Cloudflare, Inc.(NYSE: NET)は2026年2月23日、同社のCloudflare One SASEプラットフォームが、最新のポスト量子(PQ)暗号規格に対応した世界初かつ唯一の完全なSASEとなったことを発表した。同社は2025年にクラウドネイティブのポスト量子対応Secure Web Gateway(SWG)およびZero Trustソリューションを提供開始しており、今回の発表ではCloudflare IPsecおよびCloudflare One Applianceによる広域ネットワーキング(WAN)ユースケースへのPQサポートを追加した。
これにより、Zero TrustアクセスやWAN-as-a-Serviceを含むCloudflare Oneの全コンポーネントが最新の暗号規格で保護される。NISTは2030年までに暗号アルゴリズムのアップグレードを求めている。CEOのマシュー・プリンスは、2017年からポスト量子規格のネットワーク組み込みに取り組んできたとし、追加のハードウェアアップグレードや追加コストは不要であると述べた。本プラットフォームは即日利用可能である。
From: 
Cloudflare Becomes the First and Only SASE Platform to Support Modern Post-Quantum Encryption
【編集部解説】
今回の発表は、Cloudflareが自社のSASEプラットフォーム「Cloudflare One」の全コンポーネントにポスト量子暗号を実装し終えたことを意味しています。2025年にZero TrustやSecure Web Gateway(SWG)へのPQ対応を先行させていましたが、今回IPsecおよびCloudflare One Applianceという広域ネットワーク(WAN)側の対応を完了したことで、企業ネットワークの入口から出口まで一貫したポスト量子保護が可能になりました。
この「SASE全体でのPQ対応」という点において、現時点でCloudflareが業界をリードしているのは事実と考えられます。主要競合であるZscaler、Palo Alto Networks、Netskopeはそれぞれ独自のSASEプラットフォームを展開していますが、プラットフォーム全体にわたるポスト量子暗号の統合を完了したという発表は確認できていません。ただし、Palo Alto NetworksはRFC 8784やRFC 9370などのポスト量子関連標準への対応を次世代ファイアウォール(NGFW)で進めており、競合各社も追随は時間の問題と見られます。
技術的な背景を補足すると、今回の実装の核となっているのはNISTが標準化した「ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism)」です。Cloudflareはこれを従来のX25519と組み合わせた「ハイブリッド方式」で運用しています。万が一ML-KEMに脆弱性が見つかった場合でも従来の暗号で保護が維持されるという、堅実な移行アプローチといえます。
プレスリリースではNISTの「2030年までにアップグレード」という表現が使われていますが、より正確には、NISTは2030年までにRSA-2048やECC-256などの従来のアルゴリズムを「非推奨(deprecate)」とし、2035年までに「使用禁止(disallow)」とするロードマップを示しています。つまり猶予はあるものの、暗号移行は歴史的に10〜20年を要する大規模作業であり、早期着手が不可欠です。
「Harvest Now, Decrypt Later(HNDL)」攻撃の脅威は、このニュースを理解する上で最も重要な概念の一つです。これは、現時点で暗号化された通信を攻撃者が傍受・保存しておき、将来量子コンピュータが実用化された段階で復号するという手法を指します。国家機密、金融情報、医療記録など長期間にわたって機密性が求められるデータほど、この攻撃のリスクが高くなります。量子コンピュータの実用化がいつになるかは不確実ですが、Global Risk Instituteの報告では2035年までにその日が来る確率を約3分の1と見積もっています。
今回の発表に伴うCloudflareの公式ブログによると、同社ネットワークを通過する人間が生成したTLSトラフィックの60%超がすでにhybrid ML-KEMによるポスト量子鍵合意で保護されています。Chrome、Edge、Firefoxといった主要ブラウザがTLS 1.3でのPQ対応をデフォルト有効にしたことが大きく寄与しており、利用者が意識することなく量子耐性のある接続が実現されている点は注目に値します。
企業にとっての実務的なメリットは明確です。Cloudflare Oneを利用すれば、個々の社内アプリケーションやシステムを一つずつPQ対応にアップグレードする必要がなく、トンネリングによって一括してポスト量子保護を適用できます。しかも追加コストが発生しないと明言されており、特にリソースの限られた中小企業にとってはPQ移行への現実的な選択肢となり得ます。
一方で、課題も残っています。今回の対応はあくまで鍵合意(key agreement)の領域が中心であり、デジタル署名のポスト量子対応はまだ初期段階にあります。ポスト量子証明書がブラウザに広く信頼されるようになるのは2027年以降と見込まれており、完全なポスト量子インターネットの実現にはまだ道のりがあります。また、ハードウェアセキュリティモジュール(HSM)やレガシーVPN、SFTPなどのプロトコルにおけるPQ対応も、業界全体としては未解決の領域です。
規制面では、米国だけでなくグローバルな動きが加速しています。NSAは国家安全保障システムに対して量子安全アルゴリズムの使用を要求しており、大統領令14144もPQ移行の緊急性を維持しています。NISTのロードマップは事実上の国際標準として各国に影響を及ぼすため、日本の組織も対岸の火事では済まされません。
