量子暗号とは？QKDの仕組み・PQCとの違い

「量子コンピュータが暗号を破る」という見出しを見かけるたびに、筆者自身も量子暗号と耐量子暗号が頭の中で混線しがちでしたが、資料を読み直して整理できたのは、量子暗号の実体は主に量子鍵配送（QKD）であり、データ本体を量子で送る話ではない、という一点でした。
本記事は、ニュースの見出しだけでは輪郭がつかみにくいこのテーマを、代表方式のBB84を簡略表で追いながら、基底の食い違いと盗聴検知の感覚まで含めてつかみたい人に向けて書いています。
ここが暗号の美しいところなのですが、QKDは観測で乱れる量子状態を利用して盗聴の痕跡をあぶり出せる一方、認証済みの古典通信路、実装攻撃への備え、距離や鍵生成率、装置コストの壁から自由ではありません。
そのうえで実務の視点では、QKDが高機密な限定回線の選択肢、PQCが広範なIT基盤の主役という役割分担で眺めると全体像が見えてきます。
2024年から2026年の標準化と実証も踏まえ、期待と制約を同じ重さで整理していきます。

量子暗号とは何か――まず量子鍵配送を中心に整理する

量子暗号という言葉は広く使われますが、実務や一般向けの解説で中心にあるのは、ほぼ量子鍵配送（QKD）です。
筆者も最初は用語が頭の中で混線しており、手元のメモを「QKD＝鍵配送、PQC＝古典暗号の刷新」と書き換えたところで、論点が一気に見通せるようになりました。
この整理ができると、量子暗号を「量子で何でも守る魔法の通信」と誤解せず、どこまでがQKDの役割で、どこからが別の技術なのかを落ち着いて追えます。

用語の整理：量子暗号・QKD・PQC

まず言葉の射程をそろえておきます。
量子暗号は広い概念で、量子力学の性質を利用する暗号技術全般を指します。
ただ、現実の議論ではその中心にあるのがQKD（Quantum Key Distribution、量子鍵配送）で、記事やニュースで「量子暗号」と書かれていたら、まずQKDのことだと読んで大きく外しません。

一方で、PQC（Post-Quantum Cryptography、耐量子暗号）は別物です。
こちらは量子通信ではなく、古典コンピュータ上で動く新しい暗号方式群を指します。
RSAや楕円曲線暗号が将来の量子計算機に弱いと見込まれるため、その置き換えとして、量子計算機でも解くのが難しいと考えられている数学問題に基づく方式へ移行しよう、という流れです。
導入形態も対照的で、QKDは専用の光学機器や回線設計が要り、PQCはソフトウェアやファームウェアの更新で広範なシステムに載せやすい、という差があります。

この違いは一行で言うと、QKDは物理法則ベース、PQCは計算問題ベースです。
前者は量子状態を盗み見すると乱れが生じるという性質を使い、後者は格子問題などの計算困難性を使います。
前のセクションでも触れた通り、実務の見取り図としては、QKDが限定的で高機密な回線向け、PQCが一般のIT基盤向けという役割分担で捉えると、話が混ざりません。

QKDがやること／やらないこと

QKDが担うのは、名前の通り鍵の配送です。
ここが直感に反するかもしれませんが、QKDはデータ本体を量子状態で送る技術ではありません。
送受信者が通信に使う共通鍵を安全に共有するための仕組みであって、その鍵を使って実際のデータを暗号化する段階は、古典的な通信と暗号方式の世界に戻ります。

QKDの説明でよく登場するBB84は、その代表的なプロトコルです。
1984年に提案された古典的な方式で、量子状態を使って乱数列の一部を共有し、公開比較や誤りの見積もりを経て鍵候補を絞り込みます。
盗聴者が途中で量子状態を観測すると、その観測行為そのものが状態を乱し、誤りとして痕跡が現れます。
教科書的な単純モデルでは、盗聴者がランダムな基底で測定すると、公開比較に使うビット列に約25%の誤りが現れうる、という説明がよく使われます。
ここが暗号の美しいところなのですが、盗聴の有無を「計算で見破る」のではなく、「物理的に乱れる」ことから検出するわけです。

