量子コンピュータは現在も活発に開発が進められており、いずれ最終的には、現代の通信の安全を支える暗号技術を破る能力を持つようになると考えられています。最近の量子コンピューティングの進歩によって、従来の暗号技術がこうした攻撃に対して脆弱であることが浮き彫りになりました。2017年以降、Cloudflareは量子コンピュータによる攻撃に耐えうるポスト量子暗号の開発、標準化、実装の最前線に立ってきました。
Cloudflareの使命はシンプルです。それは、すべてのお客様が量子安全性を確保するための明確な道筋を持てるようにすることです。Cloudflareはこの問題の緊急性を認識しており、暗号アルゴリズムのアップグレードという複雑なプロセスを当社が管理することで、お客様がそれを心配する必要がないように取り組んでいます。口先だけではありません。現在、Cloudflareに到達するボット以外のHTTPSトラフィックの35%以上は、ポスト量子暗号で保護されています。
アメリカ国立標準技術研究所(NIST)も、この移行の緊急性を認識しています。2024年11月15日、NISTは、画期的な発表を行い、現在インターネットのあらゆる部分を支えている従来の暗号アルゴリズムであるRSAとECC(elliptic curve cryptography)を段階的に廃止するタイムラインを設定しました。NISTの発表によると、これらのアルゴリズムは2030年までに廃止され、2035年までに完全に禁止される予定です。
Cloudflareは、2035年どころか2030年まで待つつもりもありません。当社は、プライバシーは基本的な人権であり、高度な暗号化技術は誰もが妥協することなく利用できるべきだと考えています。ポスト量子セキュリティに追加費用を支払う必要はありません。そのため、現在Cloudflareによって保護されたWebサイトにアクセスするWeb訪問者は、Chrome、Edge、Firefoxなどの主要ブラウザを使用している限り、すでにポスト量子暗号による恩恵を受けています(また、Radarのデータによると、(モバイル版)Safariのトラフィックのごく一部もポスト量子暗号を利用し始めていることが確認されています。)。現在、Cloudflareを経由する人間によるWebトラフィックの3分の1以上がこの強化されたセキュリティを享受しており、今後より多くのブラウザやクライアントがポスト量子暗号をサポートすることで、この割合はさらに増加する見込みです。
人間のWebトラフィックを保護するためには大きな進歩が見られましたが、すべてのアプリケーションがWebアプリケーションというわけではありません。企業には(Webアプリケーション以外にも)さまざまな内部アプリケーションがあり、それらはまだポスト量子暗号をサポートしていません。
では、企業はどのようにして機密性の高い社内ネットワークのトラフィックをポスト量子暗号に対応させるべきでしょうか?
そこで、本日の発表につながります。Cloudflareは、ゼロトラストプラットフォームのエンドツーエンドの量子対応に向けた最初のフェーズを発表します。これにより、お客様は企業ネットワークのトラフィックをポスト量子暗号で保護できるようになります。企業はCloudflareのゼロトラストプラットフォームを経由して社内ネットワークのトラフィックをトンネリングすることで、個々のアプリケーション、システム、ネットワーク接続を個別にアップグレードする手間をかけることなく、量子コンピュータによる攻撃から保護することができます。
具体的には、組織は当社のゼロトラストプラットフォームを活用し、エンドユーザーのデバイス(WebブラウザまたはCloudflareのWARPデバイスクライアント経由)からCloudflare Tunnelに接続されたセキュアアプリケーションへ通信をルーティングすることで、エンドツーエンドの量子安全性を確保できます。これに該当するユースケースは以下のとおりです。
CloudflareのクライアントレスAccess:当社のクライアントレスゼロトラストネットワークアクセス(ZTNA)ソリューションは、Webブラウザを介した企業アプリケーションへのすべてのHTTPSリクエストに対し、ユーザーの識別情報とデバイスコンテキストを検証します。現在、クライアントレスAccessには、エンドツーエンドでポスト量子暗号による保護が適用されています。
CloudflareのWARPデバイスクライアント:2025年半ばまでに、WARPデバイスクライアントを使用するお客様は、ポスト量子暗号で保護された接続を介してすべてのトラフィック(プロトコルに関係なく)をトンネリングする予定です。WARPクライアントは、企業デバイスのトラフィックをCloudflareのグローバルネットワークへプライベートにルーティングすることで保護し、Gatewayが高度なWebフィルタリングを適用し、Accessがセキュアなアプリケーションアクセスを制御するポリシーを強制します。
Cloudflare Gateway:CloudflareのSecure Web Gateway(SWG)は、脅威や不正な通信をブロックするためにTLSトラフィックを検査およびフィルタリングするように設計されており、ポスト量子暗号を使用するTLSをサポートしています。
この記事の残りのセクションでは、量子コンピューティングがもたらす脅威と、ポスト量子暗号に移行する際に組織が直面する課題について説明します。また、当社のゼロトラストプラットフォームがどのようにポスト量子暗号をサポートしているかについての技術的な詳細、および将来の計画についてもご紹介します。
なぜポスト量子暗号に移行するのか、そしてなぜ今なのか?
