※ 本ブログは、2025年3月18日にHP WOLF SECURITY BLOGにポストされた From False Alarms to Real Threats: Protecting Cryptography Against Quantum の日本語訳です。

量子コンピューターは非対称暗号を破ることができ、それは社会のデジタルインフラにとって壊滅的な打撃となります。暗号を破るのに十分な強力な量子コンピューターは現在存在していませんが、2024年にはその脅威が徐々に現実のものと近づいてきています。複数の量子コンピューティング技術が開発上の障害を克服しつつあるため、セキュリティコミュニティは、十分な性能を持つ量子コンピューターが必ず登場すると確信するようになりました。10年後になるという見方もありますが、最近の技術革新のスピードを考えると、予想外のブレイクスルーがそれを加速させる可能性もあります。これは極めて深刻なセキュリティリスクがもたらします。なぜなら、我々は長期間にわたってその保護に頼っており、脅威が生じる前にその保護を確立する必要があるからです。

このトピックについて最後に記事を書いたのは1年前の [1] ことですが、それ以来、世界中の当局が、組織に対して耐量子暗号へのシステム移行を開始するよう促す取り組みを強化しています。 特に重要インフラは、標的となりやすいことから、これらの量子リスクを軽減することが強く推奨されています。移行の優先事項として、キャプチャ＆デクリプト攻撃に対して脆弱な機密データや、ハードウェアに基づく保護機能などが挙げられます。ハードウェアおよびファームウェア基盤の保護機能がアップグレードされていない場合、たとえハードウェア上で実行されているソフトウェアに耐量子性があっても、量子攻撃者はデバイスを侵害することができます。

2024年には、量子技術による暗号解読に関する誤った警報がもいくつかありました。量子コンピューティングの技術革新が進むにつれ、このような誤った警報がトレンドになることが予想されます。私たちが目にしたのは、このような誤った警報が一部の人々をパニックに陥れる一方で、他の人々は無関心というものでした。しかし、このような誤報は、実際の警報に対する備えやその影響についての理解を深めるという意味では有益でした。つまり、私たちは警戒を怠らず、現実の脅威に備えなければなりません。

HPでも、量子コンピューターによる暗号解読の脅威からお客様を守るための取り組みを進めてきました。昨年、我々は量子コンピュータ攻撃からファームウェアの完全性を保護する世界初のビジネス向けPCを発表しました[2]。そして今回、量子コンピューター攻撃からファームウェアの完全性を保護する世界初のプリンターを発表します[3]。これらのセキュリティ技術のイノベーションは、将来の脅威からお客様を守るというHPの取り組みを示すものです。

「より強力な量子コンピューターに向けた技術革新が進む中、私たちが日常のデジタル生活で依存している非対称暗号化に対する脅威に備えることが急務となっています。 これは、一度導入すると簡単に更新できないシステムの移行から始まります。昨年、量子コンピューターに耐性のあるファームウェアの完全性保護機能をPCに導入したのに続き、今回、将来的な量子コンピューターの脅威から保護する同様の機能を備えたプリンターの発売を発表します。HPは、エンドポイントセキュリティのイノベーションをリードし、お客様を将来にわたって保護するという使命を継続していきます」 - Boris Balacheff, HP Fellow and Chief Technologist for Security Research and Innovation. Head of the HP Security Lab

過去12か月間、暗号およびセキュリティコミュニティでは、量子コンピューティングの進歩に対する懸念が高まっています。昨年は、量子コンピューティング技術における重要な進展が見られた一方で、暗号を危険にさらす可能性のある量子技術の飛躍的進歩に関する誤報が何度も発生しました。これらの誤報は最終的に否定されましたが、量子コンピューティングの実際の進歩と並行して考えると、社会のデジタルインフラの脆弱性が浮き彫りになりました。十分に強力な量子コンピューターがあれば、世界中で使用されている暗号技術の多くを破ることができるでしょう。暗号技術がセキュリティの根幹をなしていることを考えると、世界が準備を整える前に量子コンピューティングが飛躍的な進歩を遂げれば、セキュリティが脅かされることになります。攻撃者がデジタルインフラを自由に操り、ネットワークサービスへのアクセス、デバイスの乗っ取り、ブロックチェーン資産の盗難、機密データの復号などを行うことが可能になるかもしれません。

