デジサートでは、2029 年までに中核となる耐量子コンピュータインフラへの移行を完了することを目標としています。この取り組みには、機密性（TLS）および認証（証明書）システムが含まれ、社内インフラと顧客向けサービスの両方を対象としています。

本記事では、デジサートが採用を予定している技術、現在すでにサポートしている機能、そして今後数年間で達成を予定している主要なマイルストーンについて説明します。

なぜデジサートは 2029 年を目標としているのか

2029 年を目標とした主な理由は、NIST および EU 加盟国が定める 2030 年までの移行期限です。これらの期限より前に量子コンピュータ対応を完了することで、運用上の課題を特定し、実際の経験に基づいて顧客の移行を支援する時間を確保できます。

近年、既存の暗号アルゴリズムを破るために必要とされる量子コンピュータの処理能力予測が大幅に引き下げられたことにより、業界では 2029 年を移行目標とする考え方が広がっています。研究者は現在、RSA や 楕円曲線暗号（ECC）への攻撃に必要な物理量子ビット数を約 1 万個と推定しており、10 年前に予測されていた数億個から大幅に減少しています。

これらの進展は理論上のものですが、中性原子方式や誤り訂正技術の進歩と合わせると、暗号解読に実用的な量子コンピュータ（CRQC）の実現はそう遠くない可能性があります。

少し疑い深い視点に立てば、公表されている情報以上に CRQC 実現が近い可能性も考えられます。非常に高いセキュリティレベルを求める組織にとっては、今すぐ PQC へ移行することが必要不可欠です。

量子リスクに対するデジサートの見解

デジサートは、CRQC 実現に向けて残された課題は主にエンジニアリング上の問題であると考えています。

大規模な耐障害性が実用化されれば、従来の公開鍵暗号は急速に脆弱化します。そのため、デジサートは PQC 移行を投機的な研究プロジェクトではなく、インフラモダナイゼーション施策として捉えています。

デジサートにおける量子コンピュータ対応セキュリティとは

社内システムでは、以下を採用しています。

• x25519mlkem768：機密性保護
• ML-DSA-44：認証

これらは多くのお客様にとって適切なデフォルト設定であると考えていますが、要件は組織ごとに異なります。そのため、デジサートのソリューションは ML-DSA-65、ML-DSA-87、および、より保守的な耐量子コンピュータソリューションを求めるお客様向けに SLH-DSA 系アルゴリズムもサポートしています。

デジサートは、標準化された PQC アルゴリズム、特に NIST が選定した方式に高い信頼を置いています。あらゆる実用的な観点から、従来の非対称暗号はすでに破られたものと考えているため、ハイブリッド構成を長期的な解決策とは見なしていません*。

ただし、デジサート自身は社内でハイブリッド認証を利用する予定はありませんが、移行期間中にハイブリッド構成を必要とするお客様をサポートします。ハイブリッド方式を検討されている場合は、pqc.labs@digicert.com までお問い合わせください。

*ここで「破られた」とは、RSA や ECC の安全性を大幅に低下させるアルゴリズムが存在することを意味します。Shor のアルゴリズムは、大規模量子コンピュータ構築に伴う技術的課題の有無に関係なく、この条件を満たしています。

現在デジサートがサポートしていること

デジサートは現在、社内（非公開）PKI と公開向けインフラの両方において、複数の本番環境向け PQC 機能をサポートしています。

DigiCert Private CA は、現在 ML-DSA 証明書の発行をサポートしています。詳細は、耐量子コンピュータソリューションに関する デジサートドキュメントをご覧ください。

www.digicert.com や one.digicert.com を含む主要な公開向け DigiCert TLS エンドポイントは、すでに x25519mlkem768 鍵交換をサポートしています。

2029 年移行計画

機密性（TLS）

2029 年移行計画の主要領域の一つが機密性保護です。この取り組みは、社内インフラと顧客向けサービス全体における TLS のモダナイゼーションと耐量子コンピュータ鍵交換に重点を置いています。

