この記事は、Technical Leader , Cisco Cloud and Networking Security である Bill Spry によるブログ「 Preparing for Post-Quantum Cryptography: The Secure Firewall Roadmap 」( 2026年 4月 13日 )の抄訳です。
ネットワークやインターネット上で大量にやり取りされるデータはほぼすべて、暗号化によって保護されています。暗号化は、現在のコンピュータではいくら時間をかけても解読できない数学的問題を用いた仕様となっています。この状況が、今変わろうとしています。
新たな種類のマシン、量子コンピュータの登場です。物理学の理論は詳述しませんが、重要な点として、現在のスーパーコンピュータでも解読するのに数百万年かかる暗号化を、近い将来わずか数時間で解読できるようになるでしょう。現時点ですでに、攻撃者グループや国家主体のアクターが、解読可能になる瞬間に備えて、暗号化データを収集・蓄積していると見られています。今この瞬間、ネットワークを流れる機密データ(財務記録や知的財産、システムログイン情報)が収集され、明日にでも公開されてしまう可能性があります。
その解決策となるのが、耐量子計算機暗号(PQC)と呼ばれる新しいクラスの暗号化アルゴリズムです。PQC は、現在のアルゴリズムとは異なる、量子コンピュータでも短時間で解けない数学的難問を基盤としています。国立標準技術研究所(NIST)はこれらのアルゴリズムを正式な標準に選定しており、政府や産業界がその採用の義務付けを急速に進めています。
NSA は、2027 年 1 月以降に購入されるすべての国家安全保障システムについて、これらの「耐量子」標準に対応した、将来を見据えたシステムの導入を義務付けています。オーストラリア は、2030 年までの移行を目指すという野心的な戦略を策定しています。欧州連合(EU)も、2035 年までの段階的な期限を定めたロードマップを発表しました。自組織がこれらの義務の対象となるか否かを問わず、これらは世界全体にとって事実上の基準となるでしょう。皆様が提携するパートナー、加入するサイバー保険契約、データを処理する顧客のすべてが、今後ますますこれらの標準に基づいて皆様の組織を評価するようになるでしょう。
Cisco Secure Firewall では、VPN トンネル、リモート管理、ハードウェアレベルの信頼、インライン復号など、多くの面で暗号化技術が駆使されています。ネットワーク管理者の皆様は、「耐量子計算機暗号への移行は、自社インフラにとってどのようなものになるのか」という極めて現実的な疑問を抱くことでしょう。本記事では、現状、今後の方向性、そして今すぐ検討すべき事項について解説します。
ファイアウォールに関連する NIST 標準
NIST の PQC 標準では、3 つのアルゴリズムが定義されており、それぞれが特定のクラスにおける従来の暗号技術に代わるものとして設計されています。また、既存のアルゴリズムに対するより強力なセキュリティ基準も定義されており、これらはすでに Cisco Secure Firewall に組み込まれています。
- ML-KEM(FIPS 203)は、暗号化セッション開始時のハンドシェイクにて、2 つのデバイス間で共有する共有秘密鍵を保護します。現在、この役割は ECDH などのアルゴリズムによって担われていますが、量子コンピュータによって破られる可能性があります。一方、ML-KEM は、従来のアルゴリズムとは根本的に異なる種類の数学的難題(格子ベース暗号)に基づいており、従来のコンピュータおよび将来の量子コンピュータの両方からの攻撃に耐性を持つよう設計されています。この技術は、Secure Firewall Threat Defense(FTD)10.5 および ASA 9.25 でサポートされます(2026 年後半に一般提供を開始予定)。
- ML-DSA(FIPS 204)は、デバイスの本人確認(認証)やソフトウェアが改ざんされていないことの証明を行うための仕組みです。ファイアウォールが VPN ピアを認証したり、署名付きソフトウェアイメージの真正性を検証したりする際、常にデジタル署名によって信頼性が担保されます。現在、RSA または ECDSA が使用されていますが、これらはいずれも量子コンピュータによって破られる可能性があります。ML-DSA は、これらに代わる耐量子デジタル署名アルゴリズムであり、こちらも格子ベース暗号に基づいています。FTD/ASA 11.0 でのサポートが、2027 年下半期に予定されています。
