暗号の本おすすめ10冊｜入門から専門・耐量子まで

暗号の本は、歴史から入るか、仕組みを先に押さえるか、実装に触れるか、理論を掘るか、耐量子まで見据えるかで最適な一冊が変わります。
本稿はおすすめ10冊を読者タイプ別に整理し、「最初の1冊」と「次に読むべき一歩」を具体的な学習順序とともに提示します。

暗号の本はどう選ぶべきか

暗号の本選びで迷ったときは、まず「どの扉から入るか」を決めると整理できます。
軸は大きく5つです。
歴史や文化の流れを楽しむ story、暗号がどう動くかをつかむ mechanism、現場でどう使うかに寄せた practice、定義・仮定・証明まで踏み込む theory、そして量子時代まで視野に入れる post-quantum です。
たとえば暗号解読は story の入口として抜群で、古代の秘文から量子暗号までを一本の物語として追えます。
暗号技術入門 第3版や暗号技術のすべては mechanism の中核に置きやすく、図や具体例を通じて「暗号が魔法ではなく設計物だ」と腑に落ちます。
開発者目線ならSerious Cryptographyが practice に寄り、研究寄りならIntroduction to Modern Cryptographyが theory の定番です。
post-quantum では暗号の理論と技術 量子時代のセキュリティ理解のためにや耐量子計算機暗号が候補に入ります。

ここでいう入門書は、単にやさしい本という意味ではありません。
幅広い範囲を一冊で浅く俯瞰できて、図解が多く、抽象語だけで終わらず具体例が載っていて、途中で手を動かす演習や確認問題がある本を指します。
この条件がそろうと、独学で読み進めたときに「読めた気がする」だけで終わりません。
とくに暗号は、読んだ瞬間は理解したつもりでも、数ページ先で RSA とハッシュと電子署名の役割が頭の中で入れ替わることがあります。
そういうとき、確認クイズや数値例がある本は、学びの手すりになります。
暗号技術入門 第3版が長く支持されるのも、この手すりが丁寧だからですし、暗号技術のすべてが橋渡し役として強いのも、古典暗号から現代暗号までを図と数値例でつないでくれるからです。

読者タイプごとに着地点を決めておくと、途中で息切れしません。
暗号に初めて触れる人は、図解や比喩が多い本から入ったほうが、記号そのものへの拒否感を減らせます。
映画や小説のように読める暗号解読、あるいは日本語で基礎技術を順番に追える暗号技術入門 第3版は、この層に合います。
中級者は、数式や証明が出てきても立ち止まりながら追える段階なので、暗号技術のすべてや暗号理論入門に進むと視界が広がります。
実務者は、理論の美しさだけでは足りず、運用上の落とし穴や実装時の勘所が要ります。
その視点ではSerious Cryptographyのような実用寄りの本が効きます。
研究志向の読者は、なぜ安全と言えるのかを仮定と証明で追う必要があるので、Introduction to Modern Cryptographyの土俵に乗ることになります。

日本語と英語の使い分けも、暗号学習では成績を左右します。
日本語の本は、最初の地盤固めに向いています。
暗号の学習では、用語そのものより「概念の位置関係」をつかむまでがひと苦労なので、母語で地図を作る価値が大きいからです。
そのうえで、理論を深める段階や最新動向を追う段階では、英語の原著が一気に強くなります。
Introduction to Modern Cryptographyのような理論書は、定義と証明の精度がそのまま学習価値になりますし、耐量子暗号の分野も英語文献の層が厚いです。
筆者自身、通勤30分を往復で使って図解中心の入門書を読んだときは、2週間ほどで一冊の輪郭がきれいにつかめました。
一方で、英語の理論書は同じペースで細切れに読むより、週末にまとまった時間を取って数式と定義を往復したほうが、理解が深く残りました。
暗号本は「読む時間の長さ」より、「頭のモードを切り替えられるか」の影響が大きいと感じます。

ページ数や版の新しさも、選ぶヒントになります。
300ページ前後の本は、総合入門としてちょうど現実的な負荷です。
たとえば暗号技術のすべては312ページで、古典から現代までを広く見渡しながらも、一冊として消化しきれる分量に収まっています。
量子時代まで視野を広げる暗号の理論と技術 量子時代のセキュリティ理解のためにも336ページで、日本語で最新寄りの話題を追う入り口として持ちやすい厚みです。
これに対してIntroduction to Modern Cryptographyは603ページあり、読む感覚は総合入門というより、学部後半から大学院にかけての教科書に近づきます。
薄い本が初心者向け、厚い本が上級者向け、と単純には言えませんが、600ページ級は「腰を据えて付き合う本」と見たほうが実態に合います。

版の新しさは、暗号ではとくに見逃せません。
アルゴリズムそのものの原理は古くても、実用上の評価や推奨は動きます。
古典的名著としてApplied CryptographyやHandbook of Applied Cryptographyに触れる価値はありますが、最初の一冊として前面に出すより、歴史的参照書として扱うほうが自然です。
いま学ぶなら、現代暗号の標準的な考え方や耐量子暗号の話題に触れられる版・書籍のほうが、頭の中の地図を現在地に合わせやすくなります。
RSA や楕円曲線暗号がどう脅かされうるか、そこからなぜ耐量子暗号が必要になるのかまでつながる本は、単に「新しい」からではなく、いまの暗号を理解する前提を埋めてくれます。

[!NOTE]

迷ったら、「読後にどんな会話ができるようになりたいか」を基準にすると選びやすくなります。歴史の話をしたいなら暗号解読、仕組みを説明したいなら暗号技術入門 第3版か暗号技術のすべて、開発の現場で判断したいならSerious Cryptography、研究の入口に立ちたいならIntroduction to Modern Cryptography、量子時代まで見通したいなら暗号の理論と技術や耐量子計算機暗号が噛み合います。

