オンラインショッピングも、ソフトウェアの更新も、スマートカードも——その正しさは「デジタル署名」という、ふだん意識しない技術が支えています。けれど量子コンピュータの登場は、その土台を揺るがしかねません。だからこそNISTは、量子時代にも耐えうる署名方式を慎重に選び抜いています。2026年5月、候補は14から9へ。次の暗号の”顔ぶれ”が、また一歩固まりました。
NISTが2026年5月、耐量子計算機暗号(PQC)標準化プロセスの「追加デジタル署名方式」第2ラウンドに関する状況報告書NIST IR 8610を公開した。NISTは2022年7月に追加デジタル署名の募集を行い、2023年6月に50件の提出を受け、40件を第1ラウンド候補とした。その後14件が第2ラウンド候補となり、第2ラウンドは2024年10月24日から2026年5月14日まで続いた。
第6回NIST PQC標準化会議は2025年9月24日から26日にメリーランド州ゲイザースバーグで開催された。一般からのフィードバックと内部レビューに基づき、NISTは14候補のうち9件を第3ラウンド候補に選定した。選定されたのはFAEST、HAWK、MAYO、MQOM、QR-UOV、SDitH、SNOVA、SQIsign、UOVである。CROSS、LESS、Mirath、PERK、RYDEは選定されなかった。
第3ラウンド候補の更新提出期限は2026年8月14日で、次回会議は2027年前半に開催予定である。
【編集部解説】
NISTが進めているのは、量子コンピュータが実用化された後にも通用するデジタル署名の「予備の選択肢」を増やす作業です。なぜ予備が必要なのか。ここを理解すると、今回のニュースの重みが見えてきます。
NISTはすでにポスト量子の署名規格として、ML-DSA(FIPS 204)とSLH-DSA(FIPS 205)を確定させ、3つめのFN-DSA(Falcon)も標準化対象に選定しています。問題は、このうち2つ、ML-DSAとFN-DSAが「構造化格子」という同じ数学的土台に立っている点です。
もし将来、その格子問題を効率的に解く手法が発見されれば、標準の3本柱のうち2本が同時に倒れてしまいます。残るSLH-DSAはハッシュベースで安全性は高いものの、署名サイズが大きく動作も重いため、すべての用途を一手に引き受けるには不向きです。今回の追加プロセスは、いわば暗号の「分散投資」であり、異なる数学に基づく代替案をあらかじめ用意しておく試みなのです。
ここで一点、補足させてください。今回の9候補のうちHAWKは、実は格子ベースの方式です。ですから「9候補はすべて非格子」というわけではありません。正確には、9候補のいずれも、すでに標準化されたML-DSA・FN-DSAとまったく同じ格子問題の仮定には依拠していない、という意味での多様化です。HAWKも格子を使いますが、その安全性の根拠は別の問題に置かれています。
この警戒には歴史的な裏付けがあります。多変数署名のRainbowは、長く有力候補とされながら2022年に解読されました。同種写像ベースの鍵交換SIKEも、3ラウンドの審査を生き延びた後、2022年に短期間で破られています。「少数の専門家しか深く理解していない仮定」に全面的に頼ることの危うさを、暗号コミュニティは経験から学んでいます。
もう一つの動機は、より実務的な「署名サイズ」の問題です。今回の第3ラウンド候補には、SQIsignがセキュリティカテゴリ1で148バイト、UOVが96バイトという、極めて小さな署名を実現するものが含まれます。これは、現行の格子ベース署名では届かなかった領域です。
この小ささが効くのは、帯域や処理能力に厳しい制約のある現場です。たとえば、メッセージ長が固定された産業用機器やIoT、複数の署名が積み重なるDNSSEC、衛星通信、スマートカードなど。署名が数キロバイトに膨らむと通信が成り立たなくなる環境では、コンパクトな署名は「あれば便利」ではなく「導入できるか否か」を分ける決定要因になります。
一方で、潜在的なリスクも率直に見ておく必要があります。第2ラウンドでは、多変数系のUOV、MAYO、SNOVAが「ウェッジ攻撃」と呼ばれる新手法の影響を受け、一部のパラメータが目標とする安全性を下回りました。それでもNISTがこれらを残したのは、未解読のパラメータが存在し、修正の見込みがあるためです。ただしNIST自身、多変数系の標準化には「より長い時間枠」が必要だと明言しています。安全性の確証は、まだ取れていません。
規格・規制への影響という観点では、今回はあくまで中間段階です。最終的に選ばれた方式はFIPS(連邦情報処理標準)として規格化され、米国政府機関の調達基準となり、結果的に世界の製品仕様にも波及します。日本の暗号政策(CRYPTREC等)も国際標準の動向と無関係ではいられません。第3ラウンド候補の更新提出期限は2026年8月14日、次回の標準化会議は2027年前半に予定されており、実際の規格化はさらにその先になります。
長期的に見れば、このプロセスが目指すのは「一つの完璧な暗号」ではなく、用途ごとに最適な選択肢が揃った”棚”の整備です。汎用にはML-DSA、極小署名が要るならSQIsign、AESさえ動けば使えるFAEST——そうした使い分けができる将来像が描かれています。量子コンピュータの脅威がいつ現実になるかは依然として不確かですが、暗号の移行には長い年月がかかります。私たちが今この一歩を報じる理由も、そこにあります。
【用語解説】
耐量子計算機暗号(ポスト量子暗号/PQC)
大規模な量子コンピュータが実用化されても破られないように設計された暗号方式の総称である。現在広く使われるRSAや楕円曲線暗号は量子コンピュータによって解読されうるとされ、その置き換えが進められている。