- SLH-DSA(FIPS 205)は、暗号化技術における「投資の分散」に相当します。ML-KEM と ML-DSA は、いずれも格子ベース暗号をベースとしています。一方、SLH-DSA では意図的に異なる設計が採用されており、格子ベース暗号とは異なるハッシュベースの数学的問題を用いた仕様となっています。その署名サイズは大きくなりますが、手法が異なるため、将来的な研究によって格子ベースの数学的問題に欠陥が見つかった場合に備え、ネットワークにとって極めて重要な安全策となります。FTD/ASA 11.0 でサポートされる予定です。
シスコのアプローチは、以下の 2 点を軸に推進されます。
- セキュア通信:データ伝送プロトコル(IPsec、TLS、SSH)に PQC を統合する
- 製品のセキュリティ確保:製品そのものを保護し、ファイアウォール自体のアイデンティティ、ソフトウェアの完全性、ブートチェーンの耐量子性を確保する
どちらの軸も NIST 標準に準拠しており、コンプライアンスの期限に先立ち、現行の暗号化技術を解読できる量子コンピュータが実用化されるよりずっと前にプラットフォームに実装されています。
IPsec:今すぐに「橋」を構築
多くの組織にとって、IPsec VPN は PQC に関する最も差し迫った懸念事項です。特に、機密情報や分類データを保護するサイト間トンネルは、「今収集し、後で復号する」という攻撃の対象となる恐れがあります。幸いなことにシスコは、NIST 策定のアルゴリズムが最終決定される前から、暫定的な保護策をすでに提供しています。
いくつか重要な RFC がすでに ASA でサポートされており、FTD 10.5 でもサポートされる予定です。
- RFC 8784(IKEv2 における事前共有キーの混合)により、耐量子事前共有キー(PPK)を IKEv2 の鍵導出プロセスに混合することが可能となり、ネイティブな PQC アルゴリズムがデプロイされる前から、すべてのセッションに耐量子エントロピーを実装することができます。これは、バージョン 9.18 以降の ASA で利用可能です。
- RFC 9242(IKEv2 における中間鍵交換)および RFC 9370(IKEv2 における複数鍵交換)により、従来の鍵共有と耐量子鍵共有の両方を同時に行うハイブリッド鍵交換が可能になります。このアプローチは、移行期間において従来のコンピュータおよび量子コンピュータの両方からの攻撃に対する保護を実現する移行戦略として、NIST、NSA、ドイツの BSI、フランスの ANSSI によって推奨・支持されています。これは、バージョン 9.19 以降の ASA で利用可能です。
さらに、シスコは Secure Key Integration Protocol(SKIP)を開発しました。現在 RFC ドラフト段階にあるこのプロトコルにより、サードパーティプロバイダーや量子鍵配送(QKD)デバイスから配布された事前共有キーをデバイスへ安全にインポートすることができます。SKIP はシスコのネットワークポートフォリオの他の分野でも広く採用されており、現在ではシスコの WAN およびサービス プロバイダー インフラストラクチャにおいて実績あるテクノロジーの一つとなっています。Cisco Secure Firewall FTD 10.5 および ASA 9.25 が SKIP に対応し、このフレームワークが拡張されることで、組織は一貫性のあるネットワーク向け耐量子鍵管理ソリューションを利用できるようになります。
組織の要件として PQC を IPsec に組み込む必要がある場合は、これらの機能を通じて今すぐその取り組みに着手し、最も重要なニーズを Cisco Secure Firewall の次期ソフトウェアリリースで満たすことができます。
TLS:さまざまな対象領域とタイムライン
TLS は、単なる Web ブラウジングをはるかに超えた形でファイアウォールに影響を及ぼします。ユースケースに応じて、それぞれ独自の PQC に関する考慮事項があります。
- TLS 復号 — 暗号化されたトラフィックをインラインで検査するファイアウォールの機能に、PQC サポートが段階的に導入されます。PQC アルゴリズムを用いた TLS 復号は FTD 10.5 で実装される予定です。PQC ネゴシエーションセッションを可視化する PQC メタデータロギングは、PQC 対応 QUIC 復号を導入予定の FTD 11.0 で実装される予定です。