要するに、暗号本選びは「やさしいか難しいか」だけでは足りません。
物語を楽しむ本、仕組みをつかむ本、実装で転ばないための本、証明で安全性を捉える本、量子時代に備える本では、読んだあとに残る力が違います。
入口を自分の目的に合わせるだけで、暗号はぐっと近い学問になります。

まず最初の1冊におすすめの入門書

最初の1冊を1冊だけ挙げるなら、やはり書籍暗号技術入門 第3版が本命です。
やさしい語り口で、図を見ながら「共通鍵暗号」「公開鍵暗号」「ハッシュ」「電子署名」が頭の中で整理されていく構成になっていて、初心者が途中で置いていかれにくいからです。
しかも各章末に確認クイズがあり、読むだけで終わらず、自分の理解がどこで曖昧になっているかをその場で見つけられます。
筆者もこの本を読んだとき、章を読み終えるたびにクイズで立ち止まり、「わかったつもり」の部分が意外に多いことに気づかされました。
暗号は言葉が似ていて役割が違う概念が多いので、このセルフテストの手すりは効きます。
一方で、最初の1冊を暗号技術のすべてにする選び方も十分にあります。
出版社の書誌では312ページとされており、SEshopではPDF版が税込3,850円で表示されていますが。
この2冊を並べると、差ははっきりしています。
暗号技術入門 第3版は文体のやさしさと図解の親切さが光り、対象は初心者から初級エンジニアまでです。
最初の壁を越える本として強い。
対して暗号技術のすべては数値例の量とカバー範囲の広さが持ち味で、初級者から中級の入口まで橋を架ける役割が大きい。
実装や運用の勘所にも触れているぶん、「仕組みがわかった先」に自然につながります。
読書感覚で入るなら前者、ノートを開いて腰を据えるなら後者、という分け方がいちばん実態に近いです。

比較のポイントを短く整理すると、こうなります。

歴史好きであっても、最初の一冊を必ずしも歴史本に固定する必要はありません。
ただ、物語から入ると知識が記憶に残りやすい人はいます。
映画や小説の導入のように「なぜ暗号が生まれ、なぜ破られ、なぜ進化したのか」を追いたいなら、暗号解読を序章として置く価値があります。
そのうえで、日本語で技術の骨格を固める流れに乗せると、歴史と仕組みが一本につながります。

学習順序A（歴史入口）: 暗号解読 → 暗号技術入門 → 暗号技術のすべて/Serious Cryptography

暗号解読は、古代の秘文から量子暗号までをひとつの長い物語として見せてくれるので、「なぜこの技術が必要になったのか」という動機が先に入ります。
ここで暗号を人間のドラマとしてつかんでから、暗号技術入門 第3版で仕組みを一つずつ整理すると、用語が急に無機質な記号に見えなくなります。

その先は、どこに重心を置くかで分かれます。
幅広く総合力をつけたいなら暗号技術のすべてへ進むのが自然です。
ブロック図や数値例が多いので、古典暗号と現代暗号の間にある段差がゆるやかになります。
開発や実務の匂いまで含めて現代暗号を見たいならSerious Cryptographyが合います。
歴史好き、文系出身、あるいは「まず面白さがほしい」という読者には、この順序がいちばん息が続きます。

学習順序B（技術入口）: 暗号技術入門 → 暗号技術のすべて → 暗号理論入門/Serious Cryptography

技術の仕組みを素直に積み上げたい人には、この順序が王道です。
出発点は暗号技術入門 第3版です。
図解とクイズで土台を固め、共通鍵暗号、公開鍵暗号、ハッシュ、認証の関係を崩れない形で頭に入れます。
ここで「暗号はブラックボックスではない」と感じられると、その後の学習が一気に進みます。

次に暗号技術のすべてへ進むと、範囲が横に広がります。
古典暗号から現代暗号までをまとめて眺められるので、断片的だった知識が地図になります。
ページ数や発売日などの書誌情報は版や販売形態により表記が異なることがあるため。

学習順序C（理論入口）: 暗号技術のすべて → 暗号理論入門 → Introduction to Modern Cryptography

数学や定義に抵抗が薄く、いずれ証明ベースの理解まで進みたい人にはこの順序が向きます。
ただし、いきなりIntroduction to Modern Cryptographyへ飛び込むと、形式的定義・仮定・証明の密度に圧倒されやすいので、日本語の橋を一本入れたほうが流れがきれいです。
その橋としてちょうどよいのが暗号技術のすべてです。
古典から現代までの見取り図をつくり、数値例でアルゴリズムの感触をつかんでから理論に入ると、記号が空中戦になりません。

次の暗号理論入門は、日本語で理論の全景を見渡す役に立ちます。
証明の美しさだけでなく、現代的な話題との接点も見えるので、「理論は研究者だけのもの」という距離感が薄れます。
そこまで進んでからIntroduction to Modern Cryptographyに向かうと、603ページの重さも単なる厚さではなく、定義を積み上げる教科書として読めます。

この順序が向くのは、学部生、大学院進学を考える人、研究室配属前に土台を作りたい人、あるいは理論屋の言葉をちゃんと理解したいエンジニアです。
最初の一冊としては暗号技術入門 第3版より一段硬派ですが、「どう動くか」だけでなく「なぜ安全と言えるのか」まで見据えるなら、無理のない流れです。

学習順序D（耐量子志向）: 暗号の理論と技術 → 耐量子計算機暗号 → Post-Quantum Cryptography

量子時代まで見据えるなら、入口の本選びも変わります。
暗号の理論と技術 量子時代のセキュリティ理解のためには336ページ、2024年5月24日発売、定価はNRIの記事上で3,400円＋税と整理されている新しめの和書で、現代の安全性理解を量子時代までつないでくれます。
RSA や楕円曲線暗号がなぜ脅かされうるのか、その先で何が課題になるのかを日本語で追えるので、耐量子暗号に興味がある人の助走としてちょうどよい位置にあります。

