Google

Google、耐量子暗号の全面移行を2029年に前倒し

Googleが自社インフラの暗号方式を量子耐性に全面移行する期限を「2029年」と宣言した。米政府の2035年ガイドラインを6年も前倒しする、この異例の決断の背景には何があるのか。

情報の灯台

2026年3月26日

量子コンピュータがRSA暗号を破る日は、想定より近い

Googleは3月25日（現地時間）、全インフラをPQC（耐量子暗号）に移行する期限を2029年に定めた公式ブログを公開した。セキュリティエンジニアリング担当VPのヘザー・アドキンス氏と暗号エンジニアのソフィー・シュミーグ氏の連名による発表で、量子ハードウェアの開発速度、誤り訂正技術、暗号解読に必要なリソースの推定値が「予想を超えて進歩している」ことが根拠だ。

この2029年という数字の意味を理解するには、比較対象が必要になる。NIST（米国国立標準技術研究所）は現行のRSAやECDSAといった公開鍵暗号を2030年に非推奨、2035年に全面禁止とするロードマップを示している。NSA（米国家安全保障局）の目標は2031年。つまりGoogleは、米国政府のどの機関よりも早いデッドラインを自らに課したことになる。

民間企業にPQC移行を義務付ける法律はない。それでもGoogleが「2029年」という具体的な年を公言した事実は、業界全体への無言の圧力として機能する。自社が量子コンピュータの開発者であると同時に、世界最大規模のデジタルインフラの運用者でもあるという二重の立場が、この決断の重みを増している。

10億から10万へ──量子ビットの「必要数」が縮み続ける現実

暗号を脅かす量子コンピュータの実現に、どれだけの量子ビットが必要なのか。その見積もりは、過去10年で劇的に縮小してきた。

2012年時点の推定では、2048ビットのRSA鍵を破るには約10億個の物理量子ビットが必要とされていた。2019年、Google自身のクレイグ・ギドニー氏らの研究がこれを2,000万個まで引き下げた。さらに2025年5月の最新論文では、100万個の「ノイジー量子ビット」で1週間以内に因数分解が可能とされ、Iceberg Quantumの試算では特定条件下で約10万個にまで下がりうるという。

10億から10万。4桁の縮小がわずか10年ほどで起きている。IBMも2029年をフォールト・トレラント量子システムの目標年に掲げており、業界の複数のプレイヤーが同じ時間軸を見つめているのは偶然ではないだろう。

「今すでに盗まれている」──脅威の時制が変わった

Googleが特に強調したのは、量子コンピュータの脅威が未来だけの問題ではないという認識だ。

「ハーベスト・ナウ・デクリプト・レイター」と呼ばれる攻撃戦略がすでに現実のリスクとして存在する。今は解読不能な暗号化データを大量に収集し、将来の量子コンピュータで一括解読するという手法だ。量子コンピュータが手元になくても、今この瞬間に送受信されている通信データが将来的に丸裸にされる可能性がある。

この認識のもと、Googleは今回の発表で認証システムとデジタル署名の移行を最優先課題として明記した。署名が偽造されれば、攻撃者は信頼された企業や政府になりすましてマルウェアを配布できる。暗号化への脅威が「現在進行形」であるのに対し、署名への脅威はCRQC（暗号学的に関連する量子コンピュータ）の到来前に対処を完了しなければならない。2029年のデッドラインは、この二重の不確実性に対する「保険」だ。

Android 17からPlayストアまで──具体的に何が変わるのか

発表と同時に、GoogleはAndroidにおけるPQC実装の詳細も公開した。Android 17のベータ版から、NISTが標準化を推進する格子ベース署名アルゴリズムML-DSAがハードウェアの信頼の基点に追加される。

実装範囲は広い。起動改ざん防止（Verified Boot）へのML-DSA統合、リモートアテステーションのPQC移行、Android KeystoreへのML-DSA鍵生成機能の追加。そしてGoogle Playストアの全アプリに対して開発者署名のPQC移行が計画されている。

これはAndroid開発者にとって軽い話ではない。すべてのアプリのリリースパイプラインに署名方式の更新が求められる。Google Playは「ハイブリッド署名」を自動生成する機能で開発者の負担を軽減する方針だが、数十億台のデバイスにまたがるエコシステム全体の移行は、数年がかりの作業になるだろう。

CyberScoopの報道によれば、米ホワイトハウスも連邦政府機関の移行期限を2030年以前に前倒しする大統領令の発出を検討しているという。中国の量子分野での進展が、米国のテクノロジー政策当局の危機感を加速させている背景がある。

Googleにできて、ビットコインにはできないこと

Googleが2029年のデッドラインを自ら設定し、実行できるのは、自社インフラを一元的にコントロールしているからだ。エンジニアが決定を下し、段階的に展開し、古いシステムを退役させる権限が社内に存在する。

だが、このロジックがまったく通用しない巨大システムがある。ビットコインだ。ビットコインはECDSA（楕円曲線デジタル署名アルゴリズム）を採用しており、十分に強力な量子コンピュータが登場すれば公開鍵から秘密鍵を逆算できるという理論的な脆弱性を抱えている。量子耐性アドレス形式を提案するBIP 360は最近Bitcoinの改善提案リポジトリにマージされたが、これは「議論の出発点」にすぎない。

プロトコルのアップグレードと数百万アドレスにわたる資産移行だけで5〜10年を要するとの指摘もある。マイナー、ウォレット開発者、取引所、数百万人の個人ユーザーが協調しなければ動けない構造は、Googleのような企業が「社内決定」で処理できる問題とは根本的に異なる。

Googleの発表が突きつけた最も重要な問いは、技術的な数字ではなくこの非対称性にあるのかもしれない。中央集権的なシステムは意思決定コストを集約できるが、分散型システムはその代償として移行速度を失う。量子の脅威が近づく中で、分散型ガバナンスがどれほどの速度で動けるのか。答えが出る前に、カウントダウンはもう始まっている。

参照元