ブログ  >   耐量子コンピューター暗号 (PQC)   >   PQC 証明書に量子コンピュータ耐性を備えた HSM は必要か?
耐量子コンピューター暗号 (PQC) 03-10-2026

PQC 証明書に量子コンピュータ耐性を備えた HSM は必要か?

Shane Kelly, P. Eng
Quantam Safe

デジサートでは、お客様に信頼とセキュリティを提供するためにハードウェアセキュリティモジュール(HSM)に大きく依存していることは言うまでもありません。耐量子コンピュータ暗号(PQC)への移行が進む中で、量子コンピュータの脅威に直面した際にこれらの HSM のセキュリティがどのように変化するのかを検証する必要が生じています。

本記事では、耐量子コンピュータ対応 HSM の 2 つの選択肢、すなわち量子コンピュータ耐性を備えた新しい HSM の導入と、既存の HSM をアップグレードして PQC 処理に対応させる方法について検討します。そして、PQC を扱える HSM を信頼できるのか、それともお客様の PQC 証明書を支えるには完全に量子コンピュータ耐性を備えた HSM が必要なのかという中心的な問いに向き合います。

HSM が暗号的信頼を確立する仕組み

まず HSM の基本について説明します。ご存知の通り、HSM はデジタルトラストとセキュリティの基盤を担います。秘密鍵を物理的に保管し、それを用いて証明書に署名します。一般的なソフトウェアの暗号ライブラリとは異なり、その名の通りハードウェアデバイスです。

HSM には、鍵情報の抽出や署名機能の悪用を防ぐための物理的保護機構が備わっています。銀行の金庫のようなもので、鍵保護のゴールドスタンダードとされています。

これらのデバイスはソフトウェアまたはファームウェアを実行しており、メーカー提供の正規バージョンであることを検証する必要があります。そのためにハードウェアベースの暗号鍵が使用されます。

 

A simplified view of how HSMs ensure that trusted software runs on the device.

 

上図のとおり、HSM にはデバイス上で最初に実行されるソフトウェア(通常はブートローダーまたはブート ROM)を検証するための不変の公開鍵が組み込まれています。この鍵は製造時に書き込まれ、変更することはできません。

これらの鍵に従来使用されてきた暗号アルゴリズムは RSA や ECC です。しかし、これらは量子コンピュータ耐性を備えていません。量子コンピュータに対して安全性を確保するには、ML-DSA や LMS などの PQC アルゴリズムが必要です。

PQC 標準化以前に製造されたデバイスでは、これを実現することはできません。ハードウェアの公開鍵は不変であるため更新できず、ブートローダー以降のソフトウェアは更新可能であっても、初期起動プロセスは量子耐性のないアルゴリズムに依存したままとなります。これらの旧型デバイスには量子対応のアップグレードパスは存在しません。

ここで、本記事で使用する用語を整理します:

量子コンピュータ耐性 HSM:PQC アルゴリズム(ML-DSA や LMS など)に基づく不変の公開鍵を持ち、内部の暗号機構もすべて PQC に依存する HSM。

PQC 対応 HSM:PQC 処理(例:ML-DSA-44 の署名・検証)を実行できる HSM。必ずしも量子コンピュータ耐性を持つとは限らず、不変鍵が RSA など従来方式の場合もあります。

暗号的セキュリティ:暗号アルゴリズムの数学的困難性に依存するセキュリティ。

運用セキュリティ:アクセス制御、ネットワーク制限、人的管理などの手続き的対策に依存するセキュリティ。

要するに、すべての量子コンピュータ耐性 HSM は PQC 対応 HSM ですが、すべての PQC 対応 HSM が量子コンピュータ耐性を持つわけではありません。

補足として、HSM は高価でスケールしにくく、ベンダーごとに操作方法も異なります。汎用ハードウェアではなく、特定用途に最適化された専用機器です。

FIPS 140-3 認証と PQC 対応

FIPS 140-2 は約 25 年前に導入され、2021 年に廃止されました。それ以降の認証はすべて FIPS 140-3 に基づいています。そのため、PQC に関する FIPS 認証はすべて FIPS 140-3 に該当します。

デジサートでは、従来用途および PQC 用途のいずれにおいても、本番環境では FIPS 認証済み HSM のみを使用しています。

暗号的セキュリティと運用セキュリティの評価

ここで中心的な問いに戻ります。PQC を実行できる HSM を信頼できるのか、それとも量子コンピュータ耐性 HSM が必要なのかという点です。

最もシンプルかつ保守的な答えは明確です。量子コンピュータ耐性 HSM を使用することです。HSM から証明書まで暗号的保証が求められる場合、これが唯一の選択肢です。

しかし、すべてのケースで暗号的セキュリティが必須というわけではありません。一部の顧客はソフト HSM を利用し、セキュリティをソフトウェアと運用管理で担保しています。

また、Web ブラウザや認証局(CA)の運用も、運用セキュリティに大きく依存しています。

HSM を導入している顧客でも、必ずしも暗号的保証を求めているわけではなく、単に最も安全な選択肢として採用している場合もあります。コストや要件を考慮すると、判断は変わる可能性があります。

その場合でも、追加の対策が必要です。

具体的には以下のような運用強化が考えられます:

  • ネットワークアクセスの厳格な制限
  • 更新作業を担当する人員の厳格な管理
  • ベンダーと連携したブート検証の強化

これらを組み合わせることで、一定のセキュリティレベルを確保できる場合があります。

現時点では顧客調査は行っていませんが、本議論は意思決定を支援するためのものです。

デジサートの現在のアプローチ

PQC 対応と量子コンピュータ耐性の違いは、求められる保証レベルに依存します。

現在、デジサートでは ML-DSA 証明書に対して量子コンピュータ耐性 HSM を使用し、ハードウェアから証明書までの完全な暗号的一貫性を確保しています。今後も顧客ニーズと業界動向を踏まえながら対応を進めていきます。

関連記事

特集記事

blog url
IDC Marketscape Press Release Hero
証明書ライフサイクル管理02-17-2026

アナリストが2026年にCLMが欠かせないと考える理由

blog url
Code Signing Certs Blog Updated Hero
CA/B フォーラム10-15-2025

コードサイニング証明書の有効期間変更について

blog url
2026 Predictions Hero
AI (人工知能) 12-24-2025

トラストの進化: 2026年のセキュリティ予測

  • DigiCert Logo

    法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。