ここで背景を押さえたら、耐量子計算機暗号へ進む流れが自然です。
5章構成で、格子暗号や同種写像など、PQCの中核テーマに踏み込みます。
さらに英語で分野全体を俯瞰したいならPost-Quantum Cryptographyが候補になります。
ハッシュ系、符号系、格子系、多変数系といった主要な流れをまとめて追えます。

この順序は、初心者全般向けというより、すでに暗号や情報セキュリティに関心が定まっていて、「今後の主戦場」を先に見たい読者向けです。
量子計算ではGroverのアルゴリズムにより対称鍵の理論的な安全性が半分のビット長相当に見える、といった基本的な見方も背景に入ってくるため、通常の入門ルートより少し先を見た読み方になります。

[!NOTE]

1冊目だけで迷うなら、読み方まで含めて選ぶと失敗しません。本文を追いながら図で理解を固め、章末クイズで止まる読み方なら暗号技術入門 第3版、ブロック図や数値例をノートに写して処理を追う読み方なら暗号技術のすべてが合います。どちらも日本語で読める強みがありますが、前者は入口の段差を低くし、後者は次の段差まで橋を架けます。

歴史と物語から暗号を学ぶおすすめ本

教養としての暗号史：物語で“なぜ技術が進化したか”をつかむ

暗号を本で学ぶとき、いきなり方式名や数式から入ると、頭の中に部品だけが増えて全体の流れがつながらないことがあります。
そういうときに効くのが、歴史と物語から入る読み方です。
技術は真空の中で生まれたわけではなく、戦争、外交、情報戦、国家の思惑、そして「相手より先に読めるか」という切実な競争の中で育ってきました。
暗号を歴史として読むと、なぜ新しい方式が必要になったのかが、年表ではなくドラマとして見えてきます。

その入口として定番なのが暗号解読〔上〕〔下〕です。
サイモン・シンが、カエサル暗号のような古典的な置換から出発し、ヴィジュネル暗号、エニグマ、公開鍵暗号、さらに量子暗号の話題までを一本の流れでつないでいきます。
文庫の上下巻なので手に取りやすく、技術書の棚より歴史読み物の棚に近い感覚で入れるのが魅力です。
比較すると、暗号技術入門 第3版や暗号技術のすべてが「仕組みの理解」を軸に置く本なのに対し、暗号解読は「暗号が歴史をどう動かしたか」を前面に出した本です。
文系の読者や歴史好きにとって、ここは大きな入口になります。

この本の強さは、暗号を単なる通信技術としてではなく、権力や戦局を左右するものとして描く点にあります。
カエサル暗号のような素朴な方式が通用した時代から、単純な換字では破られるとわかり、多表式暗号へ進み、さらに機械式暗号へ、そして数学に支えられた現代暗号へと進んでいく。
その変化は「頭のいい人が難しい方式を考えた」という話ではありません。
敵が読めるようになった瞬間に、古い方式は役に立たなくなる。
だから次の方式が生まれる。
その押し出されるような進化の感覚が、歴史のエピソードを通して腑に落ちます。

筆者自身、暗号解読を読んだときに印象に残ったのは、ヴィジュネル暗号が「解読不能」とまで信じられた時代があり、それが発想の転換で崩れていく場面でした。
読み物として面白いだけで終わらず、気づけば紙と鉛筆を持ち出して、英字を並べ、文字の出現回数を数え、頻度分析を自分で試していました。
読書の途中で手が動き始める本は強いです。
暗号史の本として読み始めたのに、頭の中で眺めていたはずの技術が、突然、自分の机の上に降りてきます。
筆者自身、暗号解読（サイモン・シン著）を読んだときに印象に残ったのは、ヴィジュネル暗号が「解読不能」とまで信じられた時代があり、それが発想の転換で崩れていく場面でした。
もちろん、歴史系の本だけで現代暗号まで理解できるわけではありません。
暗号解読〔上〕〔下〕は全体像をつかむには抜群ですが、現代暗号の数理、安全性の定義、証明ベースの議論までは別の本で補う必要があります。
ただ、この順番には大きな利点があります。
先に物語で地図を手に入れておくと、後から暗号技術のすべてや暗号理論入門を開いたとき、個々の方式が孤立した知識になりません。
「これは何を解決するために出てきた技術なのか」が見えているからです。
歴史書は回り道に見えて、むしろ迷子を減らしてくれます。

古典暗号の解読体験：頻度分析・カシスキー検定を手でやってみる

歴史を読んで「面白かった」で止めず、一歩だけ手を動かすなら、暗号解読 実践ガイドがぴったりです。
E. DuninK. Schmehによるこの本は、シーザー暗号、単一換字暗号、同音字暗号、コードといった古典的な題材を、実際に解く側の視点で扱います。
読む本というより、机の上で格闘する本に近い立ち位置です。
謎解きが好きな人や、CTFの初歩で「暗号っぽい問題」が出ると身構えてしまう人に向いています。

古典暗号の面白さは、コンピュータがなくても原理が追えるところです。
たとえばシーザー暗号なら、文字を何文字ずらしたかを総当たりで試せばよい。
単一換字暗号になると、そこへ頻度分析が入ってきます。
英語ではETAが多い、二文字や三文字の並びにも癖がある、単語の形にも偏りがある。
そうした言語の癖を手がかりに、暗号文の文字と平文の文字を少しずつ対応させていく。
鍵を知っている人だけが暗号を扱えるのではなく、解く側にも観察と推理の余地があるところが、古典暗号の醍醐味です。

ヴィジュネル暗号まで進むと、もう一段面白くなります。
ここでは頻度分析だけでは足りず、まず鍵長の見当をつける必要があります。
その入口になるのがカシスキー検定です。
同じ文字列の繰り返し位置を探し、その間隔の公約数から鍵長の候補を絞るという考え方で、発想自体がミステリーの伏線回収に似ています。
筆者は暗号解読のヴィジュネル暗号の章を読んだあと、紙に暗号文を書き写して繰り返しを探し、間隔をメモし、候補の長さごとに列へ分けてみました。
すると、ただの英字の塊だったものが、鍵長ごとに分解した瞬間に急に表情を変えます。
各列に対して頻度分析をかけると、ばらばらだった文字列が少しずつ言葉へ戻っていく。
この感覚は、読むだけでは手に入りません。

