Google が発表した量子コンピュータ耐性を備えた Web 認証に向けたロードマップは、ここ数年で最も重要なインターネット信頼基盤の変革の一つです。

これは単なる暗号のアップグレードではありません。Google は、従来の X.509 証明書チェーンから Merkle Tree 証明書（MTC）に基づく新しいモデルへと移行し、公開 Web 証明書の構造、発行、検証方法を根本的に再設計することを提案しています。

業界へのメッセージは明確です。量子コンピュータ時代への移行はすでに始まっており、Web PKI のアーキテクチャは進化しようとしています。

この発表が重要である理由

Google はすでに Cloudflare と連携して MTC のライブテストを実施しており、2027 年後半までに耐量子コンピュータ対応の新しいルートストアを含む 3 段階のロードマップを示しています。このように実運用での検証と明確なスケジュールが示されていることから、これは単なる研究段階にとどまるものではありません。

認証局（CA）エコシステムにとって、これは重要な警鐘です。耐量子コンピュータ認証への移行は、単なるアルゴリズムの置き換えではなく、証明書の発行・検証・配布方法をインターネット規模で再考する必要があります。

デジサートでは、DigiCert ONE を通じたプライベート証明書における PQC アルゴリズム対応の先行実装や、IETF や CA/Browser Forum などの標準化活動への参画を通じて、長年にわたり量子コンピュータ対応に投資してきました。今回の Google の発表は、当社が一貫してお客様にお伝えしてきた「暗号アジリティの確立と PQC の導入検証は今すぐ始めるべき」という考えを裏付けるものです。

耐量子コンピュータ暗号のパフォーマンス課題

耐量子コンピュータ署名の本質的な課題は、そのサイズです。

NIST により標準化された ML-DSA などの PQC アルゴリズムは、現在の楕円曲線署名と比較して、署名および公開鍵のサイズが大幅に大きくなります。従来の署名が約 64 バイトであるのに対し、耐量子コンピュータの署名は約 2.5 キロバイトに達し、約 40 倍に増加します。

証明書は TLS ハンドシェイク中に交換されます。これは Web コンテンツが読み込まれる前に実行される遅延に敏感なプロセスです。証明書チェーンや Certificate Transparency（CT）の証明が大幅に拡大すると、TLS ハンドシェイクは 15〜30 KB に達する可能性があります。この増加は、特にモバイルや帯域制限のあるネットワークにおいて、ページ読み込み速度の低下を招くリスクがあります。

量子コンピュータに対して安全な認証がパフォーマンスを著しく低下させる場合、その導入は遅れ、本来得られるべきセキュリティ効果の実現も遅延します。

Merkle Tree 証明書による解決アプローチ

Merkle Tree 証明書（MTC）は、このパフォーマンス課題の解決を目的として設計されています。

各証明書に大きな耐量子コンピュータ署名を付与する代わりに、CA は複数の証明書をまとめた Merkle ツリーの「ツリーヘッド」に対して 1 つの署名を行います。ブラウザはコンパクトな包含証明を受け取り、大量の暗号データを含む証明書チェーンをダウンロードすることなく検証を行えます。

その結果、TLS ハンドシェイクで転送される認証データは現在とほぼ同等のサイズを維持しながら、耐量子コンピュータ性を実現できます。

また、MTC は証明書発行モデルに透明性を組み込みます。証明書は公開ツリーに含まれる必要があるため、透明性が標準機能となり、CT による追加オーバーヘッドの多くが不要になります。

MTC の標準は現在 IETF で策定中であり、ツリーの運用管理、ブラウザ更新モデル、エコシステム移行など、いくつかの課題が残されています。デジサートは IETF の PLANTS ワーキンググループに参加し、これらの議論に積極的に関与しています。

証明書透明性オペレータの役割

Google の展開計画では、CT ログ運用者が MTC エコシステムの初期構築における重要な役割を担うとされています。これは理にかなっています。CT と MTC はどちらも Merkle ツリー構造と追記型のグローバルログ基盤に依存しているためです。

デジサートは Chrome に認められた CT ログを運用した最初の CA であり、2013 年以来その基盤を維持してきました。このようなインフラ運用には、高可用性、暗号的一貫性、そして数百万件のエントリを確実に処理する能力が求められます。

この経験により、デジサートは本移行の中心的な役割を担う位置にあります。運用ノウハウ、標準化への積極的な関与、そしてプラットフォーム全体にわたる PQC 対応力を備えています。

移行はどの程度の影響をもたらすか

耐量子コンピュータ暗号への移行は、インターネット史上最大規模の暗号移行となります。しかし、それは混乱を伴う必要はありません。

理想は、ユーザーが何も変化を感じないことです。変化はバックエンドで起こります。

• CA による新しい形式とアルゴリズムの対応
• サーバー側の構成更新
• ブラウザの検証ロジックの更新
• CT 基盤の進化

さらに影響は Web サイトにとどまりません。IoT デバイス、組み込みシステム、コード署名、ドキュメント署名、メールセキュリティなど、PKI に依存するあらゆる領域で対応が必要です。

より大きなリスクは変化そのものではなく、対応の遅れです。攻撃者はすでに将来の量子コンピュータによる復号を見越して、暗号化データの収集を開始しています。

今、組織が取るべき対応

Google の発表は、いくつかの重要なポイントを改めて示しています。

1. PQC への移行はすでに始まっています。 実証は進行中であり、スケジュールも明確です。Gartner は、量子コンピュータが実用化される前であっても、「Harvest Now, Decrypt Later」攻撃により、2029 年までに RSA や ECC などの従来の公開鍵暗号は機密データ保護に不十分になると予測しています。
2. 暗号アジリティは不可欠です。 環境を再構築することなくアルゴリズムを切り替えられる必要があります。DigiCert Trust Lifecycle Manager は、このような移行を円滑に進めるための可視化と自動化を提供します。
3. オープン標準が鍵となります。 IETF PLANTS ワーキンググループを通じた協調により、ブラウザ、クラウドプロバイダ、CA コミュニティ全体で機能する基盤が実現されます。デジサートはこのマルチステークホルダーアプローチに引き続き注力しています。

まだ準備を開始していない組織は、今すぐ以下に取り組むべきです。

• 暗号資産のインベントリを作成する
• テスト環境で PQC 証明書の検証を開始する（DigiCert Labs （英語） では無償で量子コンピュータに対して安全な証明書を提供しています）
• 標準の進化に対応できるよう、証明書ライフサイクル管理の一元化に投資する

量子コンピュータ時代は遠い未来の話ではありません。基盤となるインフラの変化はすでに始まっています。もはや問われているのは「Web が耐量子コンピュータ認証へ移行するかどうか」ではなく、「そのときに自社が準備できているかどうか」です。