WGは、そのアプローチの代表例となります。このWGでは、現状広く利用されているX.509証明書を、Merkel Tree Certificate（MTC）を利用する方式に置き換えることが検討されています。今後、実装および評価をしつつ標準化が進展する見通しですが、普及の見通しがつくまでには相応の期間が必要となりそうです。

まとめと今後の注目ポイント

• PureなPQC利用の標準化はほぼ完了し、実装しやすい環境が整いつつあります。
• Composite方式は標準化の山場を越えたものの、完了時期は未定であり、実装には注意が必要です。
• 新しいプロトコルの提案も始動しており、長期的な視点での対応が求められます。

PQCは、今後のセキュリティ基盤を支える重要な技術です。標準化の進展を注視しつつ、実装計画を柔軟に見直す体制を整備することが、企業や組織にとって重要となるでしょう。