- リモートアクセス VPN(TLS / DTLS を使用)については、現在ドラフト段階にある RFC 標準の結果次第ですが、ASA/FTD 11.0 で ML-KEM および ML-DSA がサポートされる予定です。DTLS ベースの RAVPN は、基盤となる TLS ライブラリ(OpenSSL)における DTLSv1.3 の可用性に依存しており、その提供時期についてはまだ確定していません。
- さらに、管理アクセスとモニタリングを補完することで、TLS に関連する攻撃対象領域を包括的にカバーし、防御レベルを最大化することができます。TLS クライアント機能の PQC サポートは ASA/FTD 11.0 で実装される予定ですが、管理 Web サーバーの PQC サポートは、基盤となる Web サーバーライブラリの準備状況に依ります。
ハードウェアトラストアンカー
暗号化は、プロトコルレイヤではなく、起動時を起点とします。エンドツーエンドの保護を実現する当社の「製品のセキュリティ確保」という柱に沿い、シスコのハードウェアではセキュアブートにより信頼の連鎖が確立されます。これにより、有効かつ署名済みのソフトウェアのみがデバイス上で実行されます。耐量子の世界において、サプライチェーンやファームウェアレベルの攻撃からの保護を実現するには、セキュアブートを PQC 対応アルゴリズムに移行することが不可欠です。
将来のファイアウォール プラットフォーム(現在開発中)についてはいずれも、「お客様向け出荷開始」時点から PQC 対応のハードウェアセキュアブートが標準搭載されます。Cisco Secure Firewall 1200 および 6100 シリーズなど、最近リリースされたプラットフォームは必要なハードウェアサポートを備えており、今後のソフトウェアアップデートを通じて PQC 対応のセキュアブートが提供されます。2025 年以前にリリースされたプラットフォームについては現在評価中ですが、その多くは PQC セキュアブートに必要なハードウェア要件を満たしていないと思われます。
今から計画しておくべきこと
今すぐネットワークを全面的に刷新する必要はありませんが、後になって慌てることのないよう、今から慎重に選択を始める必要があります。まずは以下から始めましょう。
- 暗号化がどこで行われているかを把握する。VPN トンネル、インライン復号、管理アクセス、ロギング、認証など、ファイアウォールのどこで暗号化が使われているか把握します。それぞれに耐量子計算暗号(PQC)への移行に向けた固有の手法があるため、何を変えるべきか把握しなければ、移行計画を立てることはできません。
- アップグレードの実施を計画サイクルに組み込む。2026 年後半にリリース予定の FTD 10.5(および ASA 9.25)では、ML-KEM が導入され、VPN トンネルに PQC が組み込まれます。2027 年には、FTD および ASA 11.0 に ML-DSA と SLH-DSA が導入され、インライントラフィック検査の適用範囲が拡がることで、耐量子対応(PQC)が完了します。
これらのアルゴリズム名を知っていなくても問題ありません。最も重要なのは、包括的な機能スイートが間もなく提供されることを把握しておくことです。それに応じてアップグレードの実施時期を計画してください。
- ハードウェアについては、後回しにせず、今すぐ検討する。新しいファイアウォール プラットフォームを購入する場合、シスコの最新ハードウェアは PQC セキュアブートに対応しています。古いプラットフォームを使用しており、この機能について懸念がある場合は、長期的な移行計画にハードウェアの更新を組み込むことを検討してください。
量子コンピューティングの脅威は理論上の話ではなく、近い将来に現実の脅威として迫っています。標準の公開やアルゴリズムの選定がなされ、ロードマップに沿った取り組みが進んでいます。Cisco Secure Firewall では、プラットフォームのあらゆるレイヤーに耐量子計算機暗号が組み込まれています。これにより、組織の移行準備が整った時点で、ファイアウォールも即座に対応できる設計になっています。
記載されている製品と機能の多くは開発段階にあり、使用可能になった時点で順次提供される予定です。これらの製品と機能の提供スケジュールは、シスコがその裁量で変更することがあり、シスコはこの文書に記載された製品または機能の提供の遅れまたは中止について一切の責任を負いません。
ぜひお客様のご意見をお聞かせください。質問を投稿し、ソーシャルネットワークで Cisco Security の最新情報を入手してください。
Cisco Security ソーシャルメディア
Authors