Cloudflareが2017年からポスト量子暗号の研究開発に取り組んできた先行投資が、ここにきて具体的な製品優位性として結実した形です。SASEという企業ネットワークの中核領域でポスト量子対応を「デフォルト」として提供するこの動きは、暗号の世代交代を加速させる一つの転換点になる可能性があります。
【用語解説】
SASE(Secure Access Service Edge)
ネットワーク機能(SD-WANなど)とセキュリティ機能(ファイアウォール、Zero Trustなど)をクラウド上で統合的に提供するアーキテクチャ。Gartnerが2019年に提唱した概念である。
ポスト量子暗号(PQC:Post-Quantum Cryptography)
将来の量子コンピュータによる攻撃に耐えられるよう設計された暗号アルゴリズムの総称。現行のRSAやECCが量子コンピュータのショアのアルゴリズムで解読されるリスクに対応するものである。
ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism)
NISTが標準化したポスト量子鍵カプセル化方式。格子問題の困難性を安全性の根拠とする。Cloudflareは従来のX25519と組み合わせた「ハイブリッド方式」で運用している。
Harvest Now, Decrypt Later(HNDL)攻撃
現時点で暗号化された通信データを攻撃者が傍受・保存しておき、将来量子コンピュータが実用化された段階で復号する手法。長期間の機密性が求められるデータほどリスクが高い。
Zero Trust
ネットワーク内外を問わず、すべてのアクセスを信頼せず検証するセキュリティモデル。従来の境界型防御とは異なり、ユーザーやデバイスの認証・認可を都度行う。
IPsec(Internet Protocol Security)
IPレイヤー(レイヤー3)でネットワーク通信を暗号化・認証するプロトコル群。VPNや拠点間接続で広く使われる。今回Cloudflareがポスト量子対応を追加した中核技術の一つである。
WAN-as-a-Service
広域ネットワーク(WAN)の接続・管理機能をクラウドサービスとして提供する形態。従来のMPLS回線やハードウェアルーターに依存せず、拠点間接続を実現する。
Secure Web Gateway(SWG)
企業のWebトラフィックを検査・フィルタリングし、マルウェアやフィッシングなどの脅威をブロックするセキュリティサービスである。
【参考リンク】
Cloudflare, Inc. 公式サイト(外部)
世界最大級のコネクティビティクラウド企業。CDN、DDoS防御、Zero Trust、SASEなどを提供。NYSE: NET上場。
Cloudflare One(SASEプラットフォーム)(外部)
Cloudflareが提供するSASEプラットフォームの製品ページ。Zero Trust、SWG、WAN-as-a-Serviceなどを統合的に提供する。
Cloudflare Post-Quantum Cryptography(外部)
Cloudflareのポスト量子暗号専用ページ。PQC対応の仕組み、対象製品、移行ガイダンスなどをまとめている。
NIST Post-Quantum Cryptography プロジェクト(外部)
米国国立標準技術研究所によるポスト量子暗号の標準化プロジェクト。ML-KEMなどの標準仕様と移行ガイダンスを公開。
Cloudflare Radar(外部)
グローバルなインターネットトラフィックの傾向・統計データをリアルタイムで公開。PQ暗号の採用率データも確認できる。
Cloudflare PQ Research(外部)
自身の接続がポスト量子鍵合意で保護されているかを確認できるCloudflare研究チームによるテストページ。
【参考記事】
Cloudflare One is the first SASE offering modern post-quantum encryption across the full platform(外部)
IPsecへのhybrid ML-KEM実装詳細、Cloudflare One Appliance v2026.2.0でのPQ対応、60%超のTLSトラフィック保護を報告。
State of the post-quantum Internet in 2025(外部)
2025年10月末時点でCloudflare通過トラフィックの50%超がPQ保護達成。各国規制の2030〜2035年移行タイムラインも記載。
Cloudflare Bets Big on Post-Quantum Cryptography, Racing to Shield Enterprise Networks Before Q-Day Arrives(外部)
競合(Zscaler、Palo Alto Networks、Netskope)への影響分析。HSM、PKIなど業界全体の未解決課題も指摘。
Quantum threats are coming, and Cloudflare wants your network ready now(外部)
第三者視点からCloudflare OneのPQ対応完了を報道。2017年からの取り組み経緯とIPsec高可用性機能を紹介。
Cloudflare rolls out post-quantum encryption for enterprise users(外部)
Cloudflare CTOが暗号移行をY2K問題に例えた発言を紹介。金融サービス業界からのPQ需要増加についても報告。
NIST’s New Timeline for Post-Quantum Encryption(外部)
NISTの2030年非推奨化・2035年完全移行タイムラインを解説。暗号移行に歴史的に10〜20年要することを指摘。
【編集部後記】
皆さんが日々利用しているWebブラウザの裏側では、すでに暗号技術の世代交代が静かに進んでいます。「量子コンピュータはまだ先の話」と感じるかもしれませんが、今この瞬間に暗号化されたデータが将来解読されるリスクは現実のものです。
ご自身の接続がポスト量子暗号で保護されているか、Cloudflareのテストページで確認してみてはいかがでしょうか。未来のセキュリティを「体感」できる貴重な機会かもしれません。