ポスト量子暗号を今採用すべき主な理由は、以下の2つです。
過去の事例からも明らかなように、既存システムで使用されている暗号アルゴリズムを更新または廃止することは非常に困難です。たとえば、MD5ハッシュ関数は2004年に安全ではないと判断され、長らく非推奨とされてきましたが、2024年になってもRADIUSエンタープライズ認証プロトコルで使用されていました。2024年7月、Cloudflareは、MD5への依存を悪用したRADIUSへの攻撃を明らかにする調査に貢献しました。この例は、レガシーシステムの更新の大きな課題、つまり、暗号の俊敏性を実現することの難しさをを浮き彫りにしています。ポスト量子暗号への移行時も同様の課題が発生するため、今から対応を始めるのが理にかなっています。
2.「Harvest Now, Decrypt Later(今収集して後で解読する)」攻撃の脅威
現在、量子コンピューターは従来の暗号を解読するのに十分な量子ビットを欠いていますが、攻撃者は暗号化された通信を収集・保存したり、データセットを盗んだりして、量子技術が成熟したら復号化することを狙っています。現在の暗号化されたデータが10年~15年後には厄介になる可能性があるのであれば、ポスト量子時代に向けた準備は不可欠です。そこで、当社はすでに世界中の最先端の銀行、インターネットサービスプロバイダー(ISP)、政府機関と協力し、量子安全性への移行を支援しています。
米国政府はすでにこれらのリスクへの対策に取り組んでいます。2025年1月16日、ホワイトハウスは米国のサイバーセキュリティにおけるイノベーションの強化と促進に関する大統領令14144号を発令しました。この命令では、政府機関に対し「ポスト量子暗号(PQC)をサポートする製品が広く利用可能なカテゴリのリストを定期的に更新することを求め... リストに追加された製品カテゴリについては、90日以内に、そのカテゴリの製品の調達要件にPQCのサポートを含める措置を取ることが義務付けられています」
Cloudflareでは、2017年からポスト量子暗号の研究、開発、標準化に取り組んできました。当社の戦略はシンプルです。
Cloudflareの量子安全な接続を通じてトラフィックをトンネル化することで、「Harvest Now, Decrypt Later(今収集して後で解読する)」攻撃から即座に保護し、すべての暗号ライブラリを自力で更新する負担を軽減することができます。
Cloudflareにおけるポスト量子暗号への移行の様子を詳しく見てみましょう。
Cloudflareでは、TLS(Transport Layer Security)1.3プロトコルをポスト量子暗号に移行することに大きな重点を置いています。 TLSは主にWebアプリケーションの通信を保護するものですが、メール、メッセージ、VPN接続、DNS、その他多くのプロトコルの保護にも広く使用されています。 このため、TLSはポスト量子暗号に移行する際に注目すべき理想的なプロトコルと言えます。
移行には、TLS 1.3の2つの重要なコンポーネント、証明書で使用されるデジタル署名、鍵合意メカニズムの更新が含まれます。鍵合意については大幅な進歩が見られましたが、ポスト量子デジタル署名への移行はまだ初期段階です。
鍵合意プロトコルにより、2者間通信の保護と暗号化に使用できる共有の秘密鍵を安全に確立することができます。現在、多くのベンダーがTLS 1.3のポスト量子鍵交換プロトコルとしてML-KEM(Module-lattice based Key-Encapsulation Mechanism Standard)への移行を進めています。鍵合意の移行を優先する理由は主に2つあります。
パフォーマンス:ML-KEMは、短時間のネットワーク接続であっても、TLS 1.3プロトコルで優れたパフォーマンスを発揮します。
セキュリティ:従来の暗号化は、「Harvest Now, Decrypt Later(今収集して後で解読する)」攻撃に対して脆弱です。この脅威モデルでは、敵は暗号化された通信を現在傍受して保存し、その後(将来的に)量子コンピューターを用いて秘密鍵を導き出し、通信を侵害します。2025年3月現在、Cloudflareネットワークに到達している人間のWebトラフィックの3分の1以上が、ハイブリッドML-KEM鍵交換を備えたTLS 1.3によって、これらの攻撃から保護されています。
2024年3月1日から2025年3月1日までCloudflare Radarで観測された人間のHTTPSリクエストトラフィックのポスト量子暗号化の割合(2025年3月13日取得)。
Webサイトアクセス時にChromeブラウザがML-KEMを鍵合意に使用しているか確認する方法:まず、ページを検証し、「セキュリティ」タブを開きます。次に、「X25519MLKEM768」という表示があるか確認します。
これは、ブラウザが鍵合意プロトコルML-KEMを従来のECC(elliptic curve cryptography)と組み合わせて曲線X25519上で使用していることを示しています。これは、実証済みの従来の暗号(X25519)の保護と、新しいポスト量子鍵合意(ML-KEM)の保護を提供します。