暗号解読 実践ガイドの価値は、まさにこの「読書体験→手を動かす」導線を太くしてくれるところにあります。
歴史の本で暗号が破られた話を読むと、つい解読者のひらめきばかりが印象に残りますが、実際には地道な観察、仮説、修正の積み重ねです。
その地味な工程を追体験すると、暗号史の物語が急に立体的になります。
「暗号が歴史を動かした」という言葉も、英雄譚ではなく、手順の積み上げとして見えてきます。

この系統の本は現代暗号の入口そのものではありません。
古典暗号を解けるようになっても、TLS や公開鍵暗号の安全性がそのまま理解できるわけではないからです。
ただ、ここで得られる観察の目は無駄になりません。
文字頻度を数え、規則性を探し、方式の前提を見抜く感覚は、現代暗号を学ぶときにも土台になります。
歴史で全体像をつかみ、古典暗号で「解く身体感覚」を得て、その後に技術解説へ進む。
この順番は、暗号を単なる用語集ではなく、人間が作り、人間が破り、人間がまた作り直してきた知の営みとして捉えるのに向いています。

実装・現場感覚を得たい人向けのおすすめ本

実装寄りの感覚を身につけたい読者には、Serious Cryptography（Jean-Philippe Aumasson / No Starch Press）がまず候補に上がります。
この本の軸は、暗号を「数式として知る」よりも「現代のシステムでどう使われ、どこで事故るか」をつかむことにあります。
乱数、ハッシュ、ブロック暗号、公開鍵暗号までを、開発者の目線で横断できるのが強みです。
理論書のように定義と証明を積み上げる本ではなく、何が安全性を支え、どこで前提が崩れるのかを実務の文脈で追えるので、実装の地図を頭に入れたい人に向いています。
第2版の案内も出ており、現代的な話題を追いたい読者にとって入口としての鮮度も保たれています。

実装寄りの感覚を身につけたい読者には、Serious Cryptography（Jean-Philippe Aumasson / No Starch Press）がまず候補に上がります。
この本の軸は、暗号を「数式として知る」よりも「現代のシステムでどう使われ、どこで事故るか」をつかむことにあります。
OpenSSL のコマンドをいきなり使う前に、鍵長、ブロックサイズ、モード、初期化ベクトル、パディングの意味を確認しておくことが欠かせません。

実装の落とし穴：IV・モード・パディング・乱数

実装志向の読書でまず身につけたいのは、アルゴリズム名だけで理解した気にならない姿勢です。
たとえばAES-256-CBCという名前には、鍵長 256 ビット、ブロック暗号AES、動作モード CBC という情報が入っていますが、実際にコードやCLIで扱うときは、それだけでは足りません。
入力は何バイト単位で処理されるのか、IV は何バイト必要か、毎回どう生成するのか、パディングは有効か無効か、整合性はどこで担保するのかといった要素まで見て、初めて「1つの実装」として読めます。

ここで役立つのが、Serious Cryptographyのような実用重視の本です。
乱数の章を読むと、鍵やIVが単なる「適当な値」ではなく、予測不能であることそのものが安全性の一部だとわかります。
ハッシュの章では、整合性確認や署名の前提がつながります。
ブロック暗号の章では、ECB ではなく CBC や AEAD 系のモードがなぜ話題になるのかが見えてきます。
公開鍵の章まで進むと、鍵交換や認証が単体のアルゴリズムではなく、プロトコル全体の組み立てで効いてくることもつかめます。
実装の勘所は、個々の部品を暗記することではなく、「入出力の条件と前提を連結して読む」ことにあります。

暗号技術のすべては、その感覚を日本語で養うのに向いた一冊です。
理屈だけでも、APIの使い方だけでもなく、その中間にある危ないパラメータ選択へ目を向けさせてくれます。
たとえば CBC モードでは IV の再利用が事故の入口になりますし、PKCS#7 パディングは便利である一方、どの層で外すかまで含めて揃っていないと相互運用が崩れます。
OpenSSLに触れる前に、こうした「暗黙の前提」を本で先に言語化しておくと、コマンド例やサンプルコードがただの呪文に見えなくなります。

実務では、API が賢すぎることも落とし穴になります。
ライブラリが自動で IV を生成する、自動でパディングする、あるいはパスフレーズから鍵導出まで面倒を見てくれる。
便利ではあるのですが、その便利さに甘えると、別実装へ移った途端に何が暗黙だったのか見失います。
だからこそ、実装本を読むときは「この関数の入力は何か」「返ってくる出力には何が含まれるか」「省略した引数の既定値は何か」を執拗に追う読み方が効きます。
暗号では、仕様書の脚注に見える部分が、現場では主役になることが珍しくありません。

CTF初学者が押さえるべき入出力の読み方

CTF 初学者にも、この「入出力を読む癖」はそのまま効きます。
Crypto 問題で詰まるときは、難しい数学にぶつかっているというより、与えられたデータの形を読み違えていることが多いからです。
鍵なのか IV なのか、16 進文字列なのか生バイト列なのか、Base64 なのか、その暗号文はパディング込みなのか、先頭に salt や nonce が付いているのか。
問題文は短くても、入出力の形式には必ず意味があります。
そこを読む目があると、派手な知識差より先に一歩抜け出せます。

この段階でPythonの学習本が役立つ場面もあります。
短いスクリプトでバイト列を眺める、16進と文字列を相互変換する、Base64 をデコードする、簡単な総当たりや頻度集計を試す。
こうした作業は、CTF の前段として強い武器になります。
ただし、本記事で挙げている10冊の主軸は、あくまで概念と体系の土台です。
Python本は手を動かす導入として有効ですが、それだけで暗号の理解が深まるわけではありません。
スクリプトが書けても、アルゴリズムの入出力条件や安全性の前提を読めなければ、問題の表面をなぞるだけで終わります。