PQC TLS 移行では、量子コンピュータ対応と既存システムとの互換性を両立させる必要があります。直ちに PQC 専用 TLS へ切り替えると、多くの既存システムとの互換性が失われるため、段階的な移行が必要です。

フェーズ 1：TLS 1.3 の全面対応

デジサートの全 TLS 接続で TLS 1.3 と x25519mlkem768 鍵交換をサポートします。そのためには、社内外の TLS 接続の完全な棚卸しと、TLS 終端サービスを提供するベンダーとの連携が必要です。

フェーズ 2：顧客 TLS 移行

デジサートは、2028 年までに顧客が TLS 1.3 へ完全移行できるよう支援することを目指しています。最新のブラウザやライブラリは既に移行経路の大部分をサポートしていますが、古い業務アプリケーション、独自 SDK、組込みシステム、長寿命インフラは課題となります。

このフェーズは移行全体の中で最も運用負荷が高い段階です。一部のお客様では大規模な調整作業が必要になります。

フェーズ 3：従来型鍵交換の廃止

互換性維持の必要がなくなった時点で、デジサートは非 PQC 鍵交換方式を無効化する予定です。その時点で機密性保護は「今収集して後で復号する（HNDL）」攻撃に対して耐性を持つようになります。

認証（証明書）

認証は 2029 年移行計画におけるもう一つの重点分野です。この移行は耐量子コンピュータ証明書と PKI 自動化 を中心に進められます。

PQC 証明書の広範な展開には、以下のサポートが必要です。

• ブラウザベンダー
• IETF
• CA/B Forum
• TLS ライブラリ

デジサートは今後も標準化団体やエコシステムパートナーと協力し、導入促進を進めていきます。

社内 PKI 自動化

デジサートはすでに DigiCert® Private CA において ML-DSA 証明書をサポートしています。

次の重要なマイルストーンは、証明書発行およびライフサイクルワークフロー全体における PQC の完全自動化です。

また、デジサートはすでに ML-DSA の 3 つのバリアントすべてに対応する X9 PKI ルート証明書を保持しています。

社内 PKI 移行

デジサートは社内 PKI システムを ML-DSA-44 へ移行する予定です。

最大の制約要因はソフトウェアサポートです。OpenSSL 3.5 以降を利用するシステムでは一般的に ML-DSA をサポートしていますが、多くのブラウザ、プラットフォーム、暗号ライブラリではさらなる対応が必要です。

公開 ML-DSA 証明書対応

公開向け PQC 証明書は、最終的には CA/B Forum とブラウザベンダーの受け入れに依存します。デジサートは、標準が整い次第、公開 ML-DSA 証明書を提供する予定です。

Merkle Tree Certificates（MTC）

業界では現在、PQC 対応 Web PKI の代替手段として Merkle Tree Certificates（MTC）の評価も進められています。

MTC は証明書透明性のスケーラビリティ向上と証明書サイズ削減を実現できる可能性があります。証明書サイズが大幅に増加する耐量子コンピュータ環境では、これらの利点はさらに重要になります。

デジサートは MTC のプロトタイプ開発を進めており、従来の公開 CA サービスと並行して MTC 発行もサポートする予定です。

最終ステップ

機密性および認証システムの移行完了後、デジサートは認証情報、トークン、その他のシークレット情報をローテーションします。

スケジュールに影響を与える要因

大規模な暗号移行は、単一組織では制御できない要因に左右されます。

以下は、PQC 導入スケジュールを前倒しまたは遅延させる可能性のある要因です。

• 予想より早い CRQC 実現：暗号解読に実用的な量子コンピュータが早期に登場した場合、業界全体の移行スケジュールは大幅に前倒しされます。
• ベンダー対応状況：PQC 移行において最大の課題の一つです。重要ベンダーが PQC をサポートしていない場合、移行は遅延します。
• 組織規模：大規模組織ほど暗号移行に時間を要します。

量子コンピュータ対応への移行はすでに始まっている

早期にモダナイゼーションへ着手した組織は、耐量子コンピュータ要件が基本的なセキュリティ要件となる将来において、より有利な立場に立つことができます。

幸いなことに、必要な技術はすでに存在しています。あとは活用を始めるだけです。