ただし、QKDだけで通信全体が閉じるわけではありません。
QKDには2つのチャネルが必要です。
ひとつは量子状態を送る量子チャネル、もうひとつは基底の一致確認や誤り訂正、秘匿性増幅のために使う認証済み古典チャネルです。
このあと図解を入れる予定ですが、QKDは「量子チャネルだけで成立する技術」ではなく、むしろ古典チャネルとの組み合わせで動きます。
中間者攻撃まで量子力学だけで自動的に防げるわけではない、という点もこの構造を見ると理解しやすくなります。

実装面まで視野を広げると、教科書のBB84と現実のQKD装置には距離があります。
理想化された単一光子源の代わりに、実運用では弱コヒーレント光が使われることが多く、多光子パルスに由来する弱点へ対処するためにデコイ状態法が組み込まれます。
加えて、誤り訂正、秘匿性増幅、有限鍵長の扱い、検出器を狙う実装攻撃への耐性も必要です。
さらにネットワークとして広げると、拠点間で鍵を中継する鍵リレーや、鍵管理・制御管理の標準化まで論点が増えます。
QKDを「盗聴不可能な一本線」と見るより、「精密な光学装置と鍵管理を組み合わせた専用システム」と捉えた方が実態に近いです。

OTPとQKDの相性

QKDの価値を理解するうえで、OTP（One-Time Pad、ワンタイムパッド）との関係は外せません。
OTPは、メッセージと同じ長さの真にランダムな鍵を一度だけ使う暗号方式で、条件が満たされれば情報理論的な安全性を持ちます。
問題は、その理想的な共有鍵をどうやって遠隔地の相手と安全に分け合うかでした。

そこで相性がよいのがQKDです。
QKDは、盗聴の痕跡を監視しながら高品質な共有鍵を供給する役割を担えます。
つまり、OTPそのものを置き換える技術ではなく、OTPに食べさせる鍵を運ぶ技術として噛み合うわけです。
この組み合わせが量子暗号の象徴として語られやすい理由もここにあります。

もちろん、OTPはメッセージ長と同じだけの鍵が必要なので、鍵を大量に安定供給しなければなりません。
そこではQKDの鍵生成率や距離制約がそのまま運用上のボトルネックになります。
高機密な限定回線でQKDとOTPを組み合わせる設計が注目される一方、一般的な企業ネットワークやインターネット全体で同じ構成をそのまま広げるのが難しいのは、この鍵供給コストが重いからです。

そのため現実の設計では、QKDで得た鍵をOTPに使う場面と、通常の共通鍵暗号の鍵素材として使う場面を切り分けて考えることになります。
QKDは「量子時代の万能暗号」ではなく、共有鍵をどう生み、どう配るかに強みが集中した技術です。
この一点を押さえると、QKDとPQC、そして従来暗号の役割分担が、無理なく一枚の地図に収まります。

なぜ安全とされるのか――測定で乱れる量子状態と複製不可能性

QKDが安全だと説明される核は、アルゴリズムの巧妙さより先に、量子状態そのものの振る舞いにあります。
見られたかどうかをあとから数学的に推定するのではなく、観測すると状態が乱れ、しかも知らない状態を好きなだけ複製できないという物理法則を土台にしているため、盗聴は誤りという痕跡を残しやすくなります。
とはいえ、この直感はあくまで理想化された説明の入口であり、実際の安全性は後続で触れる実装や認証の条件と合わせて考える必要があります。

観測によるかく乱の直感

QKDの説明で最初につまずきやすいのは、「観測しただけでなぜ乱れるのか」という点です。
古典的なデータなら、ファイルをコピーして読んでも元データはそのままです。
ところが量子状態では、どの向きで測るかという測定の仕方そのものが結果に入り込み、合っていない測り方をすると、元の状態に関する情報を取り出す代わりに状態を別のかたちへ押しつぶしてしまいます。

