「2029年までに耐量子暗号への完全移行を目指す」
Googleがそう宣言したというニュースを見て、現役ネットワークエンジニア(以下、NE)として「ああ、ついに来たか」という感覚と、「いやでも、うちの機材は間に合うのか?」という不安が同時に来ました。
量子コンピュータが既存の暗号を破る「Q-Day」の話は前から知っていましたが、実際にベンダーや業界が動き始めると、急にリアルな問題になります。普段FortiGateを触っている人間として、自分の機材がこの流れに対応できるのか、エントリー機オーナーは何を準備しておけばいいのか、整理しておきたくなりました。
この記事は、PQC(ポスト量子暗号)の基本から、FortiGateの対応状況、エントリー機オーナーの選択肢までを、現役NEの視点でまとめたものです。専門家じゃなくても理解できるレベルで書いているので、「最近よく聞くPQCって結局何?」という人にも参考になるはずです。
そもそも:耐量子暗号(PQC)って何の話?
技術的に細かい話を始める前に、なぜこの話が今出てきているのかを整理させてください。
現在の暗号は、量子コンピュータで破られる
今インターネットで使われている公開鍵暗号(RSA、ECC など)は、「巨大な数の素因数分解」や「楕円曲線上の離散対数問題」といった、現在のコンピュータでは事実上解けない数学問題を安全性の根拠にしています。
ところが、十分に高性能な量子コンピュータが登場すると、これらの問題はショアのアルゴリズムという量子アルゴリズムで一気に解けてしまうことがわかっています。つまり、量子コンピュータが実用化された瞬間、世界中のSSL/TLSやIPsec VPNの暗号通信が「過去にさかのぼって全部復号可能」になる可能性がある。
「まだ量子コンピュータないから大丈夫」じゃない
「いやいや、実用的な量子コンピュータなんてまだ存在しないでしょ」と思うかもしれません。実際そうです。でも、問題はSNDL攻撃(Store Now, Decrypt Later)という考え方にあります。
要するに、攻撃者は今のうちに暗号化された通信データを記録しておいて、将来量子コンピュータが手に入ったタイミングで一斉に復号する、という戦略を取れる。今やり取りしている機密データが、5年後、10年後にバレる可能性があるということです。
特に、長期的に価値が落ちない情報(医療記録、知的財産、政府機密、長期的な戦略文書など)は、この攻撃の対象として現実的なリスクがあります。
NISTがPQC標準を確定させた
こういう背景から、米国のNIST(国立標準技術研究所)が長年かけてポスト量子暗号アルゴリズムの選定を進めていました。そして2024年、ついに最初のPQC標準が正式化されました。
主なものを挙げると:
- ML-KEM(旧称CRYSTALS-Kyber):鍵カプセル化メカニズム。鍵交換に使う
- ML-DSA(旧称CRYSTALS-Dilithium):デジタル署名
- SLH-DSA(旧称SPHINCS+):ハッシュベースの署名
これらは、量子コンピュータでも破れない(と現時点では信じられている)数学問題に基づいています。具体的には「格子暗号」と呼ばれるアプローチが中心です。
Googleが「2029年」と言い出した意味
これらの標準が出てきた今、業界の各プレイヤーが「いつまでに移行するか」を表明し始めています。Googleが「2029年」と区切ったのは、TLS 1.3の普及スピード、ハードウェアの更新サイクル、企業の予算化サイクルなどを総合的に考えた現実的な目標だと思われます。
つまり、約3〜4年の間に、世界中のWebサーバー、ネットワーク機器、IoTデバイス、クラウドサービスがPQC対応を完了する必要があるということです。これはネットワークエンジニアにとって、かなり大きな変化の波です。
ネットワーク機器に何が起きるか
PQC移行で、ネットワーク機器の世界では具体的に何が起きるのか。私が現役NEとして見ている範囲で整理します。
IPsec VPNの鍵交換が変わる
最大の変化点はここです。現在のIPsec VPNは、鍵交換にDH(Diffie-Hellman)やECDH(楕円曲線DH)を使っています。これがそのままPQCのML-KEMに置き換わる、というのが大きな流れです。
ただし、いきなり全部PQCに切り替えるのではなく、当面はECDHEとML-KEMを組み合わせた「ハイブリッド鍵交換」が主流になります。これはRFC 9370で標準化されている仕組みで、両方の暗号方式が同時に有効でないと鍵が成立しない、という安全側に倒した設計です。
TLS通信も同じ流れ
HTTPSやその他のTLS通信も、同じくハイブリッド鍵交換に移行していきます。WebサーバーやCDN、リバースプロキシなど、TLSを終端する機材すべてが対象です。
鍵サイズが大きくなる問題
PQCの鍵やシグネチャは、現在のRSA/ECCに比べてかなりサイズが大きいです。例えばML-KEM-768の公開鍵は約1.2KB、ML-DSA-65の署名は約3.3KB。これがネットワーク的に何を意味するかというと:
- IPsecのIKEパケットがフラグメンテーションする可能性が高まる
- パスMTUの問題が顕在化する
- 古いミドルボックスがPQCトラフィックを正しく処理できない可能性
つまり、鍵交換の中身を変えるだけじゃなく、ネットワーク経路全体の見直しが必要になるケースがある。これがPQC移行の地味だけど厄介な部分です。
古いハードウェアは性能不足になる可能性
PQCアルゴリズムは現行のRSA/ECCよりも計算負荷が高い場合があります。特にエントリークラスの機材では、PQCを有効化することで処理性能が落ちる可能性があります。
FortiGateのPQC対応状況
ここからが本題のFortiGateの話です。
FortiOS 7.6.x以降がPQC対応の入り口
私が調べた範囲では、FortinetはFortiOS 7.6系以降でPQC関連機能の本格的な実装を進めています。具体的には、IPsec VPNでハイブリッド鍵交換(RFC 9370ベースのML-KEM併用)をサポートする方向で進んでいるようです。
ただし、PQCの実装は業界全体としても進化の途中なので、最新の対応状況は必ずFortinet公式のリリースノートで確認してください。
エントリー機の制約
ここで大事なのが、FortiOS 7.6.xにアップグレードできるかは、ハードウェアモデルとライセンス状況に依存するということです。
私が使っているFortiGate 60Fのようなエントリー機の場合:
- ハードウェア的にFortiOS 7.6.xをサポートしているか
- 有効なFortiCareサブスクリプションがあるか
- PQC実装に必要な計算リソースがあるか
つまり、「ファームウェアを上げれば全機種でPQCが使える」わけではありません。買ってから数年経ったエントリー機は、ハードウェアの世代交代を待つ必要が出てくる可能性が高いです。
私の60Fの状況
正直に書くと、私の60FはFortiOS 7.4系で運用していて、サブスクリプションも切れているので、現状ではFortiOS 7.6.xにアップグレードできません。つまり、今の状態ではPQCには対応できないということです。
エントリー機オーナーの選択肢
選択肢1:FortiCareサブスクリプションを更新する
一番素直な選択肢です。サブスクリプションを更新すれば、FortiOSの最新版へのアップグレードパスが開きます。
メリット:既存機材を活かせる、設定の引き継ぎ不要。デメリット:エントリー機にとってサブスクリプション費用は本体価格に対して相対的に重い、将来のハードウェア性能の制約は残る。
選択肢2:新世代機にハードウェアを更新する
60Fの後継機(60Gシリーズ等)に買い替える選択肢です。メリット:最新のFortiOSを最初から使える、PQC対応のハードウェアアクセラレーションの恩恵を受けられる。デメリット:機材費がかかる、設定の移行作業が必要。
選択肢3:PQC対応を当面見送る
自宅検証用や非機密用途であれば、これも一つの現実的な選択です。ただし、業務でFortiGateを使っている場合は話が別です。
選択肢4:別ベンダーへの移行を検討する
サブスクリプションコストや機能要件を比較して、別ベンダーに切り替えるのは合理的な判断になることがあります。
2029年に向けて、現役NEとして思うこと
長年ネットワークエンジニアをやってきて感じるのは、機材の本当の寿命を決めるのはハードウェアの故障ではなく、ソフトウェアとセキュリティ要件の進化だということです。
物理的には何の問題もなく動いている機材が、新しいプロトコル要件に対応できないという理由で陳腐化していく。これは過去にもDESがAESに置き換わったとき、何度も起きてきました。PQC移行は、その流れの「最大規模版」になる可能性があります。
エンジニアとして大事なのは、この変化を「いつか起きること」ではなく「3〜4年以内に必ず起きること」として捉え、機材の更新計画に織り込んでおくことです。
まとめ
PQC移行は、ネットワークエンジニアにとって今後数年で最大級の変化です。FortiGateを使っているなら、以下の3つを意識しておくのが大事だと思います。
- FortiOSのバージョンとサブスクリプション状況を把握する
- エントリー機なら、ハードウェア更新も視野に入れる
- 業務用途と個人用途で判断軸を分ける
この記事はあくまで「現役NEとして見えている範囲」での整理です。PQC関連の情報は急速に動いているので、最新かつ正確な情報はFortinet公式ドキュメントや業界の信頼できるソースで確認してください。
FortiGateシリーズの他の記事もぜひ読んでみてください。
➡ 関連記事:FortiGate 60F 開封から初期設定まで完全ガイド|現役NEが実機で進める手順
注記:本記事のFortinet製品およびPQC実装に関する記述は、執筆時点での一般的な情報に基づいています。FortiOSの具体的な対応バージョンや実装状況、必要なライセンス要件は、必ずFortinet公式ドキュメントおよび代理店の最新情報をご確認ください。
