DocsDigest
一覧へLanguage: EN
OpenAICloudflare2026/04/07 21:00

Cloudflare targets 2029 for full post-quantum security

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

openaijamodel: gpt-5-mini-2025-08-07

Cloudflare、認証を含む完全ポスト量子安全を2029年目標に前倒し

post-quantumpqcryptoauthenticationkey-rotationcertificatequantum-computing

Key Points

  • 2029年目標
  • 認証のPQ化を最優先
  • 長期鍵の回転と無効化

Summary

Cloudflareは全製品での完全なポスト量子(PQ)安全性、特に認証(証明書・署名)のPQ化を2029年までに達成することを目標にロードマップを前倒ししました。Googleのアルゴリズム改善やOratomicの中性原子アーキテクチャに関する資源推定により、P-256やRSA-2048が従来予想より早く脅かされる可能性が高まり、認証の優先度が上がっています。

Key Points

  • 目標: 2029年までにPQ暗号化とPQ認証を含む完全PQ安全を実現
  • 背景: Googleのアルゴリズム高速化とOratomicの推定(中性原子でP-256が低いコストで破れる可能性)によりQ-Dayが前倒し
  • 現状: Cloudflareは既に多数の製品でPQ暗号化を導入済み(HNDL対策は進行)だが、認証のPQ化が残課題
  • 最大リスク: 認証が破られると不正ログイン・コード改竄・永続的アクセスを許すため影響が致命的
  • 優先度: 長期鍵(ルート、コード署名、APIキー等)を最優先でPQ化・回転
  • 防御策: PQアルゴリズム導入に加え、量子脆弱アルゴリズムの無効化とダウングレード防止(PQ HSTS、証明書透明性等)が必要
  • 運用面: サードパーティ依存と検証チェーンが深いので移行は年単位で計画する必要がある

Recommended actions

  • 長寿命鍵とコード署名証明書を洗い出し、PQ移行と回転計画を即時作成
  • 既存の秘密(パスワード、アクセストークン等)を前倒しでローテーションする仕組みを整備
  • ダウングレード防止策(PQ HSTS、CTログ)とクライアント互換性への影響を評価・実装
  • 調達要件にPQサポートを明示し、主要サードパーティの対応状況を監査

要点:PQ暗号化は広く導入が進んでいるが、認証のPQ化とダウングレード防止を最優先で進め、長期鍵と依存関係への対処を年単位で計画することがエンジニアの最優先実務です。

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

openaijamodel: gpt-5-mini-2025-08-07

Cloudflare、完全なポスト量子セキュリティを2029年に目標

Cloudflareは完全なポスト量子(PQ)移行を2029年に目指す

著者: Bas Westerbaan | 公開日: 2026-04-07

Cloudflareはポスト量子(PQ)ロードマップを加速しています。現在、重要な要素であるポスト量子認証を含めた「完全なポスト量子(PQ)セキュリティ」を2029年までに達成することを目標にしています。

私たちはインターネットをデフォルトでプライベートかつ安全にすることを信条としています。2014年に無料のユニバーサルSSL証明書を提供し始め、2019年にポスト量子移行の準備を始め、2022年にはハーベスト・ナウ/後で復号(harvest-now/decrypt-later, HNDL)攻撃を緩和するためにすべてのウェブサイトとAPI向けにポスト量子暗号化を有効化しました。現在、Cloudflareへ向かう人間のトラフィックの65%以上がポスト量子暗号化されていますが、認証がアップグレードされるまでは仕事は終わりではありません。

信頼できる新しい研究と業界の急速な進展は、移行の期限が想定よりずっと早いことを示唆しています。この課題はどの組織も緊急に取り組むべきものであり、私たちは社内のQ-Day(量子が暗号を破れる日に備える準備)対応タイムラインを前倒ししています。

何が起きたのか

先週、Googleは楕円曲線暗号(インターネットを保護するために広く使われている)を破るためのアルゴリズムを大幅に高速化したと発表しました。彼らはアルゴリズムそのものを開示せず、代わりにそれを持っていることのゼロ知識証明を提示しました。これは最も大きなブレークスルーではありません。同日、Oratomicは中性原子コンピュータでRSA-2048とP-256を破るためのリソース見積もりを発表しました。P-256に関しては衝撃的に少ない10,000量子ビットで足りると推定しています。Googleが最近の発表で超伝導量子コンピュータと並んで中性原子(neutral atoms)にも注力すると表明した動機がここで明らかになります。