こうした進歩への対応として、暗号技術の強化を急ぐ必要性が高まり、技術当局や専門家が積極的に取り組んでいます。この緊急性の高まりにより、迫り来る量子コンピューターの脅威に対処するためのスケジュールが前倒しされ、新たな政策が打ち出されることになりました[1]。このような背景から、セキュリティコミュニティでは対策の強化が進められています。学術機関、標準化団体、政府、業界が協力し、技術を量子耐性のあるものに移行するための一丸となった取り組みが展開されています。

HPは量子脅威に対して積極的に準備を進めています。我々のセキュリティイノベーション戦略は、これまで、次々と登場し進化し続けるサイバー脅威からお客様を保護するための必要な準備に重点的に取り組んできました。この取り組みには、将来の量子コンピューターによる暗号への脅威も含まれます。この取り組みにおいて、お客様を保護するために、HPはハードウェアや低レベルのファームウェアから始めるアプローチで、重要なデバイス基盤の量子耐性を優先しています。

本ブログ記事では、昨年コミュニティに広まった2つの誤った警報について、またそこから学んだことについて説明します。暗号に対する量子コンピューティングの脅威の現状と、コミュニティがどのように対応策を準備しているかについても探ります。最後に、耐量子暗号への移行に関するHPの戦略と進捗状況をまとめます[2]。これには、量子コンピューター攻撃からファームウェアの完全性を保護する世界初のプリンターに関する今回の発表も含まれます[3]。

最初の警報：格子暗号を解く量子アルゴリズム

最初の誤った警報は、2024年4月に開催されたNIST第5回PQC標準化会議 [4] で発生しました。この会議は、量子コンピューター攻撃に耐える暗号技術について話し合うために招集されたものでした。この報告の引き金となったのは、技術コミュニティがほぼ10年間にわたって取り組んできた暗号技術を破るのに有効な可能性のある新しい量子コンピューター攻撃について記述した学術論文（新たに発表されたばかりで、まだレビューや裏付けは行われていない）でした。この暗号は、量子コンピューターがRSAやほとんどの楕円曲線暗号（ECC）のような従来の非対称暗号を破るのであれば、デジタルインフラを保護するための世界標準となるはずでした。この暗号が破られたという主張は衝撃的であり、事実であれば、量子耐性への移行計画は混乱をきたしたでしょう。

“Quantum Algorithm for Solving Lattice-Based Cryptosystems”（格子暗号方式の解読のための量子アルゴリズム）[5]と題された論文に関する憶測がHPの技術系ソーシャルメディアネットワーク上で飛び交いました。 我々のチームの一人がその会議に出席していました。講演が続き、聴衆が熱心に耳を傾ける中、出席者たちは徐々に小さなグループを作って、その論文の意味を理解しようとしました。驚くべきことに、その論文が間違っていると確信している人は誰もいませんでした。ほとんどの参加者は、おそらく間違っているだろうと考えていましたが、額面通りに受け取れば、その論文は説得力があります。耐量子格子暗号を非常に不安定な立場に置く、信頼性の高い9ステップのアルゴリズムが提示されていたからです。

8日間、暗号学者と量子コンピューティングの専門家たちの間で、白熱した分析が繰り広げられました。しかし、双方の分野の専門家を名乗れる人はごくわずかであり、多くの研究者は専門外の分析に取り組むことになりました。Discordのコミュニティが立ち上がり、論文の主張に関する包括的な分析と優先順位付けをクラウドソーシングしました。この集中的な評価フェーズは、2人の研究者がアルゴリズムの最終ステップに矛盾を見つけたことで終了しました。論文の著者はこの批判を受け入れ、最終ステップに解決不可能なエラーがあったことを確認しました。

こうして、コミュニティは再び息を吹き返しました。しかし、1週間もの間、私たちのデジタルライフの大部分を将来にわたって保護する暗号の開発を担うコミュニティは、自分たちが間違っている可能性を真剣に考慮していました。この問題は技術的なものであり、現在使用している暗号には影響がなかったため、このニュースはセキュリティコミュニティ全体にパニックを引き起こすことはありませんでした。また、暗号の技術コミュニティ内でも、疑念が勢いを増して広がるほど長くは続きませんでした。