筆者が CTF 初学者に勧めたい読み方は、問題を解く前に「この方式は何を入力に取り、何を出力するのか」を一文で言えるようにすることです。
たとえばブロック暗号なら、平文、鍵、必要なら IV を入力にして暗号文を出す。
ハッシュなら任意長入力から固定長出力を得る。
公開鍵暗号なら、公開鍵で暗号化し秘密鍵で復号するだけでなく、署名では入力と検証の流れが逆方向になります。
この整理ができると、問題文に出てくる文字列の役割が見えてきます。
「この 16 バイトは鍵ではなく IV ではないか」「出力長がブロック境界に揃っているからパディング込みではないか」といった見立てが立つようになります。

古典暗号で鍛えた「規則性を見る目」と、実装本で身につける「入出力と前提を読む目」は、ここでつながります。
Serious Cryptographyで現代暗号の現場感覚をつかみ、暗号技術のすべてで日本語の整理を入れる。
そのうえでPythonを道具として使うと、CTF の問題も、実務のサンプルコードも、ただコピペする対象ではなくなります。
暗号の学習で面白いのは、アルゴリズム名を覚えた瞬間ではなく、入ってくるデータと出ていくデータの意味が見えた瞬間です。
そこから先は、本の読み方そのものが変わってきます。

数学と理論を本格的に学ぶ専門書

ここで読む本として、日本語なら暗号理論入門、英語の本格派ならIntroduction to Modern Cryptography, Second Edition（Jonathan Katz, Yehuda Lindell）、さらに和書で理論を掘るなら現代暗号理論が並びますが、3冊は役割がはっきり違います。

暗号を中級から一段深く学ぼうとすると、どこかで「この方式は安全と期待される」ではなく、「どのゲームで、どの攻撃者に対して、どの仮定のもとで安全なのか」という書き方に出会います。
そこが、いわゆる証明可能安全性の入口です。
ここで読む本として、日本語なら暗号理論入門、英語の本格派ならIntroduction to Modern Cryptography, Second Edition、さらに和書で理論を掘るなら現代暗号理論が並びますが、3冊は役割がはっきり違います。

書籍暗号理論入門は森北出版の全15章構成で、計算量的安全性、擬似乱数、認証、整数論に加えて、差分プライバシやブロックチェーンまで視野に入れた俯瞰型の一冊です。
学部生や、実装寄りの本から理論へ足を踏み入れたい技術者にちょうどよく、暗号理論の地図を広げる役を担います。
実装や仕様に関する具体的な参照は、AES の仕様書（FIPS 197）や OpenSSL の公式マニュアルなどの一次資料を確認すると良いでしょう（例: 現代暗号理論は、その中間というより、日本語で理論をきちんと噛みたい人の受け皿です。
暗号理論入門が広く俯瞰する本なら、現代暗号理論はより理論の骨組みに寄った読み方に向きます。
日本語で定義や証明の流れを追いたい人にとって、英語原著へ移る前の橋にもなりますし、英語書を読みながら並走させる補助線にもなります。
学習順としては、暗号理論入門で地図を作り、現代暗号理論で日本語の理論表現に慣れ、そのうえでIntroduction to Modern Cryptographyに入ると、途中で息切れしにくくなります。

証明可能安全性でつまずきやすい点の一つは、定義が「何を排除するためにあるのか」を掴みにくいことです。
たとえば IND-CPA と IND-CCA の差は、攻撃者がどの oracle にアクセスできるかを整理して考えると理解しやすくなります。
定義を読んだら、その定義が無い場合にどのような攻撃が可能になるのかを一言で書き出してみましょう。

証明可能安全性の本は、定義、仮定、証明の順に読むだけだと息が詰まりがちです。各節で「この定義がないと、どんなズルが可能になるのか」を一言メモしておくと、記号列が急に物語を持ちはじめます。

読み進め方にもコツがあります。
定義を読んだら、その直後に「なぜこの定義が必要か」を自分の言葉で書く。
仮定が出てきたら、「何を信じて先へ進んでいるのか」を短くまとめる。
証明に入ったら、各段で何が置き換わったのかを追う。
この3点を紙に残していくと、理論書のページが単なる記号の壁ではなく、推理小説の伏線回収のように読めるようになります。
暗号理論の面白さは、定義が増えることではなく、定義が攻撃の可能性を少しずつ閉じていくところにあります。

数論・計算量のどこまでが前提か

理論書に進みたい人が気にするのは、「どれくらい数学が要るのか」という点でしょう。
ここで身構えすぎる必要はありませんが、前提がゼロでも読める世界ではありません。
英語の理論書、とくにIntroduction to Modern Cryptographyを読むなら、離散数学、確率、計算量、そして論理記号への馴染みが土台になります。
集合、写像、期待値、漸近記法、確率変数、不等式、帰納法、還元の考え方。
このあたりが文章の途中で説明抜きに現れるので、記号そのものより、「その記号で何を主張しているか」を素早く読む力が必要になります。

数論の深さは本によって違います。
暗号理論入門は整数論を含みつつも、現代暗号理論の見取り図を作る方向へ重心があります。
RSA や離散対数系の話を追ううえで必要な範囲の数論に触れながら、計算量的安全性や擬似乱数、認証へ接続していくので、「数論の専門書を先に一冊終えてからでないと無理」というタイプの本ではありません。
数学の前提が不安でも、章ごとに必要な道具を拾いながら進めます。

Introduction to Modern Cryptographyでは、数論そのものより、計算量と確率の筋力が効いてきます。
もちろん公開鍵暗号の話では数論的対象も出てきますが、本の中核は「効率的な攻撃者とは何か」「無視できる確率とは何か」「還元で何を示したのか」といった計算量的な読み方にあります。
ここに慣れていないと、証明を読んでいても、式変形ではなく論理のジャンプで置いていかれます。
理論書で感じる難しさの正体は、微積分の重さではなく、論理と計算量の文法にあることが多いです。

