Cloudflare IPsec向けポスト量子暗号が一般提供になりました
2026-04-30 — 本稿では、CloudflareがCloudflare IPsecでポスト量子暗号を一般提供(GA)化したことを説明します。TLSトラフィックの多くですでにハイブリッドML-KEMが使われていますが、サイト間(site-to-site)ネットワーク分野では状況が異なっていました。本日、IPsecにおけるポスト量子暗号の運用が現実のものになった理由と、その実装・相互運用性について解説します。
概要
- CloudflareはIPsecにおいて、IETFのハイブリッドML-KEMドラフト(draft-ietf-ipsecme-ikev2-mlkem、FIPS 203)を用いたポスト量子暗号を一般提供しました。
- FortinetおよびCiscoのブランチコネクタとの相互運用を確認しており、既存のハードウェアで今日からWANをharvest-now-decrypt-later攻撃から保護できます。
- 目標は2029年までにフルなポスト量子セキュリティへ移行することです。
Cloudflare IPsecについて
Cloudflare IPsecは、データセンター、支店、クラウドVPCをCloudflareのグローバルIP Anycastネットワークへ接続するWAN Network-as-a-Serviceです。主な特徴は以下の通りです。
- 設定の簡素化
- 高可用性(データセンターが利用不能になった場合、自動的に近隣の正常な拠点へトラフィックを迂回)
- Cloudflareのグローバルネットワークのスケールを活用
- サイト間WAN、アウトバウンドのインターネット接続、Cloudflare One SASEプラットフォームへの接続を、暗号化されたIPsecトンネル(ESP)で提供
IPsecにおけるポスト量子暗号
Cloudflare IPsecはハイブリッドML-KEM(FIPS 203)を使用することで、harvest-now-decrypt-later攻撃を防ぎます。
- harvest-now-decrypt-later攻撃:攻撃者が今日データを収集し、将来(Q-Day)に量子コンピュータで従来の公開鍵暗号を破って復号する攻撃。
- ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism)は、量子コンピュータによる既知の攻撃に対して脆弱であることが知られていない数学的仮定に基づくポスト量子暗号アルゴリズムです。
- ML-KEMは特殊なハードウェアや専用の物理リンクを必要とせず、標準的なプロセッサでソフトウェア実装可能に設計されています。
draft-ietf-ipsecme-ikev2-mlkemのハイブリッド手順は次のとおりです。
- まず古典的なDiffie–Hellman交換を実行する。
- その導出鍵でML-KEMによる第2の交換を暗号化して実行する。
- 両方の出力を混合して、ESPで送信されるIPsecデータプレーンのセッション鍵を生成する。
相互運用可能な実装
- 以前、Cloudflareはdraft-ietf-ipsecme-ikev2-mlkemの実装をCloudflare IPsec製品でクローズドベータとして公開し、reference implementation(strongswan)とテストしました。
- GA化にあたり、さらに複数ベンダーとの相互運用性(Cisco、Fortinetなど)を確認しました。
相互運用の具体例:
- Cisco: Cisco 8000 Series Secure Routers(version 26.1.1以降)をブランチコネクタとして使用する顧客は、draft-ietf-ipsecme-ikev2-mlkemに従ったポスト量子Cloudflare IPsecトンネルを確立できます。
- Fortinet: Fortinet FortiOS 7.6.6以降をブランチコネクタとして使用する顧客は、draft-ietf-ipsecme-ikev2-mlkemに従ったポスト量子Cloudflare IPsecトンネルを確立できます。
相互運用性が重要な理由
暗号のアップグレードは困難で年単位を要するため、2029年の目標達成には業界全体の集中した努力が必要です。相互運用可能な標準(例:draft-ietf-ipsecme-ikev2-mlkem)への注力が重要です。
- hybrid ML-KEMのIPsec向け完全仕様であるdraft-ietf-ipsecme-ikev2-mlkemは2025年後半にようやく公開されました。これはTLSでのハイブリッドML-KEM対応から約4年遅れています(CloudflareはTLSのハイブリッドPQKAgを2022年に有効化し、今日ではCloudflareへのヒューマン生成TLSトラフィックの3分の2超がハイブリッドML-KEMで保護されています)。
- IPsecコミュニティではQuantum Key Distribution(QKD)への関心が根強く、これが遅延の一因と考えられます(RFC 8784)。ただしQKDは特殊ハードウェアと専用物理リンクを必要とし、インターネット規模での運用には向きません。また認証を提供しないため、能動的攻撃に対処するには結局ポスト量子暗号が必要です。実装間の相互運用も見つけにくく、米NSA、ドイツBSI、英国NCSCはいずれもQKDのみへの依存を警告しています。
- RFC 9370(2023年)はIPsecでのポスト量子暗号導入の道を開き、古典的Diffie–Hellmanと並列で最大7つの鍵交換を実行可能にしましたが、どの暗号スイートを使うかは指定していませんでした。そのため、一部ベンダーはRFC 9370ベースの早期実装を独自のスイートで出荷し、NIST非標準のものを含む“ciphersuite bloat”を生み、相互運用性リスクが発生しました。
- 実例として、Cloudflare IPsecはPalo Alto NetworksのRFC 9370ベース実装とはまだ相互運用していません。これは同社の実装がdraft-ietf-ipsecme-ikev2-mlkem公開前に開始されたためです。
幸い、draft-ietf-ipsecme-ikev2-mlkemはRFC 9370のギャップを埋め、ハイブリッドML-KEMを古典的Diffie–Hellmanと並列に動作させる鍵交換機構の一つとして明示します。Cloudflareは業界がこのドラフトに収束するにつれて、Palo Alto Networks等も相互運用リストに加わることを期待しています。
ただし、旅はまだ終わっていません。draft-ietf-ipsecme-ikev2-mlkemはポスト量子暗号による暗号化をサポートしますが、Q-Day後に実運用で量子攻撃者からの攻撃を止めるためには、ポスト量子認証のIPsec標準化も必要です。時間軸が短縮されている現状では、IPsecコミュニティがQKDなどニッチなケースに気を取られるのではなく、相互運用可能なPQC実装に注力し続けることを望みます。
インターネット全体のための相互運用性へ
Cloudflareは、特殊ハードウェアを必要とせず、追加費用なしで誰でもアクセスできる安全でポスト量子対応のインターネットを目指しています。ポスト量子Cloudflare IPsecは、2029年までのフルなポスト量子移行へのもう一歩です。
- Cloudflareの接続クラウドは企業ネットワーク全体を保護し、インターネット規模のアプリケーションを効率的に構築する手助けをし、ウェブサイトやアプリケーションを高速化し、DDoS攻撃から守り、ゼロトラストへの道筋を支援します。
- 無料アプリを使って始めるには、任意のデバイスから1.1.1.1にアクセスしてください。
詳しくはCloudflareのミッションや採用情報をご覧ください。
タグ: Post-Quantum IPsec, Cryptography, Security, Magic WAN, Networking