偏光を例にすると、この感覚がつかみやすくなります。
送信側が光子の偏光をいくつかの向きで準備し、受信側はそのどれかの基底で測るわけですが、盗聴者が途中でのぞこうとすると、正しい基底を知らないまま測定するしかありません。
そこで外れた基底を選ぶと、盗聴者は確かな情報を得られないだけでなく、その測定行為で光子の状態を変えてしまい、次に受信側が測ったときの結果にもゆらぎが入ります。
QKDでよく言われる「盗聴すると痕跡が残る」というのは、このゆらぎが誤りとして表面化する、という意味です。

筆者がこの点を腹落ちさせられたのは、偏光の向きを紙に矢印で描いて考えたときでした。
まっすぐの矢印と斜めの矢印を並べて、一度の測定でどちらの情報も同時に取りきれない様子を手で追ってみると、非直交な向き同士では「確かめること」と「壊さないこと」が両立しないのだと見えてきます。
式だけで読むより、測定器を一方向に固定した瞬間、別の向きの情報を取りこぼす感覚がつかめて、QKDの安全性の芯がそこでやっと実感に変わりました。

教科書的なBB84の単純な盗聴モデルでは、盗聴者がランダムに基底を選んで測定すると、公開比較に回したビット列に約25%の誤りが現れうると説明されます。
これはあくまで直感をつかむための典型例ですが、「盗聴の有無が誤り率の上昇として見える」というコアアイデアをつかむには十分です。
図解を入れるなら、ここがいちばん視覚化しやすいポイントになります。

非直交状態と識別限界

この話の核心にあるのが、非直交状態です。
平たく言えば、はっきり別物として一発で見分けられない量子状態の組です。
QKDは、互いに直交しない状態をあえて使うことで、第三者が「どれが送られてきたか」を確実には識別できないようにしています。

古典的な世界なら、0と1を読み分ける装置を用意すれば、理想的には何度でも同じ結果を得られます。
ところが非直交な量子状態では、その区別に原理的な限界があります。
ある測定では一方の情報をよく拾えても、別の基底にまたがる情報までは同時に確定できません。
つまり、盗聴者は全部を知ったうえで元どおりに流す、という都合のよい振る舞いができないわけです。

ここが暗号の美しいところなのですが、QKDの安全性は「相手の計算能力が足りないから破れない」という発想とは少し違います。
非直交状態の識別限界のせいで、盗聴者はそもそも完全な観測情報を取れません。
情報を取りにいけば状態を乱し、乱し方を抑えようとすると今度は得られる情報が減る。
このトレードオフがあるため、盗聴は見えないまま進めるより、どこかで誤り率として姿を現しやすくなります。

もっとも、これをそのまま「絶対に安全」と言い切るのは適切ではありません。
実際のQKDでは装置の誤差や損失もあるので、観測された誤りの全部が盗聴由来とは限りませんし、逆に攻撃者は理想化モデルどおりにしか動かないわけでもありません。
このあと扱う実装攻撃や有限鍵長、運用上の条件まで含めて評価してはじめて、安全性の輪郭が定まります。

量子複製不可能定理

もうひとつの柱が、量子複製不可能定理、いわゆる no-cloning theorem です。
要旨はシンプルで、未知の量子状態を完全なかたちで複製する万能装置は作れない、というものです。
もし盗聴者が通過する量子状態をそっくりコピーできるなら、1つは自分でじっくり測って、もう1つは何事もなかったように受信側へ送れます。
しかし量子力学は、その抜け道を許していません。

