すべての SSL 記事 SSL と証明書

ポスト量子 TLS:2026年の耐量子 HTTPS とは

ポスト量子 TLS とは、大規模な量子コンピュータを持つ攻撃者に対しても安全を保つ HTTPS です。現在の鍵交換を支える数学——量子コンピュータが破れてしまうもの——を、量子攻撃に耐えるよう設計されたアルゴリズムに置き換えます。

これは遠い未来の研究プロジェクトではありません。2026年半ばの時点で、Cloudflare を通る人間のウェブトラフィックの 65% 超がすでにポスト量子で暗号化されており、Chrome・Edge・Firefox はサーバーが対応していれば既定で耐量子鍵交換をネゴシエートします。最近モダンなブラウザで Google を訪れたなら、ほぼ確実に気づかぬうちにポスト量子 TLS を使っています。

なぜ従来の TLS は危険なのか

現在の TLS は2種類の公開鍵数学に依存しています。

  • 鍵交換(ECDHE、X25519 や P-256 を使用)——公開された経路上で共有秘密を取り決めます。
  • 署名(RSA、ECDSA)——証明書が本物であることを証明します。

どちらも従来型コンピュータには困難な問題——大きな数の素因数分解(RSA)と楕円曲線離散対数(ECC)——に依存しています。十分に大きな量子コンピュータ上で動く Shor のアルゴリズムは、その両方を効率的に解いてしまいます。「暗号学的に意味のある量子コンピュータ(CRQC)」はまだ存在しませんが、この分野の進展は計画を「起こるかどうか」から「いつ起こるか」へと移すほど速く進んでいます。

公開鍵暗号 → では、量子コンピュータが脅かす基礎となる数学を解説しています。

「ハーベスト・ナウ/ディクリプト・レイター」——なぜ今日緊急なのか

こう思うかもしれません。今日 TLS を破れる量子コンピュータは存在しないのだから、急いで切り替える必要はないのでは、と。

脅威は**ハーベスト・ナウ/ディクリプト・レイター(harvest now, decrypt later、HNDL)**です。攻撃者は今日あなたの暗号化トラフィックを記録して保存しておき、将来——おそらく2030年代——量子コンピュータが使えるようになった時点で、保存したトラフィックを遡って復号します。

このため、鍵交換の期限は量子コンピュータの到来よりもずっと早くなります。秘匿性の寿命が長いデータ——医療記録、金融データ、政府機密、ソースコード、認証情報——は、記録がすでに進行中である以上、耐量子暗号を必要とします。

鍵交換は緊急、署名はそれほどでもない。 すでに起きたトラフィックに対して署名を遡って偽造することはできません——署名は量子コンピュータが現れるに耐量子であればよいのです。だからこそ業界はまずポスト量子鍵交換を展開しました。

標準:ML-KEM と ML-DSA

2024年8月、NIST は最初の確定したポスト量子標準を公開しました。

標準名称役割置き換え対象
FIPS 203ML-KEM(旧称 Kyber)鍵カプセル化(鍵交換)ECDHE / RSA 鍵交換
FIPS 204ML-DSA(旧称 Dilithium)デジタル署名RSA / ECDSA 署名
FIPS 205SLH-DSA(SPHINCS+)ハッシュベース署名保守的な署名の予備

ML-KEM(Module-Lattice Key Encapsulation Mechanism)こそ、すでに TLS に展開されているものです。ML-KEM-512、ML-KEM-768、ML-KEM-1024 の3サイズがあります。ウェブで使われるちょうどよい落としどころが ML-KEM-768 です。

ハイブリッド鍵交換:X25519MLKEM768

ブラウザは一夜にして従来型暗号を捨て、純粋なポスト量子に切り替えたりはしません。それは無謀です——ML-KEM は新しく、欠陥があればすべてが崩れます。代わりに TLS 1.3 は、従来型とポスト量子のアルゴリズムを組み合わせたハイブリッド鍵交換を使います。

2026年に目にする名前付きグループが X25519MLKEM768 です。

X25519MLKEM768 = X25519(従来型 ECDHE)  +  ML-KEM-768(ポスト量子)