第2の警報：量子アニーリング公開鍵暗号攻撃

2024年の2度目の瞬間、より広範なセキュリティコミュニティが暗号が破られたと考えたのは、やはり学術論文がきっかけでした。"Quantum Annealing Public Key Cryptographic Attack Algorithm Based on D-Wave Advantage"（D-Wave Advantageによる量子アニーリング公開鍵暗号攻撃アルゴリズム）と題された論文は、2024年5月に Chinese Journal of Computing 誌に掲載されました。この間違った警告により、技術コミュニティやその他の分野でも、より広範な不安とパニックが生じました。複数のレポートが、D-Wave Advantage 量子コンピューターを使用して、一部の研究者がRSA暗号を解読できたと誤って報じました。一般読者は元の論文を評価することができず（アブストラクトのみ英語で公開）、レポートは現実の不安を煽りました。しかし、RSAが解読されたという主張にはほとんど信憑性がなく、専門家のコンセンサスが急速に形成されました。詳細に検討した結果、研究者が解読したのはごく小規模で簡略化されたRSAのみであり、彼らの解決策はセキュリティに使用されるような規模では適用できず、したがって現実的な脅威ではないことが明らかになりました。

再び、1週間ほど経ってから、暗号解読に関する懸念はほぼ沈静化しました。しかし、その後数ヶ月間は、不正確なレポートが依然として現れ、最初のレポートを見逃していた人々の間で新たな懸念の波を引き起こしました。

誤った警報の中で備えを怠らない

こうした事象の利点のひとつは、暗号の基礎となる基本要素が突如として取り除かれた場合のセキュリティコミュニティの準備を試すことができることです。その観点から見ると、こうした警告は、飛行機が離陸する前の安全説明のようなものであり、コミュニティに最悪の事態にどう対処すべきかを考えさせるものでした。もし実際にこのような事象が起こった場合、私たちは準備ができているのでしょうか？どのような準備が必要で、それはできているのでしょうか？

幅広い層の人々が不安を抱いたという事実は、量子脅威がもたらす重大な影響に対する理解が深まりつつあり、今後ますます対策が求められるようになることを示しています。これらのインシデントがうまく対処されたことは、暗号研究を評価するための慎重かつ協調的なアプローチの重要性を強調しています。なぜなら、コミュニティは、これらの複雑なアイデアを確実に評価できることが信頼できることを示したからです。残念ながら、このような学術論文の分析は本質的に複雑であり、暗号学、数学、量子アルゴリズム、量子コンピューター工学、物理学など、希少で複数の分野にまたがる高度な専門知識を必要とします。そのため、暗号の安全性については定期的に疑念が生じることを想定し、パニックに駆られた反応を起こす前に評価を待つ忍耐力を持つべきでしょう。

ある日、驚くようなニュース、あるいは画期的な進展の確実な噂が流れるかもしれません。パニックに陥るのではなく、優先事項に基づき、耐量子保護策を確実に準備し導入すべきです。

しかし、量子コンピューティングの画期的な進歩に関連する誤った警報が多すぎると、人々が安心し、行動を起こさなくなるという懸念もあります[6]。 そして、量子コンピューティングの脅威はまだ深刻な懸念ではないと人々が思い込む可能性もあります。 あまりにも多くのインシデントが不当なパニックを引き起こすようであれば、本当の脅威が最終的に発生した際にも、単なる誤った警報の1つとして無視されてしまうかもしれません。

評価すべき量子技術の画期的な進歩が数多くあり、何が信頼できるのか不確かなため、量子コンピューティングの全体像を把握し、事実と虚構を区別することは困難です。現実を詳しく見てみましょう。

本当の警報レベル：量子コンピューティング技術の最近の進歩

真の警報のレベルを測るには、量子コンピューティング技術の進歩を評価すべきでしょう。この1年で、複数の有望な道筋が現れるなど、いくつかの技術で目覚ましい進歩がありました。たとえ一部が失敗しても、他のものは成功するかもしれません。1年前と比較すると、大規模な量子コンピューティングが実現する可能性は高まっているように思われます。この可能性を定量化するには、専門家の意見を求める必要があります。

グローバルリスク研究所の2024年レポート [7] は、2034年までの量子脅威の「非常に高い可能性」をハイライトし、「サイバーセキュリティの観点から容認できないリスク」を指摘しています。調査対象となった32人の専門家のほぼ3分の1が、2034年までに量子コンピューターが暗号解読を行う可能性が50%以上あると推定しており、平均推定値は27%でした。これは、これまでに実施された6回の年次調査の中で最も高い数値です。最近の変化を要約すると、このレポートでは次のように述べています。「昨年の進歩により、量子研究コミュニティ内外の多くの人々が、量子脅威が想像以上に身近なものになっているかもしれないと認識するようになった」ドイツの情報セキュリティ当局であるBSIは最近、量子コンピューター技術に関する包括的な評価を更新しました。[8] レポートでは、大きな障害が解決されたことにより、量子コンピューターが暗号を解読する可能性は早ければ16年以内であると結論づけていますが、新たな開発により10年以内にブレークスルーが起こる可能性もあると認めています。