この性質は、QKDの直感にとても効いてきます。
古典通信では「まずコピーしてから解析する」が攻撃の基本動作になりえますが、QKDの量子チャネルではその発想がそのまま通りません。
盗聴者は完全コピーを手元に残せないので、観測するなら本体に触れるしかなく、その触れ方が状態の乱れにつながります。
観測によるかく乱と複製不可能性が組み合わさることで、「こっそり読んで、痕跡なく元に戻す」という操作が難しくなるわけです。

実務の文脈では、この定理を「盗聴防止の魔法」と受け取るより、「完全コピー前提の攻撃を物理法則が禁じている」と捉えるのが正確です。
QKDの安全性は、盗聴者をゼロにできるというより、盗聴を試みたときに検知可能なノイズとして現れやすくする点にあります。
だからこそ、送受信者は古典チャネル上で基底の一致確認や誤り率の推定を行い、その結果を見て鍵として使える部分だけを残します。

あわせて見落とせないのが、QKDは量子チャネルだけで閉じた仕組みではないという点です。
送受信者が古典チャネル上でやり取りする情報には認証が必要で、ここが欠けると中間者攻撃の余地が生まれます。
物理法則ベースの安全性はたしかに魅力的ですが、通信相手が本当に正しい相手かどうかまで量子状態だけで自動的に保証されるわけではありません。
この先のセクションでは、まさにその実装攻撃や認証済み古典通信路の要件に踏み込み、理論の美しさと運用の現実を並べて見ていきます。

BB84を簡略化して体験する――アリス、ボブ、イブで追う量子鍵配送

BB84は、BennettとBrassardが1984年に提案した量子鍵配送の代表例で、偏光の向きを2つの基底で表すイメージに落とすと流れがつかみやすくなります。
抽象的に読むより、アリス、ボブ、イブの3人を紙の表に並べて手順を追うと、「一致したところだけ残す」「盗聴が入ると誤り率に跡が出る」という仕組みが手元の作業として見えてきます。

手順の全体像

BB84の導入では、光子の偏光を「縦横の基底」と「斜めの基底」の2種類で表す説明が定番です。
アリスは各ビットについて、送る値が0か1かをランダムに決めるだけでなく、どちらの基底でその値を表すかもランダムに選びます。
つまり、同じ 0 でも、縦横の基底で表した 0 と、斜めの基底で表した 0 は、受信側が正しい向きで測らないと同じ意味に読めません。

流れを番号で追うと、教育用の簡略モデルでは次のようになります。

1. アリスがランダムなビット列を作り、各ビットごとにランダムな基底を選んで量子状態として送ります。
2. ボブは、アリスがどの基底を使ったか知らないまま、各ビットごとにランダムな基底を選んで測定します。
3. 送受信が終わったあと、アリスとボブは古典チャネル上で「どの基底を使ったか」だけを公開します。ビット値そのものはこの時点では公開しません。
4. 基底が一致していた位置だけを残し、不一致だった位置は捨てます。この絞り込みを経た列が、鍵候補の元になります。
5. 残したビットの一部を取り出して照合し、誤り率を見積もります。ここで誤りが多ければ、途中で盗聴や大きな乱れが入ったと判断できます。
6. 誤り率が許容範囲に収まっていれば、残りの非公開部分を誤り訂正や秘匿性増幅に回して最終鍵へ近づけます。

ここで手を動かしてみると、BB84の直感が一気に深まります。
筆者は紙に「ビット」「アリスの基底」「ボブの基底」「基底一致」「残すか捨てるか」という列を作って乱数を書き込み、基底が同じ場所だけを丸で囲む作業を一度やってみて、説明文だけでは曖昧だった感覚が整理されました。
途中にイブの列を1本足すだけで、盗聴が入った回では照合用ビットに食い違いが混ざる様子まで目で追えます。

歴史を軽く添えると、この方式は提案からほどなく実験で追試され、1988年には30cmで3.3bps、1995年には23kmで486bps、2007年には200kmで12bps級という教科書的な初期値がよく挙げられます。
いま見ると素朴な数字ですが、量子状態で鍵共有を実演できること自体に大きな意味がありました。