Oratomicは基本的アプローチを説明していますが、重要な詳細は意図的に省いています。これらの独立した進展を受け、Googleはポスト量子移行のタイムラインを2029年へ前倒ししました。さらに、Googleは発表や講演の中で、ハーベスト・ナウ/後で復号(HNDL)攻撃の緩和よりも量子耐性のある認証(quantum-secure authentication)を優先しています。これは、GoogleがQ-Dayを早ければ2030年ごろに考えている可能性を示唆します。

発表を受けて、IBM Quantum SafeのCTOはより悲観的な見解を示し、2029年頃に高価値ターゲットに対する量子「ムーンショット攻撃」を否定できないと述べています。

Q-Dayとは何か

量子の脅威はよく知られています:Q-Dayとは、十分に高性能な量子コンピュータが今日データやアクセスを保護するために使われている重要な暗号を破れる日です。暗号学的に関連する量子コンピュータ(CRQCs)はまだ存在しませんが、世界中の多くの研究所がさまざまなアプローチでそれを目指しています。

これまでCRQCに関する進展は主に公開されてきましたが、今後も公開が続くとは限りません。量子コンピュータ科学者Scott Aaronsonが2025年末に警告した通り、実際に既存の暗号をShorのアルゴリズムで破るのに必要な物理量子ビットとゲート数の詳細見積りを公表することをやめる時点が来る可能性が高いと述べています。そして、その時点は既に過ぎているかもしれません。

なぜ今なのか:3つの独立した前線での進展

量子コンピューティングの進展を予測するのが難しい理由について少し述べます。先週見たような突然の「量子的」飛躍は、すべてが公の場で起きていたとしても発生し得ます。暗号を破るには、量子ハードウェア、誤り訂正、量子ソフトウェアの3つの独立した前線での工学的進展が必要であり、それぞれの進展は他を加速します。

ハードウェア

中性原子(neutral atoms)や超伝導量子ビット(superconducting qubits)のほか、イオントラップ、フォトニクス、トポロジカルキュービットのようなムーンショットなど、多くの競合アプローチがあります。これらの補完的アプローチは組み合わせることすらできます。多くの研究所がそれぞれ異なる課題に取り組んでおり、数年前にはどれもスケールするか不明でしたが、現在はほとんどが大きな進展を示しています。まだスケールが実証された技術はありませんが、特に中性原子は以前よりずっと近づいています。

誤り訂正

量子コンピュータはノイズに敏感であり、有意義な計算を行うには誤り訂正コードが必要です。これには大きなオーバーヘッドが伴いますが、量はアーキテクチャによって異なります。より多くのノイズはより多くの誤り訂正を要求しますが、より良い量子ビットの接続性ははるかに効率的なコードを可能にします。規模感の例として、近隣接続しか持たないノイズの多い超伝導量子コンピュータでは、通常1つの論理キュービットあたり約千個の物理キュービットが必要でした。中性原子のような「再構成可能なキュービット」は、概ね1桁程度優れた誤り訂正を可能にすることが知られていましたが、Oratomicはさらに大きな利点を示し、中性原子での論理キュービット当たり物理キュービットは約3〜4個で済むと報告しています。

ソフトウェア

最後に、暗号を破るための量子アルゴリズムの改善があります。これがGoogleのブレークスルーです:P-256を破るアルゴリズムを大幅に高速化しました。さらにOratomicは、再構成可能キュービットに特有のアーキテクチャ最適化を示しました。

これらが組み合わさると、状況は次第に浮かび上がります:2025年に中性原子が予想よりスケールしやすいことが明らかになり、Oratomicは高接続性キュービットでの誤り訂正を格段に改善しました。加えてP-256を破るための作業量が大幅に減少しました。その結果、Q-Dayは従来の2035年以降という見積より大きく前倒しされ、中性原子が先頭に立ち、他のアプローチも遅れを取っていません。

以前のブログでは、超伝導キュービットアーキテクチャでのRSA-2048解読という保守的な目標と比べて、物理キュービット数と忠実度で各量子コンピュータを比較しました。この分析は大まかな時間感覚を与えますが、アーキテクチャ固有の最適化やソフトウェア改善は考慮していません。今注視すべきは、各アーキテクチャにとって最後の欠けている能力がいつ実現するかです。

認証に注力すべき時期

歴史的に、業界のポスト量子暗号(PQC)への注目は主にPQ暗号化(HNDL攻撃を防ぐため)に集中してきました。HNDL攻撃では、攻撃者が今日機密な暗号化トラフィックを収集して保存し、将来強力な量子コンピュータで復号します。Q-Dayが遠い場合、HNDLが主要な脅威であり、私たちのこれまでの焦点はこのリスクの軽減(2022年以降の製品でのポスト量子暗号化のデフォルト導入)でした。