量子コンピューティングの候補技術にさまざまな面での進展が見られるだけでなく、安定性、規模、相互接続性、動作ソフトウェアなどの面でも進展が見られます。

安定性の確保は、量子技術は状態を長時間維持できないため、現在の量子技術にとっての大きな課題となっています。ノイズを低減し、導入されるエラーよりも多くのエラーを修正する効果的なエラー訂正を使用することは、長期的な安定性を確保するために不可欠です。

4つの技術：超伝導トランジスタ（Google[9]）、イオントラップ（Microsoft-Quantinuum[10][11]）、中性原子（Harvard-MIT-NIST-QuEra[12]）、カラーセンター（Delft-Juelich-Element Six[13]）によって達成された、その有効性の実証は重要なマイルストーンです。

システムのサイズが、生産工程が成熟するに従い大型化しており、Google が 105 量子ビットの Willow を発表 [14]、IBM が 156 量子ビットの Heron を発表 [15]し、プロセッサのスケーリングのロードマップを提示 [16]、Microsoft と Quantinuum が H2 Trapped Ion プロセッサを 56 量子ビットにアップグレードしました [17]。2022年に主要な要素が実証されたばかりの比較的新しい中性原子技術の安定性と規模も、大幅な改善が見られ、加速の可能性も示されています [12][19]。この研究から生まれたスタートアップ QuEraは、今年2月に2億3000万ドルの資金を獲得しており [20]、このアプローチに対する高い関心がうかがえます。最近注目すべきこととして、より自然な安定性を持つ新しい技術であるトポロジカル量子ビットが、Microsoftによって初めて概念実証のデモンストレーションがされました [21]。同社は、この技術によって「100万個の量子ビットを1つのチップに収める明確な道筋」が得られると主張しており、これは大規模化に必要なものです。

異なるチップ間の量子状態の相互接続の高度化により、大規模な量子コンピューターに必要な分散型量子コンピューティングの実現に目処が立ちつつあります[22][23][24] 。さらに、多数の組織から成るエコシステム [25]が、量子コンピューターのオペレーションや量子プログラムの作成に必要な開発者向けツールとソフトウェアスタックの開発に取り組んでいます。このスタックは、古典的コンピューティングのスタックと同様に、物理的なマシン命令からより高度なプログラミング言語までをカバーしており、専門家が専門知識を効果的に活用し、発展を促進することを可能にします。

こうした進歩を踏まえ、量子コンピューティングの専門家であるScott Aaronson [26]は最近、「拡張性のあるフォールトトレラント量子コンピューターの開発競争は、実際に始まっている」ことを信じていると発言しています。暗号に対する量子脅威への対応の緊急性に関する彼の立場は、「おそらく」から「間違いなく、今この問題を懸念すべきである。計画を立てよう」へと変化しました。

まとめると、この1年で量子コンピューティングにおけるブレークスルーにより、今日の暗号の解読を可能にする量子コンピューターが間もなく実現可能になるのではないかというコンセンサスが強化されました。有望視されている技術の1つが驚くほどの加速を見せ、10年以内に暗号解読が可能になる可能性もあります[8]。したがって、私たちは準備状況を評価し、万全の態勢を整えるための行動を取ることが極めて重要です。

量子脆弱な暗号の移行はゼロデイ脆弱性へのパッチ適用とは全く異なるレベルの問題

量子脆弱な暗号を修正する問題は、コードにおけるゼロデイ脆弱性を修正するようなものだと考えたくなるかもしれません。しかしながら、このアナロジーは量子脅威の範囲を過小評価しています。ゼロデイ脆弱性とは、特定のプログラムやライブラリにおける特定のコンピューター命令のシーケンスにおけるエラーであり、通常は特定して修正することができます。Log4j脆弱性 [27] のように、広く普及しているライブラリでエラーが発生した場合でも、パッチを適用することで修正が可能です。

ゼロデイとは異なり、量子脅威は特定のコンピューター命令のシーケンスに適用されるのではなく、脆弱な非対称暗号化のすべての実装に適用されます。これらの実装は多岐にわたり、潜在的には何百万もの異なるコードシーケンスが存在します。量子コンピューターが実用化された場合、これらの一つ一つに個別にパッチを適用し、使用されている暗号アルゴリズムとキーをアップグレードする必要があります。そのため、セキュリティ実務者、ビジネスリーダー、暗号専門家による世界的な取り組みと協力が求められます。

