Googleは2026年3月25日、自社の全インフラをPQC(Post-Quantum Cryptography、耐量子暗号)へ移行するデッドラインを2029年と定めた公式ブログを発表した。NIST(米国国立標準技術研究所)が示す2030〜2035年ガイドラインよりも早く、NSA(米国家安全保障局)が定める2031年の目標すら上回る前倒しだ。セキュリティエンジニアリング担当VP Heather Adkins氏とシニアスタッフAmographie(暗号)エンジニアSophie Schmieg氏が連名で公開したブログは、量子コンピュータのハードウェア開発・量子誤り訂正・暗号解読リソース推定値における「予想を超える進歩」を根拠に挙げている。
10億から10万へ:量子コンピュータが「将来の話」でなくなる理由
「Qデー」という概念がある。量子コンピュータが現行の公開鍵暗号を実用的な時間で破れるほど強力になる、その到来の時期だ。RSA暗号や楕円曲線暗号(ECDSA: Elliptic Curve Digital Signature Algorithm)はいずれも、大きな整数の素因数分解や離散対数問題の計算困難性を安全の根拠としているが、Peter Shorが1994年に示したアルゴリズム「Shorのアルゴリズム」を実行できる量子コンピュータが登場した時点でその根拠は消える。
問題は、そのQデーの到来に必要な量子コンピュータの規模の見積もりが、繰り返し大幅に縮小されてきた歴史にある。2012年時点では2048ビットのRSA鍵を破るには約10億個の物理量子ビットが必要とされていた。2019年にGoogleのCraig Gidney氏らが発表した研究でその数が2,000万個まで下がり、Gidney氏が2025年5月に公表した最新研究ではさらに100万個の「ノイジー量子ビット」(環境ノイズの影響を受けやすい量子ビット)で1週間以内に2048ビットRSAを因数分解できることが示された。Iceberg Quantumの試算では、特定のアーキテクチャを前提にすれば必要量子ビット数が約10万個まで下がりうるとも指摘されている。
10億から10万へ、約10年で4桁の縮小だ。IBMも2029年をフォールト・トレラント(誤り耐性)量子システムの実現目標年として掲げており、GoogleとIBMの見通しが一致するのは偶然ではないだろう。Googleは今回の発表でデッドラインの詳細な根拠を明示しなかった。しかしMicrosoftの耐量子移行を2015〜2022年に主導した暗号エンジニアのBrian LaMacchia氏がArs Technicaに語ったように、「何が動機なのか」という問い自体が、量子分野の水面下での進展を示唆している。
「今すでに起きている攻撃」:脅威の時制が変わった
Googleが特に強調したのは、量子コンピュータの脅威が将来だけを向いているわけではないという点だ。「ハーベスト・ナウ・デクリプト・レイター」と呼ばれる攻撃手法がすでに現実のリスクとして機能している。今日時点では解読不可能な暗号化データを大量に収集し、将来十分に強力な量子コンピュータが実現した段階で一気に解読するという戦略だ。量子コンピュータが手元になくても、今この瞬間に送受信している通信データが将来的な脅威にさらされる。
この認識がGoogleの優先順位を変えた。同社は今回、「認証システムとデジタル署名のPQC移行」を最優先課題として明記した。デジタル署名は暗号化通信とは異なる脅威モデルを持つ。署名が偽造されれば、攻撃者は信頼された企業や政府機関になりすましてマルウェアを配布したり、偽の証明書でフィッシング攻撃を成功させたりできる。
移行のタイムラインは性質によって異なる。暗号化データへの脅威は「今すでに起きている」ため、移行を遅らせるほど暴露期間が延びる。一方、デジタル署名への脅威はCRQC(Cryptographically Relevant Quantum Computer、暗号学的に関連する量子コンピュータ)が実際に到来する前に対処が必要だが、その到来までの猶予は確定していない。Googleの2029年デッドラインはこの二重の不確実性を踏まえた「保険」であり、移行完了後に量子コンピュータが到来するシナリオを目指している。
AndroidからPlayストアまで:Googleが動かすPQC移行の具体像