前述の通り、現在ほとんどのCloudflare製品はHNDL攻撃に対して安全であり、残りも順次アップグレードしています。

もう一つの攻撃カテゴリは認証に対するものです:機能する量子コンピュータを持つ攻撃者がサーバーになりすましたり、アクセス資格情報を偽造したりします。Q-Dayが遠ければ認証は緊急でありません:PQ証明書や署名を導入しても直ちに価値を生まない場合が多く、手間だけ増えます。しかしQ-Dayが差し迫っている場合、状況は逆転します。データ漏洩は重大ですが、認証が破られることは壊滅的です。見落とされた量子脆弱なリモートログイン鍵は、攻撃者にとって発見されるかその鍵が失効されるまで無期限のアクセスを与える入口になります。自動ソフトウェア更新メカニズムはリモートコード実行のベクトルになり得ます。能動的な量子攻撃者は、信頼された量子脆弱な鍵を一つ見つければ十分です。

量子コンピュータを構築する専門家たちが認証システムのパッチを始めたら、我々は耳を傾けるべきです。もはや質問は「暗号化されたデータが危険にさらされるのはいつか?」ではなく、「攻撃者が量子で偽造した鍵を持って正面から侵入するのはどれくらい先か?」です。

優先順位付け:最も脆弱なシステムから

もし量子コンピュータが数年以内に登場するなら、それらは希少で高価でしょう。攻撃者は長期にわたって価値を発揮する鍵や、root証明書、API認証キー、コード署名証明書などの高価値ターゲットを優先します。攻撃者がそのような鍵を乗っ取れば、発見されるか失効されるまで無期限にアクセスを保持できます。したがって長期鍵の優先的なアップグレードが示唆されます。

初期世代の中性原子量子コンピュータでは、単一鍵を攻撃するコストと時間が高いことが予想され、長期鍵の優先は理にかなっています。しかし、スケーラブルな超伝導量子コンピュータや将来世代の中性原子機は鍵をずっと速く解読できる可能性があり、その場合攻撃者は検出されないようHNDL攻撃を選ぶかもしれません。GoogleのSophie Schmiegはこのシナリオを、エニグマの解読が第二次世界大戦の方向性を変えたことになぞらえています。

PQ暗号のサポートを追加するだけでは不十分です。ダウングレード攻撃を防ぐために、システムは量子脆弱な暗号のサポートを無効にする必要があります。大規模で特にフェデレーテッドなシステム(ウェブなど)では、すべてのクライアント(ブラウザ)がポスト量子証明書をサポートするとは限らないため、これが不可能な場合があります。しかしHTTPSのダウングレード保護は「PQ HSTS」や証明書透明性(certificate transparency)を用いることで達成可能です。

量子脆弱な暗号を無効にしたら終わりではありません:無効化以前に量子脆弱なシステムで漏れていたパスワードやアクセストークンなどのすべての秘密は回転(ローテーション)する必要があります。ポスト量子暗号化への移行が一度の大きな作業で済むのに対し、ポスト量子認証への移行は長い依存関係チェーン、第三者による検証や不正対策監視を伴い、何年もかかる作業になります。

多くの組織は自分たちの内部システムのどれをまずアップグレードすべきか急いで考え始めるでしょうが、それだけでは終わりません。Q-Dayはすべてのシステムに脅威を与えます。したがって、第三者依存(直接・間接の両方)の影響を理解することが重要です。暗号的にやりとりする相手だけでなく、金融サービスやユーティリティのようなビジネス上の重要依存先も含めて確認する必要があります。

Q-Dayが近づく中、ポスト量子認証は最優先事項です。長期鍵を最初にアップグレードしてください。深い依存チェーンと第三者ベンダーの存在により、この取り組みは月単位ではなく年単位を要します。ポスト量子暗号へのアップグレードだけでは不十分で、ダウングレードを防ぐために量子脆弱な暗号をオフにする必要があります。

Cloudflareの完全ポスト量子セキュリティへのロードマップ

現在、Cloudflareは大多数の製品でポスト量子暗号化を提供しており、HNDL攻撃を緩和しています。これは私たちが顧客とインターネット全体を保護するために10年以上前から取り組んできた成果です。

私たちは製品スイート全体で認証を含む完全なポスト量子セキュリティを2029年までに達成することを目指しています。ここでは、リスクや展開上の課題に対する理解が進むにつれて変更され得る中間マイルストーンを共有します(詳細なマイルストーンは今後発表される予定です)。

企業向けの推奨事項

  • 調達要件にポスト量子対応を含めることを推奨します。ポスト量子対応を必須要件にすることで、サプライチェーン全体のリスクを下げられます。
  • ソフトウェアを最新に保つこと、証明書発行の自動化といった一般的なベストプラクティスは有意義であり、大きな効果があります。

(原文はここで途切れています)