2つの共有秘密が連結され(X25519 から32バイト + ML-KEM から32バイト = 64バイトの結合秘密)、TLS の鍵スケジュールに投入されます。

安全性の保証は**「どちらか一方が保たれていれば安全」**です。攻撃者はセッション鍵を回復するために X25519 ML-KEM-768 の両方を破る必要があります。したがって:

  • ML-KEM-768 に欠陥が見つかっても → X25519 が依然としてあなたを守ります(従来型攻撃者に対して)。
  • 量子コンピュータが X25519 を破っても → ML-KEM-768 が依然としてあなたを守ります。

この二重の安全設計こそ、純粋なポスト量子ではなくハイブリッドがどこでも既定になっている理由です。

ハンドシェイクでの位置づけ

ハイブリッド鍵交換は、TLS 1.3 とは → で説明されている同じ TLS 1.3 ハンドシェイクを使います。唯一の違いは key_share です。ClientHello は通常の X25519 ではなく X25519MLKEM768 の鍵シェアを運びます。ML-KEM の鍵はより大きい(32バイトではなく約1.2 KB)ため、ClientHello は約1キロバイト増えます——通常は無視できますが、制約のあるネットワークではまれにパケット境界をまたぐことがあります。

これは依然として前方秘匿性 → を提供します。接続ごとに新しい鍵ペアを生成する、そのポスト量子版です。

2026年にすでに展開されているもの

コンポーネントポスト量子の状況(2026年半ば)
Chrome / Edge既定で X25519MLKEM768 をネゴシエート
FirefoxX25519MLKEM768 に対応・有効化済み
Cloudflare人間トラフィックの 65%+ がポスト量子暗号化済み;鍵交換は完了
Googleポスト量子鍵交換を提供
AWSKMS・ACM・Secrets Manager で ML-KEM 対応;2026年に旧 Kyber を廃止
OpenSSL 3.5+ML-KEM と X25519MLKEM768 をネイティブ対応
Java(SunJSSE)X25519MLKEM768 を既定で有効化

まだ大規模には完了していないのがポスト量子証明書です——RSA/ECDSA ではなく ML-DSA で証明書に署名することです。ML-DSA の署名と公開鍵ははるかに大きく(約64バイトではなく数キロバイト)、ハンドシェイクを肥大化させ、証明書チェーンのサイズ上限を圧迫します。Cloudflare は2026年半ばまでにオリジン接続で ML-DSA を使う計画で、サイズを管理可能に保つため Merkle Tree Certificates を検討しており、認証を含む完全なポスト量子を2029年までに実現することを目標としています。

ポスト量子 TLS を使っているか確認する方法

ブラウザで

Chrome で任意の大手サイトを開く → デベロッパーツール → **Security(セキュリティ)**タブ → 接続の詳細を見ます。ポスト量子接続では X25519MLKEM768 のような鍵交換が表示されます(古いビルドでは X25519Kyber768 の場合も)。

OpenSSL 3.5+ で

openssl s_client -connect cloudflare.com:443 -groups X25519MLKEM768 2>/dev/null \
  | grep -i "Negotiated TLS1.3 group"
# 期待値:Negotiated TLS1.3 group: X25519MLKEM768

エラーになるか別のグループが表示される場合、OpenSSL が 3.5 より古いか、サーバーがまだポスト量子鍵交換を提供していません。

OpenSSL のバージョンを確認

openssl version
# 必要:X25519MLKEM768 のネイティブ対応には OpenSSL 3.5+

サーバーで有効化する方法

ほとんどのサイトでは、答えはアップグレードして、それを無効化しないことです——スタックが対応すれば、ポスト量子ハイブリッド鍵交換は自動的に有効になります。

Nginx / Apache

ポスト量子鍵交換は Web サーバー設定ではなく、あなたの TLS ライブラリの中にあります。OpenSSL 3.5+(または ML-KEM 対応の BoringSSL)に対してビルド・実行してください。リンクされれば、X25519MLKEM768 は X25519 と並んで自動的に提供されます——新しいディレクティブは不要です。ssl_ecdh_curve を単一の従来型曲線に固定しないでください。ハイブリッドグループを除外してしまいます。

CDN の背後で

最も簡単な方法は、サイトを Cloudflare(または PQC 対応の別の CDN)の背後に置くことです。ブラウザからエッジへの接続が即座にポスト量子になり、オリジンへの変更は不要です。あの 65% のトラフィックの大半は、こうしてポスト量子になりました——運用者はオリジンサーバーに一切触れていません。

証明書はまだ変更不要

ポスト量子鍵交換に新しい証明書は不要です。既存の RSA や ECC 証明書がそのまま機能します——ハイブリッド鍵交換が守るのはセッションであり、証明書は当面、従来型の署名を使い続けます。ポスト量子証明書(ML-DSA)は別の、より後の移行です。

よくある質問

特別な「耐量子証明書」を買う必要がありますか?