今回の発表と同時に、GoogleはAndroid向けPQC実装の詳細を公開した。Android 17のベータ版からML-DSA(Module Lattice-based Digital Signature Algorithm、格子ベースデジタル署名アルゴリズム)がハードウェアの信頼の基点(hardware root of trust)に追加される。ML-DSAはNISTが標準化を推進する量子耐性署名アルゴリズムで、格子と呼ばれる数学的構造に基づいており、量子コンピュータであっても古典コンピュータに比べて大きな優位を得られない数学問題の困難性を安全の根拠としている。
具体的な実装範囲は広い。AndroidのVerified Boot(起動シーケンス改ざん防止)ライブラリへのML-DSA統合、リモートアテステーション(デバイスが安全なOS状態であることをリモートサーバーに証明する機能)のPQC移行、Android KeystoreへのML-DSAキー生成・保存機能の追加、そしてGoogle Playストア全アプリへの開発者署名のPQC移行が計画されている。
これはAndroid開発者にとって軽い変更ではない。すべてのアプリのリリースパイプラインに署名方式の更新が求められる。Google自身もChromeやGoogle Cloudで既にPQCの段階的展開を進めており、エコシステム全体での段階的な移行が積み重なっている。2025年にSignalがML-KEM-768(CRYSTALS-Kybersアルゴリズムの実装)をエンドツーエンド暗号化に追加したことも、主要プロダクトでのPQC先行事例として業界の参照点になっている。
今回Googleが設定した目標はNISTの2035年ガイドラインよりも6年早く、NSAの2031年基準よりも2年早い。民間企業にPQC移行を義務付ける法的根拠はないが、Googleのような業界基準形成力を持つ企業が「2029年」という具体的な数字を出した影響は、義務付け以上の行動を業界に促す可能性がある。
Googleにできてビットコインにできない移行と、その非対称性の意味
Googleが2029年というデッドラインを自ら設定し達成できるのは、自社インフラを一元的に制御しているからだ。エンジニアリングチームが決定を下し、段階的にロールアウトし、古いシステムを廃止する権限が社内に存在する。ところが、そのロジックがまったく成立しない巨大なシステムが存在する。ビットコインだ。
ビットコインはECDSA(楕円曲線デジタル署名アルゴリズム)を採用しており、十分に強力な量子コンピュータがShorのアルゴリズムを実行すれば、公開鍵から秘密鍵を逆算できるという理論的な脆弱性がある。Project Elevenの試算では、量子攻撃に脆弱なアドレスに保管されているビットコインは680万BTC以上、約4,700億ドル相当にのぼる。Ark InvestとUnchainedの別の推計では、ビットコイン総供給量の約35%が将来の量子攻撃に対して脆弱なアドレス形式に該当するという。算出条件(脆弱性の定義や公開鍵の露出有無)が異なるため数字に幅はあるが、いずれの試算も無視できない規模であることは一致している。
Bitcoin Improvement Proposal(BIP)360は、「P2MR(Pay-to-Merkle-Root)」と呼ばれる量子耐性アドレス形式を提案する文書で、最近Bitcoinの公式改善提案リポジトリにマージされた。しかしこれはプロトコルの有効化ではなく、議論の出発点にすぎない。Bitcoin custody企業CasaのJameson Lopp氏は、たとえ量子コンピュータが脅威になるまでまだ時間があったとしても、Bitcoinプロトコルのアップグレードと数百万アドレスにわたる資産移行だけで5〜10年を要すると指摘する。
マイナー、ウォレット開発者、取引所、数百万人の個人ユーザーが協調して同時に動かなければならず、誰かが一方的にスイッチを押すことはできない。Googleが「社内の意思決定で解決できる問題」を2029年というデッドラインで処理できるのと対照的に、ビットコインの移行は外部からの期限設定が不可能な構造的課題だ。
Googleの今回の発表が示した最も重要な含意は、技術的な数字ではなくこの非対称性にある。中央集権的なシステムは意思決定のコストを集約できるが、分散型システムはその代償として移行速度を失う。量子の最前線が想定より近いとGoogleが公言した今、中央集権的なプレイヤーが着々と防衛線を引き直す横で、分散型ガバナンスがどれだけの速度で動けるかが問われる局面が近づいている。
Sources