日本語で概観してから英語原著へ進む組み合わせは、この点で理にかなっています。
暗号理論入門で用語と全体像を押さえ、現代暗号理論で日本語の理論表現に慣れ、そのあとでIntroduction to Modern Cryptographyの定義と証明に向かうと、英語と理論の二重負荷を避けられます。
英語力そのものより、記号を含んだ一文を分解する習慣のほうが効いてくるので、日本語で一度意味の型を掴んでおく価値は大きいです。

中級者以降のロードマップとして見るなら、実装や概説の本で得た「何があるか」という知識を、理論書で「なぜそれでよいのか」に変えていく段階です。
Serious Cryptographyや暗号技術のすべてで現場の感覚を持った人が、暗号理論入門で理論の地図を広げ、Introduction to Modern Cryptographyで定義と証明の骨法を学ぶ。
この流れに入ると、暗号はブラックボックスの寄せ集めではなく、前提知識、仮定、攻撃モデルが噛み合って成立している学問だと見えてきます。
そこまで到達すると、本選びも「やさしいか難しいか」だけではなく、「自分はいま地図が欲しいのか、骨組みが欲しいのか」で選べるようになります。

耐量子暗号まで視野に入れるなら

量子計算が脅かすのはどれか：公開鍵中心という整理

量子計算機の話題は、ニュースだけ追っていると「暗号が全部危ないらしい」という大づかみな印象で終わりがちです。
ですが、ここはまず整理しておくと見通しが開けます。
量子計算の直撃を受けるのは主に公開鍵暗号です。
具体的にはRSAや楕円曲線暗号のように、素因数分解や離散対数問題の難しさを土台にした方式が中心になります。
いまのインターネットで使われる鍵共有や電子署名の基盤にこの系統が多いので、量子時代の議論が公開鍵から始まるのは自然な流れです。

一方、共通鍵暗号は同じ意味で即座に崩れるわけではありません。
ここで出てくるのがGroverのアルゴリズムで、総当たり探索の計算量を古典的な \(2^n\) から量子的には \(2^{n/2}\) のオーダーへ縮める、という整理です。
教育的には「効果的な鍵長が半分になる」と覚えると全体像をつかみやすく、たとえば 256 ビット鍵の共通鍵暗号は量子攻撃下で概念的には 128 ビット級の強さとして眺めることになります。
公開鍵のように前提がごっそり崩れるのではなく、鍵長設計の見直しで踏みとどまる、という差がここにあります。

量子時代まで見通すなら、暗号の理論と技術 量子時代のセキュリティ理解のためにの役割がはっきりしています。
講談社のこの本は336ページで、量子時代を見据えた理論・攻撃・安全性を日本語でまとめて追えるのが強みです（標準化・動向の参照先としては NIST の Post-Quantum Cryptography プロジェクトを参照するとよいでしょう:

PQCの方式別特徴：格子・符号・ハッシュ・多変数・同種写像

Post-Quantum Cryptographyという言葉は分野名でもあり、本の題名でもあります。
ここでは後者のPost-Quantum Cryptographyが担う役割を押さえると、学習の位置づけが明快になります。
この英語書は、ハッシュベース、符号ベース、格子ベース、多変数、多種の候補を方式別に見渡す概説書で、学生や研究者が全体像をつかむ参照点として機能します。
個々の方式の数式に深く潜る前に、「PQCには何系統があり、それぞれ何を拠り所にしているのか」を俯瞰するための本です。
この中で和書として体系立てて踏み込めるのが耐量子計算機暗号です。
森北出版のこの本は全5章構成で、格子暗号、同種写像暗号、量子計算と安全性を包括的に扱っています。
専門度は上がりますが、PQCを本気で読み解くなら避けて通れない論点がまとまっていて、「ニュースの見出しは読めるが、中身の差が見えない」という段階から一歩進めます。
特に格子暗号と同種写像暗号を同じ棚に置いて比べられるのが効きます。
片方だけ読んでいると、その方式特有の発想を暗号全体の常識だと勘違いしがちですが、複数方式を並べると、仮定の置き方も安全性評価の語り方もずいぶん違うと見えてきます。

学習導線としては、まず書籍暗号の理論と技術 量子時代のセキュリティ理解のためにで量子時代の脅威モデルと安全性の考え方を日本語で整理し、そのあと書籍耐量子計算機暗号で格子や同種写像を方式別に掘る。
さらに英語のPost-Quantum Cryptographyでハッシュ、符号、格子、多変数まで視野を広げる流れがきれいです。
和書で土台を作ってから英語の概説で分野全体を見渡すと、PQCが単なる流行語ではなく、「公開鍵暗号の土台を組み替えるための長期プロジェクト」だと実感できます。

[!WARNING]

PQCの本を読むときは、方式名の一覧を作るより、「安全性の仮定」「主な用途」「署名か鍵共有か」の3列でメモを切ると、格子・符号・ハッシュ・多変数・同種写像の違いが頭の中で混線しません。

PQCは2024〜2026の話題として見ると、標準化や実装のニュースが目を引きますが、読書の観点では「どの方式が残るか」の予想より、「各方式が何を前提に安全だと言っているか」を追うほうが収穫があります。
その意味で、暗号の理論と技術は量子時代の全体地図、耐量子計算機暗号は専門地図、Post-Quantum Cryptographyは方式カタログとして役割が分かれています。
この3冊を混ぜずに使い分けると、PQCの学習はぐっと筋道立って見えてきます。

目的別・レベル別のおすすめ10冊一覧

冒頭で学習タイプ別に棚分けしましたが、ここでは10冊を一枚の表に並べて、選ぶ基準をもう少し実務的にそろえます。
暗号本は映画のパンフレットのように一気に読める本と、辞書兼トレーニング器具のように長く付き合う本がはっきり分かれます。
ページ数が300前後の本は、休日2日を使って前半で全体を通読し、後半で気になった章だけ手で追う読み方が合います。
反対に600ページ級の本は、最初から通しで制覇しようとすると本棚の飾りになりがちなので、定義の章、代表例の章、章末問題の順に拾い読みしたほうが前に進みます。