このパッチ適用プロセスはすでに始まっており、セキュリティコミュニティが現在取り組んでいる耐量子暗号への移行の要素のひとつです。しかし、組織はどのように対応すべきでしょうか？それでは次に進みましょう。

現在行動を起こしている国々

政府、産業界、学術界、標準化団体全体で、量子攻撃から保護するための仕組みが、一定の緊急度をもって導入されつつあります。我々のアドバイスは、量子攻撃者に脆弱となるものをまず洗い出すことから始めることです。次に、移行と保護を優先すべきものを、私たちのブログで説明しているように、優先順位付けします[1]。ほとんどの組織にとって最も緊急の優先事項は、以下の通りです：

• 長期にわたる機密保持要件のあるデータの保護
• ハードウェア暗号のアップグレードによる長寿命システムの保護

ハードウェアのアップグレード費用は相当な額に上ると予想されています。2024年7月、米国国家サイバーセキュリティ長官室は、2025年から2035年の間に優先的に米国政府システムで耐量子暗号への移行を行う場合の総費用を約71億ドルと見積もったレポート [28]を発表しました。その計算では、特にハードウェアやファームウェアに組み込まれた暗号を移行することが、その総費用のかなりの部分を占めるとしています。

政府当局は、専門的知見を持ち、かつ国家資産を保護する責任を担うという独自の立場にあります。重要なシステムやインフラに関する政府当局の戦略や方針を理解することは、あらゆる組織が適切な緊急性をもって移行計画を立てるのに役立つでしょう。

包括的な計画と一連の行動がすでに実施されている米国から始めましょう。2022年、米国当局は移行のテンポを確立しました[29]。これにより、すべての連邦機関が計画を立て、棚卸しを行い、毎年進捗状況を報告することになりました。また、国家セキュリティシステムを移行するスケジュール [30]も策定され、2027年以降に新規に取得する製品はすべて耐量子性を持つ必要があり、移行されていない製品はすべて2030年末までに段階的に廃止されることになりました。ファームウェア署名の移行はさらに緊急の課題として優先されており、ファームウェアのルートオブトラスト（すなわち、ハードウェアにおけるファームウェアの完全性保護）の移行は「2025年に一部の長寿命署名に対して実施される」予定です。2022年以降、当局はガイダンス（CISA、NSA、およびNISTが発行した本ガイド [31]を含む）を策定し、業界の関与と準備を支援するための普及活動を組織しています[32]。直近では、2025年1月16日付の “Strengthening and Promoting Innovation in the Nation’s Cybersecurity”（国家のサイバーセキュリティにおけるイノベーションの強化と推進）に関する大統領令[33]が、移行の緊急性をさらに強調しています。この大統領令では、連邦政府機関が製品を調達する際には、その製品カテゴリーで耐量子暗号が広く利用可能になった場合には耐量子暗号を要件とし、ネットワークでは「できる限り早期に」耐量子保護を要件とすることが規定されています。

これと並行して、NISTは最近、古典的な非対称暗号化方式であるRSAおよび関連ECCを2030年末をもって非推奨化し、2035年以降はセキュリティ上の理由から完全に禁止するという計画案を公表しました [34]。この計画が確定した場合、これは移行の緊急性を確立する上で大きな影響力を持つことになります。なぜなら、これは多くの現行システムのライフタイム内に終了日があることを意味するからです。2031年から2035年の間、データ所有者はリスクを評価し、それを容認する場合にのみ例外的に量子脆弱な暗号を使用できることになります[35]。

米国以外では、オーストラリアサイバーセキュリティセンター（ACSC）も移行に向けた緊急のスケジュールを設定しています。ACSCは最近、政府および業界向け暗号ガイドラインを更新し[36]、2030年以降は量子脆弱な暗号を禁止することを発表しました。

ヨーロッパでは、英国、フランス、ドイツ、オランダ、スウェーデン、ノルウェー、スイスのセキュリティ当局が、すべて移行の準備を促進し、移行方法や優先順位に関する包括的な指針を順次提供しています。2024年4月に、欧州委員会が公共サービスと重要インフラの移行戦略を早急に策定するよう勧告しました[37]。これを受けて、2024年11月に、EU加盟18カ国が共同声明を発表し[38]、各国が量子耐性のある暗号への移行を「最優先事項」とし、最も機密性の高いデータを「できるだけ早く、遅くとも2030年末まで」に保護するすることを促進すると発表しました。