簡易表で追体験

紙の表で試すなら、8〜12ビットほどがちょうどよい分量です。
教育用のサンプルとしては AWS Braket のチュートリアル（Implementing BB84、参照:

たとえば、基底を「＋」と「×」の2種類で書く簡易表は次のように作れます。

この表では、1、3、4、6、7番だけが候補として残ります。
2、5、8番は、ボブが違う基底で測っているので、アリスの送信値と素直には対応しません。
BB84ではこの「半分前後は最初から捨てる」という見え方が出てきます。
アリスもボブも基底をランダムに選ぶので、基底一致は平均すると50%前後に落ち着くからです。

この作業を自分でやると、頭では知っていた「一致した部分だけ残す」が、単なる説明文ではなく実際のふるい分けとして見えてきます。
表計算ソフトでも紙でも構いませんが、筆者は紙のほうが理解が早まりました。
残す行と捨てる行に色を付けると、量子通信そのものは全ビット分流れていても、鍵候補として生き残るのはその一部だけだと実感できます。

盗聴の影響と約25%誤りの意味

ここにイブの列を加え、途中で量子状態を受け取って測り、測った結果をボブへ送り直す intercept-resend を入れると、誤りがどこから出るのかを追えます。
教育用の単純モデルでは、イブもアリスの基底を知らないので、各ビットごとにランダムな基底で測るしかありません。
この時点で、イブが誤った基底を選ぶ確率は50%です。

イブがたまたま正しい基底を選べば、そのビットでは元の情報を壊さずに済みます。
やっかいなのは、イブが誤った基底で測ったケースです。
このとき量子状態はその基底に沿って潰れ、イブが送り直した光子は、もともとアリスが送った状態とは一致しないことがあります。
さらにボブがアリスと同じ基底で測る場面に限って見ても、イブが誤基底で測ってしまったビットでは、ボブの結果が誤る確率が50%あります。

したがって、単純化した計算では、公開比較に回したビット列に現れる典型的な誤り率は 50% × 50% = 約25% になります。
前半の50%はイブが基底を外す確率、後半の50%はその外した回でボブのビットが狂う確率です。
この 25% は BB84 の核心をつかむための教科書的な数字で、現実の装置ノイズやより複雑な攻撃を全部まとめた値ではありません。
ただ、「盗聴はゼロか一かで見える」のではなく、「誤り率の持ち上がりとして観測される」という感覚をつかむにはちょうどよい目安です。

紙の表でこれを試すと、イブの基底欄を1列増やすだけで景色が変わります。
まずアリスとボブだけの表を作り、採用された行の一部を照合してほぼ一致する状態を見ます。
その後、同じ形式でイブの測定と再送を差し込み、採用行の中に食い違いが混ざる様子を見比べると、盗聴の影響が「理屈」から「作業結果」に変わります。
筆者はこの比較を一度やって、BB84の面白さは量子の神秘的な雰囲気より、誤りがじわっと増えるところにあるのだと納得しました。

実際のQKDはここが違う――デコイ状態、誤り訂正、秘匿性増幅

教科書のBB84は、単一光子をきれいに1個ずつ送り、誤りの有無を見て終わるように見えます。
ところが実際のQKDは、その前後にもっと多くの工夫が入ります。
光源は理想化どおりではないためデコイ状態法で送信統計を見張り、受信後は誤り訂正と秘匿性増幅で鍵を削り込み、さらに有限個のデータしか得られない現実を前提に安全性を評価します。

光源とデコイ状態法

理想的な単一光子源を用意するのは難しく、実装済みQKDでは弱コヒーレント光を使う構成が広く採られます。
ここで出てくるのが、教科書モデルとの最初のずれです。
弱いレーザー光は平均光子数を小さくできますが、毎回きっちり1個だけとは限らず、複数光子を含むパルスが混ざります。
すると、多光子パルスを手がかりに情報を抜き取る余地が生まれるため、理想BB84の「1ビットずつ素直に送っている」という見方だけでは足りません。

