この記事は「ビギナーズ Advent Calendar 2025」の11日目です。
はじめに
こんにちは!
株式会社NTTデータグループで耐量子計算機暗号(Post-Quantum Cryptography, PQC)関連の業務に携わっている南です。
2025年10月28日から30日の3日間、マレーシアのクアラルンプールで開催されたPost-Quantum Cryptography (PQC) Conferenceに参加してきたため、今回はその参加レポートをお届けします。
想定読者
- PQCの最新動向に関心がある方
- PQC移行に関して各国や他企業の取り組みに興味のある方
PQC Conferenceとは?
PQC Conferenceは、PKI Consortium(※1)が主催するPQCの最新動向について議論するための国際的なカンファレンスです。今回で4回目の開催となりますが、第一回の開催から徐々に開催期間が伸びてきており、PQCへの関心が年々高まっている様子がうかがえます。
| 開催期間 | 開催場所 | |
|---|---|---|
| 第一回 | 2023/3/3 | Ottawa(カナダ) |
| 第二回 | 2023/11/7-8 | Amsterdam(オランダ) |
| 第三回 | 2025/1/15-16 | Austin(アメリカ) |
| 第四回 | 2025/10/28-30 | Kuala Lumpur(マレーシア) |
| 第五回 | 未公表 | 都市未公表(ドイツ) |
アジェンダとしては、1日目は対面のみの実践的なワークショップ、2-3日目は対面+オンラインのハイブリット形式で講演やパネルディスカッションが中心でした。
2-3日目の講演については、ほぼ全ての講演で動画やスライドが公開されているため、もし興味がある方は見てみると良いかと思います。
(※1)PKI Consortiumは、Public Key Infrastructure(公開鍵基盤/PKI)を用いた通信やデジタル資産の信頼性をより高めることを目的とした国際的な団体。300以上の企業や団体が参加しており、PKIの運用・管理・標準化に関するポリシーやツールの策定・共有・改善を行う場を提供している。
参加の目的と背景
NTT DATAでは、PQC移行に関して積極的に取り組んでいます。
2024年12月には金融機関向けのPQC移行コンサルティングサービスの提供を開始しました。
また、最近は、NISTが主催するPQC移行コミュニティにも参加し、PQC移行に関する最新の情報交換を行っています。
今回は、PQCに関する最新情報の収集およびネットワーキングを目的として、参加してきました。
(残念ながら、カンファレンスの開催期間が米国政府のシャットダウン期間と重なっており、NISTの方との会話はかないませんでした。。)
会場の雰囲気
会場は、メインとなる会場と、いくつかのブレイクアウトセッション用の会場で構成されていました。
講演会場の一つ
会場の外には常時ビュッフェが用意されていた
また、2日目の夜にはNetworkingの時間が用意されており、イベントの参加者同士で交流が出来る時間がありました。
Networkingの会場
参加者は、PQC関連サービスを提供する企業や、PQC移行に関心を持つ企業の方が中心でした。
登壇者については、各国の政府機関でセキュリティ施策に携わる関係者やPQC関連製品を提供する企業のCTOなど、多様なバックグラウンドを持つ専門家の方が登壇されていました。日本からも、みずほフィナンシャルグループのグループCISOかつ金融ISACの理事として活動されている寺井 修 氏と、セコム株式会社で上級研究員として研究開発に従事されている伊藤 忠彦 氏が登壇されていました。
セッション
私が聴講したセッションの中から、いくつか気になったものをピックアップしてご紹介します。
NISTの標準化動向と各国の対応状況
1つ目の講演は、ドイツのHSMメーカーUtimacoのCTO、Nils Gerhardt氏による「PQC in Action: From Global Standards to Secure Deployments」です。
講演では、NISTによるPQC標準化の最新動向に加え、OSSやHSMを中心としたハードウェア側の対応状況、さらに移行時に留意すべきポイントなどが紹介されました。(画像は[1]より引用)
各国のNIST追従状況が色分けされており、日本は「Follows NIST」として分類されている。
「既存+PQCのハイブリッド構成」と「PQC単体」の将来動向予測。2033年まではハイブリッド構成が拡大し、その後はPQC単体の採用が伸びていくと見込まれている。
PQC移行にあたっては、どのアルゴリズムを採用するのか、ハイブリッド構成を選ぶ場合は将来的にPQC単体へ移行するのか、またそのタイミングをどう設定するかなど、さまざまな検討が必要となります。明確な指針がまだ存在しない状況において、今回示された情報は判断材料の一つとして有用だと感じました。
金融分野におけるPQC移行
2日目の講演は、スペインの大手金融グループであるBanco SantanderのJaime Gómez García氏による「Quantum-Safety Timelines in the Financial Sector」です。García氏はまず、EUのDORAやPCI DSSをはじめ、シンガポールやインド、イスラエルなどの金融機関でPQC移行の動きが加速していることを紹介しました。一方で、国ごとに方針や移行時期がバラバラで、まだ統一的なガイドラインが存在しないことが課題であると指摘していました。(画像は[2]より引用)
各国のPQC移行タイムライン。いくつかの国では、既にある程度具体的なタイムラインを提示し始めており、これが金融機関の行動を後押しする材料になると指摘。
Santanderが提示する暗号移行の3つのフェーズ(Wave)。Wave 1:暗号資産の棚卸しや教育などの基礎固め、Wave 2:PQCの段階的な導入、Wave 3:旧暗号や後方互換性の整理・廃止。
講演では、複数のユースケースがわかりやすく整理されていました。たとえば、ウェブサイトのTLS通信におけるPQC移行はブラウザ側の対応が進んでおり、比較的取り組みやすい領域です。一方で、API通信のようにクライアント側で利用しているライブラリが多種多様なため、更新が遅れがちな領域は後方互換性の問題が起きやすく、早い段階で依存関係を把握しておく必要があります。セキュアファイル転送や電子契約・デジタル署名、そしてハードウェア更新を伴うPOS端末なども、難易度や優先度に応じてどのように着手すべきかが示されました。
また金融業界は国際的に連携しているため、各社・各国がバラバラに移行を進めると既存暗号を長く抱えることになり、結果的にリスクが増大します。だからこそ、規制当局や金融機関が歩調を合わせ、共通のタイムラインや前提条件を整えることが重要だと指摘していました。
まとめ
今回のPQC Conferenceでは、PQC 移行がいよいよ現実的な課題として各国・各企業で本格的に捉えられ始めていることを強く実感しました。一方で、国際的な標準やガイドラインが依然として十分に整備されておらず、今後も継続的な議論と協調が不可欠であることも改めて認識しました。
また、本Conferenceを通じて、各国の規制動向や企業の実装事例に加え、ハードウェアや運用基盤の対応状況といった、PQC移行に向けた最新の準備状況について幅広く学ぶことができました。
今回得られた知見や気づきを踏まえ、今後も継続的に情報収集と検討を進めながら、PQC移行に向けた取り組みを着実に前進させていきたいと思います。
-
https://pkic.org/events/2025/pqc-conference-kuala-lumpur-my/WED_P_1500_nils-gerhardt_pqc-in-action-from-global-standards-to-secure-deployments_merged.pdf ↩︎
-
https://pkic.org/events/2025/pqc-conference-kuala-lumpur-my/WED_P_1130_jaime-g-mez-garc-a_quantum-safety-timelines-in-the-financial-sector_merged.pdf ↩︎
NTT DATA公式アカウントです。 技術を愛するNTT DATAの技術者が、気軽に楽しく発信していきます。 当社のサービスなどについてのお問い合わせは、 お問い合わせフォーム nttdata.com/jp/ja/contact-us/ へお願いします。