いいえ。ポスト量子鍵交換(緊急な部分)は証明書にまったく関与しません——現在の RSA/ECC 証明書がそのまま機能します。今日「耐量子 SSL 証明書」を売っているものはほぼマーケティングであり、本番利用できるポスト量子署名(ML-DSA)はまだ公的 CA から広く発行されていません。

ポスト量子 TLS は遅くなりますか?

ほとんど変わりません。ML-KEM-768 は計算が速く——多くの場合 ECDHE より速いほどです。主なコストはサイズです。より大きな鍵シェアがハンドシェイクに約1 KB を追加し、パケット上限が非常に小さいネットワークでのみ1回余分なラウンドトリップを要することがあります。ほぼすべてのユーザーにとって差は測定不能です。

量子コンピュータが実際に RSA を破るのはいつですか?

誰にもわかりません。信頼できる推定は2030年代初頭から「大規模には決して無理かもしれない」まで幅があります。しかしハーベスト・ナウ/ディクリプト・レイターのため、鍵交換の展開期限はすでに来ています——だからこそブラウザと CDN は待たずに2024〜2026年に動いたのです。

TLS 1.2 はどうなりますか?

ポスト量子ハイブリッド鍵交換は TLS 1.3 のみに定義されています。これは TLS 1.3 → を有効にすべきもう一つの理由です——耐量子 HTTPS への唯一の道だからです。TLS 1.2 がポスト量子鍵交換を得ることはありません。

ML-KEM は Kyber と同じですか?

はい——ML-KEM は、かつて CRYSTALS-Kyber と呼ばれたアルゴリズムを NIST が標準化したものです。古いブラウザビルドやツールは Kyber768 を表示し、標準化された展開では ML-KEM-768 を使います。両者は密接に関連していますがビット単位で同一ではないため、最終標準のクライアントと標準前のサーバーの間ではネゴシエーションに失敗することがあります。2026年までにエコシステムは概ね最終的な ML-KEM へ移行しました。

今、何をすべきですか?

典型的なウェブサイトなら:TLS 1.3 を使っていることを確認し、TLS ライブラリを最新(OpenSSL 3.5+)に保ち、寿命の長い機微なデータを扱うなら PQC 対応の CDN を検討してください。これで今日、耐量子鍵交換を得るには十分です。ポスト量子証明書は、標準と CA ツールが成熟するのを待って構いません。

関連記事

SSL と証明書 2026-05-08
TLS 1.3とは?変更されたすべて
TLS 1.3は現在の暗号化標準。高速なハンドシェイク、必須の前方秘匿性、レガシーアルゴリズムなし。TLS 1.2からの変更点、有効化方法、強制すべきかを解説します。
SSL と証明書 2026-05-08
前方秘匿性(Perfect Forward Secrecy)とは?
前方秘匿性により、すべてのTLS接続が固有の鍵を使用します。サーバーの秘密鍵が侵害されても、過去の通信は復号できません。仕組みと有効化の確認方法を解説します。
SSL と証明書 2026-05-08
公開鍵暗号:SSL暗号化の実際の仕組み
公開鍵暗号は鍵ペア(公開鍵と秘密鍵)を使用してHTTPS接続を保護します。非対称暗号化、デジタル署名、鍵交換がSSL/TLSを可能にする仕組みを解説します。
SSL と証明書 2026-05-07
ECC vs RSA証明書:どちらを選ぶべきか?
ECC(ECDSA P-256)とRSA(2048/4096ビット)の証明書を比較。ECC鍵はより小さく高速です。GetHTTPSがECCをデフォルトにする理由とRSAが依然として意味を持つ場合を解説します。
ブラウザで無料 SSL 証明書を取得
インストール不要、アカウント不要。秘密鍵は常にデバイスに残ります。
証明書を取得