デジタル署名
データの作成者を証明し、改ざんされていないことを保証する暗号技術である。電子文書、ソフトウェアの配布、ファームウェア更新などの正当性確認に用いられる。
標準化プロセス(コンペティション形式)
NISTが世界中の研究者から暗号アルゴリズムの提案を募り、複数ラウンドにわたって安全性と性能を公開審査し、規格として採用するものを絞り込んでいく仕組みである。
ML-DSA / FN-DSA(Falcon)/ SLH-DSA
NISTのポスト量子デジタル署名方式である。ML-DSA(FIPS 204)とSLH-DSA(FIPS 205)は2024年に標準として確定し、FN-DSA(Falcon)は標準化対象に選定済みで規格(FIPS 206)を策定中である。ML-DSAとFN-DSAは格子という同じ数学的土台に立ち、SLH-DSAはハッシュ関数に基づく。
格子ベース暗号
高次元の格子に関する数学的問題の困難さを安全性の根拠とする暗号方式である。性能と安全性のバランスが良いとされる一方、複数の標準が同じ仮定に依存する集中リスクが指摘される。
FIPS(連邦情報処理標準)
米国政府機関が用いる情報処理の公式規格である。FIPSとして規格化された暗号は政府調達の基準となり、産業界の製品仕様にも広く波及する。
ウェッジ攻撃(wedge attack)
第2ラウンド中に提示された、多変数系署名(UOV、MAYO、SNOVAなど)の隠された秘密構造を露出させる暗号解読手法である。一部のパラメータが目標安全性を下回る原因となった。
セキュリティカテゴリ
NISTが定めた、暗号方式の安全性の強さを比較するための5段階の区分である。カテゴリ1が最も基本的な水準を表す。
Rainbow / SIKE
かつてNISTの審査を進んだ暗号方式で、いずれも2022年に解読された。少数の数学的仮定に依存することの危うさを示す事例として参照される。
【参考リンク】
NIST 耐量子計算機暗号プロジェクト(CSRC)(外部)
NISTの暗号研究部門が運営する公式ページ。標準化プロセスの進捗、刊行物、関連イベント情報が集約されている。
NIST IR 8610(本報告書の正式ページ)(外部)
本記事が扱う報告書そのものの公式ページ。PDF全文へのリンクや書誌情報を確認できる。
追加デジタル署名方式プロジェクト(CSRC)(外部)
今回のプロセス専用の公式ページ。各候補の提出仕様書や第3ラウンドの最新情報が掲載されている。
Post-Quantum Cryptography(NIST一般向け解説)(外部)
専門家でない読者向けに、ポスト量子暗号の意義と移行の必要性を平易にまとめたNISTの公式ページ。
【参考記事】
NIST Narrows the Field: Nine Post-Quantum Signature Candidates Advance to the Third Round(PostQuantum.com)(外部)
第3ラウンド進出9候補を数学的分類ごとに詳述。SQIsign148バイト、UOV96バイトなど署名サイズの具体値を挙げ、IoTやDNSSEC等の用途を解説。本解説の数値・背景で主に参照した。
NIST Advances 9 Candidates to the 3rd Round of PQC(NIST CSRC 公式)(外部)
NISTによる第3ラウンド選定の公式発表。2026年5月14日にNIST IR 8610が公開され、9候補が進出したことを伝える一次情報である。
NIST Releases First 3 Finalized Post-Quantum Encryption Standards(NIST 公式ニュース)(外部)
2024年8月13日にFIPS 203・204・205が公開されたことを伝える公式発表。用語解説の標準化進捗の訂正根拠とした。
NIST Develops 9 Signatures To Third Round Of PQC Evaluation(Quantum Zeitgeist)(外部)
2026年5月15日付の専門メディア記事。9候補とFIPS 204/205/206の関係を整理。他メディアの報じ方の比較・確認に参照した。
【関連記事】
量子コンピュータがRSA暗号を破る日は近い?必要量子ビット数が2000万から100万に激減、NIST標準化で始まるポスト量子暗号への大移行
NISTによるPQC標準化の経緯と、暗号移行が急がれる背景を解説した記事。今回のニュースの前史として読みたい。
Google、ポスト量子暗号への移行を政策課題に格上げ—企業に残された期限は18ヶ月
格子ベース暗号や企業の移行スケジュールを論じた記事。規制・移行の文脈を深く知りたい読者に。
Google、Android 17に耐量子暗号を実装—2029年PQC移行計画の第一フェーズ
FIPS 204(ML-DSA)の実装事例を扱った記事。標準化された署名が製品でどう使われるかがわかる。
TOPPANホールディングス×NICT×ISARA、耐量子暗号へのシームレス移行に成功—2030年社会実装へ
日本国内のPQC移行実証を伝える記事。今回の国際標準化の動きを日本の足元から捉え直せる。
【編集部後記】
「量子コンピュータが暗号を破る」と聞くと、まだ遠い未来の話に感じるかもしれません。私自身もそうでした。けれど、暗号の入れ替えには長い年月がかかります。今日の通信を守るための準備は、すでに静かに始まっています。
みなさんが日々使うサービスやデバイスは、どんな署名方式に支えられているのでしょう。スマートカードやIoT機器のように小さな世界で、この技術がどう活きるのか。一緒に追いかけてみませんか。気づいたことや疑問があれば、ぜひ聞かせてください。