まず全体像をつかめるように、10冊を比較表で整理します。価格は確認できたもののみを記載し、確認できない書籍については「」と表示しています。

初心者向け

最初の1冊として座りがいいのは、暗号技術入門 第3版と暗号技術のすべてです。
前者は「暗号って何を守っているのか」をつかむ教科書型、後者は「方式の違いがどこで効いてくるのか」を見通す橋渡し型と考えると迷いません。
物語の入口が欲しいなら暗号解読〔上〕〔下〕から入り、そのあと技術書へ戻る流れも相性がいいです。

300ページ前後の本は、休日2日で読み切る設計ができます。
筆者はこういう本を読むとき、初日は前半を通して読み、用語を止まらず浴びることに徹します。
2日目に目次へ戻って、共通鍵、公開鍵、ハッシュのような太い章だけ再読すると、1回目にはただの記号だった名前に輪郭が出ます。
積読になりやすい人ほど、最初から全章を均等に理解しようとしないほうが続きます。

歴史好き向け

歴史から入りたい人には、暗号解読〔上〕〔下〕がいちばん自然です。
戦争、外交、科学史の流れの中で暗号がどう使われ、どう破られ、どう進化したかを追えるので、技術の前にドラマが立ち上がります。
暗号を「数学の機械」としてではなく、人間の知恵比べとして眺めたい読者には、この入口が効きます。

歴史書から入る利点は、方式名が単語帳ではなく事件の一部として記憶に残ることです。
たとえば公開鍵暗号も、いきなり定義から入るより、「なぜそんな発想が必要になったのか」という時代背景を伴ったほうが頭に定着します。
その反面、読後すぐにAESやハッシュ関数の仕組みが説明できるようになるわけではないので、次の一冊として暗号技術入門 第3版か暗号理論入門をつなぐと収まりが良くなります。

実装志向

実装や運用の感覚を取りたいなら、Serious Cryptographyと暗号技術のすべての組み合わせが強いです。
暗号技術のすべてで方式の地図を作り、Serious Cryptographyで現代暗号がどんな前提で使われているかを見ると、仕様書の単語が急に現場の言葉になります。
さらに攻撃側の視点を持ち込みたいなら、暗号解読 実践ガイドが次の一手になります。

この系統の本は、ただ読むより「どこが危ないのか」をノートに一行で抜くと吸収が早まります。
筆者は実装寄りの本を読むとき、「アルゴリズム名」「壊れやすい前提」「運用で踏みがちな地雷」の3列だけ作ります。
項目が少ないので途中で表が崩れず、設計ミスのパターンが繰り返し見えてきます。
暗号は強い方式を知る学問であると同時に、弱い使い方を避ける学問でもあります。

理論志向

理論を押さえたい人は、暗号理論入門からIntroduction to Modern Cryptographyへ進む流れがきれいです。
暗号理論入門は広い範囲を15章で見渡せるので、日本語で地図を作る段階に向いています。
そこからIntroduction to Modern Cryptographyへ入ると、定義と証明が中心に据わり、暗号理論が「なんとなく安全そう」では済まない分野だと実感できます。

603ページ級の本は、最初から完走を目標にすると止まりやすいのが利点です。
筆者はこういう厚い本では、まず序盤の定義、代表的な安全性概念、気になる構成の章だけを拾います。
章末問題まで含めて全部抱え込まず、最初の周回では「この本は何を厳密にしたいのか」をつかむことに集中したほうが、本の厚みが威圧感ではなく索引の豊かさに変わります。

耐量子暗号志向

耐量子暗号を見据えるなら、暗号の理論と技術 量子時代のセキュリティ理解のためにを起点に、耐量子計算機暗号とPost-Quantum Cryptographyへ進む並びが堅実です。
日本語で脅威モデルと安全性の組み替えを理解し、そのあと方式別の専門論点へ入ると、PQCが流行語ではなく前提の再設計だと見えてきます。
共通鍵と公開鍵で量子計算の影響が違うことも、この流れだと整理しやすくなります。

たとえばGroverのアルゴリズムを意識すると、対称鍵暗号は理論上おおむね鍵長が半分の安全性で見積もられます。
AES-256なら量子攻撃下でAES-128相当の強度として捉える、という考え方です。
こうした話はニュースの見出しだけ追うと不安だけが膨らみますが、書籍で仮定と計算量の文脈に戻すと、何が直撃され、何が設計変更で持ちこたえるのかが切り分けられます。

[!NOTE]

10冊の中で迷ったら、入口は暗号技術入門 第3版、歴史なら暗号解読〔上〕〔下〕、実装ならSerious Cryptography、理論なら暗号理論入門、量子時代まで視野に入れるなら暗号の理論と技術を起点にすると、次の一冊へ自然につながります。

個別ミニ解説：暗号技術入門 第3版

暗号技術入門 第3版は、日本語で最初の地図を作る本として今も外しにくい一冊です。
共通鍵暗号、公開鍵暗号、ハッシュ、署名といった主要テーマを順番に積み上げる構成なので、暗号用語が散らばらずに頭へ入ります。
おすすめの理由は、初心者向けでありながら表面的な紹介に終わらず、次に中級書へ進むための足場が残る点です。
注意点は、理論の厳密さや最新のPQC動向を深く追う本ではないことです。
前提知識はほぼ不要ですが、高校数学レベルの記号に抵抗がないと読み進める速度が落ちにくくなります。

個別ミニ解説：暗号技術のすべて

暗号技術のすべては、入門と中級の境目に橋を架ける本です。
312ページに古典暗号から現代暗号までを収めていて、図だけでなく数値例やブロック図で理解をつなげられるのが強みです。
おすすめしたい理由は、「名前を知る」段階から「処理の流れを追う」段階へ自然に移れることです。
注意点として、歴史読み物のような軽さを期待すると少し硬く感じます。
最初の入門書を1冊終えた人、あるいは最初から手を動かす前提で読みたい人に向きます。