この12か月間、各国当局による移行の呼びかけが強まっています。これは、暗号への依存度を評価し、移行のための計画と優先順位付けを行い、優先度の高い資産の移行を開始する行動を起こす必要性を強調しています。
 

取り組みを推進する：標準との連携

暗号への量子脅威の高まりと、各国政府による行動要請の強化は、幸いにも、緩和策の範囲と利用可能性の面で大きな進展をもたらしました。昨年、政府、学術界、産業界の祝賀のなか、ほぼ10年にわたる共同選定プロセスを経て、新しい耐量子暗号アルゴリズムがNIST標準として発表されました[39]。これらの新しいアルゴリズムは、プロトコルやアプリケーションの一般的な用途に適した量子耐性を提供します。また、コード署名などの特別な用途に適した、既に標準化されている耐量子ハッシュベース署名 [40]を補完します。この一連の標準により、現在では多くのシナリオにおいて、業界が量子耐性に移行することが可能になりました。

標準は、コミュニティのコンセンサスとセキュリティのベストプラクティスを反映しながら、システム内の異なる要素間の相互運用性を実現します。そのため、標準は、量子耐性への業界の移行において重要な役割を果たします。新しい暗号アルゴリズムを定義する標準から、それらのアルゴリズムを使用するプロトコル、そしてそれらを採用するアプリケーションに至るまで、コミュニティは慎重かつ着実に量子耐性をテクノロジースタックに統合し、耐量子性を製品に組み込んでお客様に提供します。

このため、他のベンダーと協力し、標準化の取り組みに参画することが不可欠です。例えば、HPはNISTのNCCoE（National Cybersecurity Center of Excellence）のMigration to Post-Quantum Cryptography （ポスト量子暗号への移行）プロジェクト[41]に参加しています。このNCCoEプロジェクトは、耐量子性技術の採用と移行の実際的な問題の解決を支援するために、業界とエンドユーザー組織を結集するために召集されました。

HPの戦略的取り組み：ハードウェアから量子対応

暗号に対する量子脅威に先手を打つためには、「様子見」のアプローチを取る余裕はありません。HPでは、ハードウェアからの量子耐性を優先し、そこから安全に移行するという戦略をとっています。何を優先して保護し移行するかを計画する際には、変更にかかるコスト、労力、難易度を考慮することが極めて重要です。ハードウェア、およびハードウェアに組み込まれたソリューションの移行には、物理的に設計された部分の変更が必要になることが多く、その場合は時間がかかり、数年前から前もって計画を立てておく必要があります。

昨年、我々は量子耐性のあるファームウェアの完全性保護機構をハードウェアに組み込んだ PC を発表しました[2]。HPの耐量子ハードウェア基盤は、量子コンピューターを使った攻撃者が、悪意のあるファームウェアの署名を偽造し、デバイスを乗っ取ろうとする攻撃から防御します。アップグレードしたPC基盤の設計の詳細については、このトピックに関するブログ記事をご覧ください[42]。今回、HPは量子コンピューター攻撃からファームウェアの完全性を保護するように設計された世界初のプリンターの発売を発表しました[3]。この新しいプリンターは、量子攻撃者から低レベルのファームウェアの完全性と真正性を保護し、ファームウェア保護がハードウェアに統合されています。

この耐量子基盤がなければ、量子攻撃者は最も高い特権レベルで独自のコードを実行し、プリンターのセキュリティを完全に侵害することが可能になります。攻撃者はデバイスの制御とすべてのデータへのアクセス権限を得ることになります。攻撃が成功した場合の影響が大きく、最新のプリンターの寿命が長いことが、プリンターのセキュリティ基盤を耐量子性にすることを優先した理由です。このアップグレードは、プリンターソフトウェアのさらなる耐量子性アップデートの基盤にもなります。

昨年、PCにおける量子コンピューター攻撃に対するファームウェアの完全性保護を導入したことに加え、今回の新たな発表は、耐量子暗号へのセキュリティ基盤の移行に向けた取り組みにおける大きな前進であり、今後も将来の脅威にも耐えうるセキュリティを組み込んだ最も安全なデバイスの提供を継続していきます。HPは、量子コンピューターによる脅威を含む、新たな脅威を積極的に予測し対応しています。そして、これまでのセキュリティイノベーションの実績を活用し、お客様の長期的なセキュリティニーズを確実に満たすよう努めています。昨年の誤った警報と将来に向けたリスク評価により、脅威の進化を継続的に評価し、優先順位を付け重要なユースケースから移行を進め、まずはハードウェアとファームウェアの耐量子セキュリティ基盤の確立から始めるという、我々の耐量子戦略の重要性が裏付けられました。