デジタル署名はTLS証明書で使用され、接続の真正性を検証する役割を果たします。これにより、クライアントは実際にサーバーと通信していることを確認でき、サーバーを装った攻撃者と誤って通信することを防ぎます。
しかし、ポスト量子デジタル署名は、現在の署名に比べて大幅にサイズが大きく、処理速度も遅くなります。このパフォーマンスへの影響により、特に短期間のTLS接続では採用が遅れています。
幸いなことに、「Harvest Now, Decrypt Later(今収集して後で解読する)」攻撃を防ぐためにポスト量子署名は必要ありません。むしろ、量子コンピュータを用いてTLS接続をリアルタイムで改ざんする攻撃に対抗するために使用されます。現在のところ、量子コンピュータがこのような攻撃を実行できる段階には至っていないため、デジタル署名の移行は優先度が低くなっています。
それにもかかわらず、CloudflareはTLS証明書向けのポスト量子署名の標準化に積極的に関与しています。長期間維持されるTLS接続での導入実験や、パフォーマンスを犠牲にせずにポスト量子認証を実現する新たなアプローチの研究を進めています。私たちの目標は、量子コンピュータがリアルタイムでTLS接続を攻撃できるようになる前に、ポスト量子デジタル署名が広範に利用できるようにすることです。
Cloudflare Zero Trust + PQC:将来を見据えたセキュリティ
Cloudflareゼロトラストプラットフォームは、従来の企業向けセキュリティ境界をCloudflareのグローバルネットワークに置き換え、世界中のチームがインターネットや企業リソースへより速く安全にアクセスできるようにします。そして本日、Cloudflareのゼロトラストプラットフォームが、量子コンピュータによる脅威からお客様のデータを保護しながら、インターネット上を安全に転送できることを発表できることを嬉しく思います。 量子対応の第一段階として、当社のゼロトラストプラットフォームは、以下の3つの主要な量子安全性ユースケースをサポートしています。
クライアントレスのCloudflare Accessは、組織のインターネットトラフィックを量子コンピュータによる脅威から保護し、内部のWebアプリケーションがまだポスト量子暗号へ移行していなくても安全なアクセスを提供します(「クライアントレスアクセス」とは、ユーザーのデバイスに専用のクライアントアプリケーションをインストールすることなく、ネットワークリソースにアクセスする方法です。代わりに、ユーザーはWebブラウザを介して接続し、情報にアクセスします)。
現在の動作概要:
ブラウザ経由のPQ接続:(図のラベル(1))
ユーザーのWebブラウザがポスト量子鍵合意をサポートしている限り、デバイスからCloudflareのネットワークへの接続は、ポスト量子鍵合意を使用するTLS 1.3を介して保護されます。
Cloudflareのグローバルネットワーク内のPQ:(図中のラベル(2)):
ユーザーと配信元サーバーが地理的に離れている場合、ユーザーのトラフィックはCloudflareのグローバルネットワーク内のある地域(例:フランクフルト)で受信され、別の地域(例:サンフランシスコ)で送信されます。 このトラフィックがCloudflareのデータセンター間を移動する際、すべてのネットワークホップはTLS 1.3のポスト量子鍵合意によって保護されます。
PQ Cloudflare Tunnel:(図中のラベル(3))
お客様は、自社のデータセンターまたはパブリッククラウド(企業のWebアプリケーションがホストされている場所)からCloudflareのネットワークへと、Cloudflare Tunnelを確立します。このトンネルは、ポスト量子鍵合意を使用してTLS 1.3を使用して保護され、「Harvest Now, Decrypt Later(今収集して後で解読する)」攻撃から保護されています。
クライアントレスAccessは、企業のHTTPSアプリケーションへのアクセスに関して、エンドツーエンドの量子的安全性を提供します。この場合、企業のWebアプリケーションのセキュリティをアップグレードする必要はありません。
CloudflareのWARP Client-to-Tunnel構成による量子安全なZero Trust(VPNの代替として)
2025年半ばまでに、組織はHTTPSだけでなく、あらゆるプロトコルをCloudflareのゼロトラストプラットフォームを通じてトンネリングし、ポスト量子暗号を適用することで、エンドユーザーのデバイスから企業のオフィス、データセンター、またはクラウド環境へとインターネット上を移動するトラフィックを量子安全に保護できるようになります。
Cloudflareのゼロトラストプラットフォームは、従来のVPNの代替として理想的で、最新の認証・認可ポリシーを持つゼロトラストアーキテクチャを実現します。 Cloudflareのゼロトラストプラットフォームでは、WARP Client-to-Tunnel構成が広く利用されています。この構成では、組織がエンドユーザーのデバイスにCloudflareのWARPデバイスクライアントを導入し、Cloudflare Tunnelを使用して企業のオフィス、クラウド、またはデータセンター環境へ接続します。