個別ミニ解説：暗号解読〔上〕〔下〕

暗号解読〔上〕〔下〕は、暗号の本を「教科書」ではなく「物語」として開きたい人に刺さる本です。
古典暗号から現代、さらに量子暗号の話題まで、歴史と人物を軸に読ませる力があります。
おすすめの理由は、暗号が戦争、外交、科学、言語とどう絡んできたかが一本の大河として見えることです。
注意点は、これだけで現代暗号の仕組みを理解したつもりになると、実装や理論の部分が抜け落ちることです。
前提知識は不要で、文系読者でも入りやすい一冊です。

個別ミニ解説：暗号理論入門

暗号理論入門は、日本語で理論側へ踏み込む際の足場として優秀です。
15章で広く俯瞰できるため、個別テーマに深入りする前に理論の地形を見渡せます。
おすすめの理由は、厳密な理論書へ進む前に「何が論点になるのか」を整理できることです。
注意点として、入門といっても数学色はあり、概念だけを軽くつまみたい読者には少し重く映ります。
学部生や技術者が理論の入口を固めるのに向きます。

個別ミニ解説：Introduction to Modern Cryptography

Introduction to Modern Cryptographyは、現代暗号理論を定義と証明で学ぶ本格派です。
603ページあるので威圧感はありますが、厚いぶん参照性が高く、学習が進むほど戻る価値が増します。
おすすめの理由は、暗号の安全性を「雰囲気」ではなく形式化された概念として扱えるようになることです。
注意点は、英語であることに加えて、数学と証明の流れを追う体力が要る点です。
暗号理論入門を通ったあとに開くと、本書の厚さがむしろ頼もしく感じられます。

個別ミニ解説：Serious Cryptography

Serious Cryptographyは、開発者や実務家に近い感覚で暗号を学びたい人に向きます。
現代暗号の実用を軸に、何を選ぶべきで、何を避けるべきかが見えてきます。
おすすめの理由は、方式名の丸暗記ではなく、設計や運用の判断軸が育つことです。
注意点として、古典暗号の歴史を楽しむ本ではなく、英語で現代的な話題を追う本なので、完全な初心者には少し先の一冊です。
基礎用語が入っている状態だと吸収が一気に進みます。

個別ミニ解説：暗号の理論と技術

暗号の理論と技術 量子時代のセキュリティ理解のためには、現代暗号と量子時代の課題を一本の地図にまとめる役割がはっきりした本です。
336ページで、理論、攻撃、安全性、将来の論点まで日本語で追えるのが魅力です。
おすすめの理由は、PQCだけを個別技術として眺めるのではなく、暗号全体の前提がどう揺れるかを整理できることです。
注意点は、完全な初心者向けの導入書ではなく、基礎用語が入っていることを前提にした記述が増える点です。
入門書を1冊終えたあとなら、量子時代の見取り図としてよく効きます。

個別ミニ解説：耐量子計算機暗号

耐量子計算機暗号は、PQCを本気で学ぶ人向けの専門書です。
全5章構成で、格子暗号や同種写像暗号を含む専門論点へ踏み込みます。
おすすめの理由は、日本語でここまで体系的に耐量子暗号を追える本が貴重で、方式ごとの発想の差まで見えてくることです。
注意点として、暗号の基礎を飛ばして読むと用語の密度に押されます。
暗号の理論と技術で地図を作ってから入ると、専門用語が単なる壁ではなくなります。

個別ミニ解説：Post-Quantum Cryptography

Post-Quantum Cryptographyは、PQC全体を方式別に俯瞰する英語の概説書です。
ハッシュ、符号、格子、多変数といった系統を並べて見られるので、分野全体の見取り図を作るのに向いています。
おすすめの理由は、個別方式に埋もれず、「この分野にはどんな家系図があるのか」をつかめることです。
注意点は、英語の負荷に加えて、各方式の背景をある程度知っていたほうが比較の面白さが出る点です。
耐量子計算機暗号と往復しながら読むと、専門日本語と英語用語が結びつきます。

個別ミニ解説：暗号解読 実践ガイド

暗号解読 実践ガイドは、暗号を守る側だけでなく、破る側の観察眼を持ち込みたい読者に向きます。
おすすめの理由は、アルゴリズムそのものの強さだけでなく、実装や運用の穴がどう見えるかに焦点が当たることです。
暗号の世界では、強い方式でも使い方がずれると危うくなりますが、その感覚を具体的に持てるのがこの本の価値です。
注意点として、タイトルの印象だけで「すぐ攻撃手法を学ぶ本」と受け取るとズレます。
基礎暗号の語彙を一通り知ってから読むと、どこが危険信号なのかが鮮明になります。

まとめ——最初の1冊と次の一歩

入口は、今の自分の関心に合わせて決めるのがいちばん続きます。
物語から入りたいなら暗号解読、技術の土台を先に置くなら暗号技術入門 第3版か暗号技術のすべてで十分です。
筆者自身、最初に一本のルートを選び、しばらく読んだあとに別ルートの2冊目へ寄り道するほうが飽きませんでした。
だいたい3か月ほどして関心が少し育った頃に横へそれると、歴史で見えた問いが技術でつながり、技術で引っかかった点が理論で腑に落ちる、という往復が起きます。

その先は、実装寄りならSerious Cryptography、理論寄りなら暗号理論入門からIntroduction to Modern Cryptography、耐量子を追うなら暗号の理論と技術から耐量子計算機暗号、さらにPost-Quantum Cryptographyへ進む流れが素直です。
なお、版や価格は動くので、購入前には各出版社や販売ページの最新表記を確認しておくと取り違えを防げます。
関連記事として取り回すと読者の回遊に役立つ内部コンテンツの候補: 暗号図鑑（シーザー暗号等の方式解説）、人物図鑑（Alan Turing などの人物エントリ）、入門ガイド（RSA の仕組み）のような記事。