暗号に対する量子コンピューターの脅威は、この1年で着実に進化し、私たちのデジタルライフのセキュリティを確保する上で基本となるアルゴリズムに、受け入れがたいセキュリティリスクをもたらしています。これらの暗号アルゴリズムが破られた場合、壊滅的な打撃となるでしょう。これを受けて、各国当局や業界専門家は、耐量子暗号への移行を求める声を強めています。

複数の量子技術が安定性と拡張性の向上を示しており、大規模な量子コンピューターへの有望な道筋を提供しています。専門家は現在、2034年までに量子コンピュータが暗号を破る可能性は27%であると推定しています[7]。さらに、米国、オーストラリア、および欧州のいくつかの国々は、移行に向けたスケジュールと指針を設定しており、2030年が転換点として浮上しています。この年以降、多くの組織は既存の量子脆弱な非対称暗号に依存すべきではないでしょう。

組織は、今こそ脅威が現実のものとなる前に、耐量子性を導入するためにベンダーと連携し、リスクを評価し、長期間にわたって存在する機密データとハードウェアのセキュリティ基盤の保護を優先して、今から準備を進めるべきです。汎用の耐量子アルゴリズムが現在NISTによって標準化され、国際的に採用されているために、2025年はほとんどの量子脆弱な実装が、実行可能な移行パスを持つ最初の一年間となります。その結果、耐量子性を持つプロトコルや製品が広く普及すると予想されます。ですから、今こそがベンダーに、耐量子保護をどのように提供するのかを尋ねるべき時です。

昨年、セキュリティ業界に大きな動揺をもたらした2つの重大な誤った警報がありました。これらは効果的に評価されましたが、今すぐに先手を打って準備をしておかなければ、本当の量子技術の革新がデジタルインフラにどれほどの損害をもたらす可能性があるのかを、我々に警告してくれる役割をはたしました。

HPは量子脅威を理解しています。我々の戦略は、ハードウェア基盤における量子耐性を優先し、そこから安全に移行をするというものです。昨年、我々は量子コンピューター攻撃からファームウェアの完全性を保護する世界初のビジネスPCを発表しました[2]。そして今回、量子コンピューター攻撃からファームウェアの完全性を保護する世界初のプリンターを発表しました[3]。これらのセキュリティイノベーションは、将来にわたって脅威を予測し、お客様を保護するというHPのコミットメントを示すものです。