詳細は以下の通りです。
WARPクライアント経由のPQ接続(2025年半ばで予定):(図中のラベル(1))
WARPクライアントは、MASQUEプロトコルを使用して、デバイスからCloudflareのグローバルネットワークに接続します。当社は、ポスト量子鍵合意を備えたTLS 1.3とこのMASQUE接続の確立のサポートを追加する作業を進めており、2025年半ばを予定しています。
Cloudflareのグローバルネットワーク内のPQ:(図中のラベル(2))
Cloudflareのグローバルネットワーク内でデータセンター間を移動するトラフィックは、すべてTLS 1.3のポスト量子鍵合意によってすでに保護されています。
PQ Cloudflare Tunnel:(図中のラベル(3))
前述の通り、Cloudflare Tunnelはすでにポスト量子鍵合意をサポートしています。
WARPクライアントのポスト量子対応が完了すれば、顧客はトラフィックを量子安全なトンネル内にカプセル化し、「Harvest Now, Decrypt Later(今収集して後で解読する)」攻撃のリスクを効果的に軽減することができます。この導入により、ネットワークやアプリケーションを個別にアップグレードする手間をかけずに、 HTTPSだけでなく、あらゆるプロトコルを保護できる包括的なセキュリティが実現します。
量子安全なSWG(サードパーティWebアプリケーションへのアクセス用のエンドツーエンドPQC)
Secure Web Gateway(SWG)は、TLSトラフィックを傍受し、検査することで、公開インターネット上の第三者Webサイトへのアクセスを保護するために使用されます。
Cloudflare Gatewayは、HTTPSトラフィックのための量子的に安全なSWGです。検査対象のサードパーティWebサイトがポスト量子鍵合意をサポートしている限り、CloudflareのSWGもポスト量子鍵合意をサポートします。この対応は、Cloudflareのネットワークへの接続手段(オンランプ)が何であれ有効です。(たとえば、Webブラウザ、WARPデバイスクライアント、WARP Connector、Magic WANなど)。必要なのは、ポスト量子鍵合意をサポートするブラウザを使用することだけです。
Cloudflare GatewayのHTTPS SWG機能は、以下のような2つのポスト量子TLS接続を必要とします。
ブラウザ経由のPQ接続:(図中のラベル(1))
TLS接続は、ユーザーのブラウザから、TLS検査を実行するCloudflareのネットワーク内のデータセンターに開始されます。ユーザーのWebブラウザがポスト量子鍵合意をサポートしている限り、この接続はポスト量子鍵合意を使用するTLS 1.3によって保護されます。
配信元サーバーへのPQ接続:(図中のラベル(2))
TLS接続は、Cloudflareのネットワーク内のデータセンターから配信元サーバーへ開始されます。通常、配信元サーバーはサードパーティによって制御されます。CloudflareのSWGからの接続は、サードパーティの配信元サーバーもすでにポスト量子鍵合意をサポートしている限り、ポスト量子鍵合意をサポートしています。 これは、https://pq.cloudflareresearch.com/をサードパーティの配信元サーバーとして使用することで、今すぐテストできます。
まとめると、CloudflareのSWGは、今日すでに量子対応している、または将来量子対応するサードパーティWebサイトへの安全なアクセスをサポートできるようになっています。また、ユーザーのトラフィックがCloudflareのグローバルネットワークに流入する際のオンランプの種類に関係なく、この量子安全な保護が適用されます。
ポスト量子の未来:Cloudflareのゼロトラストプラットフォームが業界をリードする
新たに台頭する量子コンピュータの脅威からお客様を守ることは、単なる優先事項ではなく、私たちの責務です。2017年以来、Cloudflareは製品エコシステム全体にわたってリサーチ、標準化、戦略的実装を通じてポスト量子暗号を開拓してきました。
今日が重要なマイルストーン:ゼロトラストプラットフォームにおける量子安全な保護の第一段階を迎えました。量子安全なクライアントレスAccessとSecure Web Gatewayはすぐに利用可能で、WARP Client-to-Tunnelネットワーク構成は2025年半ばまでに予定されています。私たちは、ポスト量子暗号技術の最前線を押し広げながら、継続的なイノベーションを通じて、お客様の組織が将来の脅威に先んじることを保証します。 暗号アルゴリズムの移行(クリプトアジリティ)に関する心配はCloudflareにお任せください。
Cloudflareの組み込みのクリプトアジリティがどのようにお客様のビジネスを将来にわたって保護できるのか、詳しくはポスト量子暗号Webページをご覧ください。