量子コンピュータの実用化が目前に迫り、現在広く利用されている公開鍵暗号の解読リスクが高まっています。この「量子脅威」は認証情報の不正利用、個人情報の詐取といった深刻なリスクを引き起こし、金融情報システムに甚大な影響を及ぼしかねません。こうした背景から、金融庁は耐量子計算機暗号（PQC）への計画的な移行に関する方針を示しました。本稿では、金融庁の最新動向を踏まえ、金融機関がPQC対応をいかに進めるべきか、その具体的な要点と段階的なアプローチを解説します。顧客資産と企業情報を守るため、PQC対応を急ぐ金融機関の皆様にとって、実用的な指針となれば幸いです。

※digital FIT 2025年11月11日掲載記事より転載。
本記事は、株式会社日本金融通信社の許諾を得て掲載しています。 なお、所属・役職は掲載時点のものです。

量子コンピュータは量子力学に基づく計算機で、機械学習・AI、物理・化学など特定分野での高速化が見込まれています。一方、実用化が進むことによって、RSAや楕円曲線暗号など現在広く用いられている公開鍵暗号が解読され、不正利用されるリスクも高まります。こうした脅威に備えるため、より高い安全性を提供する耐量子計算機暗号：Post-Quantum Cryptography（以下、PQC）への計画的な移行が求められています。

こうした中、金融庁は、2024年11月26日に「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書 」、2025年6月30日に「金融分野におけるITレジリエンスに関する分析レポート」を公表し、PQC対応の方向性を示しました。本稿では、これらを踏まえたPQC対応の要点について解説します。

PQC対応が求められる背景

量子コンピューティングの進展により、実用的な暗号解読の実現時期は2030年代半ばの可能性も指摘されています^※。仮に短時間での暗号解読が現実化すれば、金融情報システムの安全性が根底から覆されるため、規模や特性にかかわらず、あらゆる業態の金融機関でPQCへの対応が求められます。

※Global Risk Institute『QUANTUM THREAT TIMELINE REPORT 2024』によれば、24時間以内にRSA-2048（公開鍵暗号の一種）を解読できる可能性は、2024年から見て10年以内で19～34％、15年以内で39～62％、20年以内で60～82%と想定されている。

既存の暗号技術の活用領域と量子コンピュータ実用化に伴うリスク

金融分野では、暗号技術は金融サービスおよび業務のセキュリティを支える重要な技術として広く活用されています。一方で、量子コンピュータの実用化が進むにつれ、暗号技術の中でも特に「公開鍵暗号」は、攻撃者に狙われるリスクが高まります。

また、金融機関を想定した具体的な脅威シナリオ^※もすでに公表されており、すでに多くの金融機関で発生している認証情報を不正に入手した口座の乗っ取りや悪用、個人情報の詐取によるインシデントが今まで以上に増加することが想定されています。

※UK Finance『Minimising the Risks: Quantum Technology and Financial Services』（2023年11月）

さらに、PQC対応については欧米が先行しているため、対応の遅れは、海外の金融システムや金融ネットワークとの相互接続・取引・通信に支障をきたし、ビジネスリスクにつながる恐れもあります。

加えて、足元では「ハーベスト攻撃：HNDL（Harvest Now Decrypt Later）」と呼ばれる、現行の暗号で保護されたデータを先に収集・保存し、後に解読を試みる戦術がリスクとして認識されています。

こうした状況を踏まえ、金融機関には早期のPQC対応着手が求められます。

PQC対応のポイント

PQC対応にあたっては、金融庁が示す「8つの対策ポイント」^※を踏まえながら、以下の観点を押さえて段階的に移行することが肝要です。

※金融庁「金融分野におけるITレジリエンスに関する分析レポート」補論2で、「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書」の主要メッセ―ジとして示されている。

PQC対応のアプローチ

前述の８つの対策ポイントを踏まえ、経営のコミットメントを前提とした上で、大きく２つの段階的アプローチが有効です。

【前提】PQC対応における全社的取り組みのコミットメント

PQC対応は技術的対策にとどまらず、組織全体に影響を与える対応となります。ひいては、PQC対応を全社的な取り組みと位置づけ、経営陣による方針の策定と適切な資源配分を行うことが求められます。

アプローチ1　暗号化資産の棚卸しと移行対象システムの優先順位付け

暗号技術で保護されている情報資産の棚卸しと、クリプト・インベントリ（どの暗号技術が、どういう用途で、どこに利用されているかを把握し管理すること）の整備により、既存暗号が解読されるリスクを網羅的に抽出します。これをIT計画やサイバーセキュリティ計画と整合させ、個社の事情を踏まえたリスクベースアプローチで、移行対象システムの優先順位付けを行う必要があります。

アプローチ2　PQC対応に係るロードマップ策定と対策検討

前述の優先順位付けを踏まえ、クリプト・アジリティ（将来の暗号技術の進化や変更にも柔軟に対応できる仕組み）を実現するアーキテクチャの検討、技術・運用上の課題整理、PQCに対応したクラウドサービス等の活用可能性の評価などを行い、PQC対応のロードマップを策定します。策定後は、ロードマップに沿って影響度の大きいシステムから順次PQCへ移行し、同時にクリプト・アジリティの確保を図ります。

総括

PQC対応は、規模・特性にかかわらず、あらゆる業態の金融機関に求められる取り組みです。顧客および自社の情報・資産を保護するため、早期かつ着実にPQC移行を進める必要があります。

Ridgelinezでは、「耐量子計算機暗号（PQC）への移行支援サービス」によるご支援が可能です。クリプト・インベントリの構築、クリプト・アジリティを見据えた技術的対策の検討とロードマップの策定、その後の実装・運用まで、富士通グループの総合力をもってEnd to Endでご支援します。

●お問い合わせ
Ridgelinez株式会社へのお問い合わせフォームはこちら

●PQC関連プレスリリース
量子コンピュータ時代のセキュリティ強化に向け、耐量子計算機暗号（PQC）への移行支援サービスを提供開始