[1] 暗号技術に対する量子脅威を予測する | HP WOLF SECURITY ブログ, 3月 2024年

[2] HP Launches World’s First Business PCs to Protect Firmware Against Quantum Computer Hacks | HP® Official Site, 7 March 2024
[3] HP Launches World’s First Printers to Protect Against Quantum Computer Attacks | HP® Official Site, 18 March 2025
[4] Fifth PQC Standardization Conference | CSRC, May 2024
[5] Yilei Chen. Quantum Algorithms for Lattice Problems, April 2024
[6] Quantum Threat Timeline 2025: Executive Perspectives on Barriers to Action – Global Risk Institute, February 2025
[7] Global Risk Institute Quantum Threat Timeline 2024 Report, December 2024
[8] BSI – Bundesamt für Sicherheit in der Informationstechnik. Status of quantum computer development. Entwicklungsstand Quantencomputer, August 2024
[9] Google Quantum AI and Collaborators. Quantum error correction below the surface code threshold | Nature, December 2024
[10] M.P. da Silva et al “Demonstration of logical qubits and repeated error correction with better-than-physical error rates”, 2404.02280, November 2024
[11] Microsoft announces the best performing logical qubits on record and will provide priority access to reliable quantum hardware in Azure Quantum – The Official Microsoft Blog, September 2024
[12] D. Bluvstein et al. Logical quantum processor based on reconfigurable atom arrays. Nature 626 (2024) Logical quantum processor based on reconfigurable atom arrays, February 2024
[13] M. H. Abobeih, Y. Wang, J. Randall, S. J. H. Loenen, C. E.Bradley, M. Markham, D. J. Twitchen, B. M. Terhal, and T. H.Taminiau. Fault-tolerant operation of a logical qubit in a diamond quantum processor. Nature, 606(7916):884–889, May 2022 Fault-tolerant operation of a logical qubit in a diamond quantum processor – PMC,
[14] Meet Willow, our state-of-the-art quantum chip, December 2024
[15] IBM Expands Quantum Data Center in Poughkeepsie, New York to Advance Algorithm Discovery Globally – Sep 26, 2024
[16] Technology | IBM Quantum Computing,
[17] Quantinuum upgrades H2 quantum computer from 32 to 56 qubits – DCD
[18] D. Bluvstein, H. Levine, G. Semeghini, T. T. Wang, S. Ebadi, M. Kalinowski, A. Keesling, N. Maskara, H. Pichler, M. Greiner, V. Vuletić, M. D. Lukin. “A quantum processor based on coherent transport of entangled atom arrays.” Nature 604, 451 (2022).
[19] Hannah J. Manetsch, Gyohei Nomura, Elie Bataille, Kon H. Leung, Xudong Lv, Manuel Endres. [2403.12021] A tweezer array with 6100 highly coherent atomic qubits, December 2024
[20] Quantum computing startup QuEra closes $230 million funding round | Reuters
[21] Microsoft’s Majorana 1 chip carves new path for quantum computing – Source
[22] Oxford University photonics teleportation. A ‘Teleportation’ Breakthrough for Quantum Computing Is Here | WIRED
[23] D Main et al, “Distributed quantum computing across an optical network link”. https://www.nature.com/articles/s41586-024-08404-x, February 2025
[24] Ion-Ion Entanglement
[25] Including IBM (IBM Qauntum Platform), Microsoft (Azure Quantum documentation, QDK & Q# programming language – Azure Quantum | Microsoft Learn) and Amazon (Cloud Quantum Computing Service – Amazon Braket – AWS)
[26] Shtetl-Optimized » Blog Archive » Quantum Computing: Between Hope and Hype, September 2024
[27] Apache Log4j Vulnerability Guidance | CISA
[28] bidenwhitehouse.archives.gov/wp-content/uploads/2024/07/REF_PQC-Report_FINAL_Send.pdf, July 2024
[29] National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems | The White House, (NSM-10), May 2022.
[30] NSA Releases Future Quantum-Resistant (QR) Algorithm Requirements for National Security Systems > National Security Agency/Central Security Service > Article, September 2022
[31] Quantum-Readiness: Migration to Post-Quantum Cryptography | CISA, August 2023
[32] Readout of White House Roundtable on Protecting Our Nation’s Data and Networks from Future Cybersecurity Threats | OMB | The White House, February 2024
[33] Executive Order on Strengthening and Promoting Innovation in the Nation’s Cybersecurity | The White House, January 2025
[34] IR 8547, Transition to Post-Quantum Cryptography Standards | CSRC, November 2024
[35] Using an algorithm that is declared ‘deprecated’ by NIST means data owners have security risk and must examine that risk and decide to continue using it.
[36] Guidelines for cryptography | Cyber.gov.au, December 2024
[37] Recommendation on a Coordinated Implementation Roadmap for the transition to Post-Quantum Cryptography | Shaping Europe’s digital future, April 2024
[38] BSI – Press – BSI and partners from 17 other EU member states demand transition to Post-Quantum Cryptography, November 2024
[39] Post-Quantum Cryptography FIPS Approved | CSRC, August 2024
[40] A. Huelsing, D. Butin, S. Gazdag, J. Rijneveld and A. Mohaisen, “RFC 8391: XMSS: eXtended Merkle Signature Scheme,” May 2018, https://datatracker.ietf.org/doc/html/rfc8391. D. McGrew, M. Curcio and S. Fluhrer, “RFC 8554: Leighton-Micali Hash-Based Signatures,” IETF, April 2019, https://datatracker.ietf.org/doc/html/rfc8554. D. A. Cooper, D. C. Apon, Q. H. Dang, M. S. Davidson, M. J. Dworkin and C. A. Miller, “NIST Special Publication 800-208: Recommendation for Stateful Hash-Based Signature Schemes,” October 2020, https://doi.org/10.6028/NIST.SP.800-208.
[41] Migration to Post-Quantum Cryptography | NCCoE
[42] 量子時代におけるPCファームウェア保護の設計 | HP WOLF SECURITY ブログ, 8月 2024年

Author : Tommy Charles and Thalia Laing, HP Security Lab

監訳：日本HP