この穴を埋める代表的な工夫がデコイ状態法です。
アリスは同じビットと基底の情報を送るだけでなく、強度の異なるパルスを混ぜて送ることで、チャネルのふるまいを統計的に点検します。
狙いは、どの強度のパルスがどれだけ届き、どれだけ誤るかを比較し、多光子パルスに依存した不自然な振る舞いを見つけることです。

筆者はこの説明を考えるとき、袋に混ざったビーズの比率を検査する感覚で捉えると腑に落ちました。
見た目が似たビーズでも、あらかじめ「大きめを少し、小さめを多めに混ぜた」と分かっていれば、取り出された側の比率に偏りが出たとき異常に気づけます。
デコイもそれに近く、1発ごとの中身を直接見抜くというより、強度パターンごとの到着率や誤り率の差を見て、想定と食い違う振る舞いがないかを確かめる発想です。
図解を入れるなら、強度の異なる3種類ほどのパルスを混ぜ、送信側と受信側で比率を見比べる形が直感に合います。

ここが暗号の美しいところなのですが、理論上の安全性は量子力学の性質に立脚していても、実装ではどういう光を実際に出しているかが安全性の式に入り込みます。
理想単一光子源のBB84と、弱コヒーレント光＋デコイ状態法のQKDは、同じ系譜にありながら安全性の見積もり方が一段具体的になるわけです。

誤り訂正と秘匿性増幅

量子チャネルを通して得られたビット列は、そのまま秘密鍵にはなりません。
基底照合のあとに残った列には、装置ノイズや伝送損失、あるいは盗聴の痕跡に由来する誤りが混ざるためです。
そこでまず行うのが誤り訂正です。
QKDの文脈では information reconciliation と呼ばれ、アリスとボブが古典通信を使って食い違いをそろえます。

この段階では、誤りの位置を直接全部さらすわけではなく、パリティ情報など一部の情報をやり取りして整合を取ります。
教育用の実装でもこの流れはよく現れます。
AWS BraketのBB84サンプルは、状態準備、測定、siftingに続いて、誤り推定と key reconciliation を含む構成になっており、誤り訂正にGolay符号を使う例まで入っています。
シミュレーションでビット反転確率を 0.1 に置くと、単純化した見積もりではQBERは10%前後になり、そのままでは一致鍵が残りにくいことが体感できます。
少数の量子ビットでも、誤り訂正に回した瞬間に手元の鍵候補が目減りする感覚がはっきり出ます。

ただし、誤り訂正を済ませても安心はできません。
古典チャネル上でやり取りした補助情報や、チャネルそのものから漏れたかもしれない情報を考えると、盗聴者が鍵候補についてわずかな知識を持っている可能性が残るからです。
そこで次に行うのが秘匿性増幅です。
これは privacy amplification と呼ばれ、元の共有列をより短い列に圧縮し、盗聴者が持ちうる情報を無視できる水準まで押し下げます。

流れを直感でいえば、QKDは「誤りを直してから、漏えい分を見越してさらに削る」方式です。
誤り訂正はアリスとボブの列を一致させる処理であり、秘匿性増幅は一致した列を秘密として使える長さまで縮める処理です。
この2つは役割が違います。
前者だけでは秘密にならず、後者だけではアリスとボブの列がそろわないため、両方がそろって初めて最終鍵になります。

有限鍵長と安全性評価のポイント

実装QKDを理解するうえで見落としにくいのが、有限鍵長の問題です。
教科書では無限に近い回数を送受信して平均値がきれいに落ち着くように書けますが、現実には観測できるデータは有限です。
すると、観測された誤り率や到着率は統計的に揺れます。
安全性評価では、この揺れを見込んだうえで「どれだけの秘密鍵が残せるか」を計算します。

この視点に立つと、理論上の安全性と実装上の安全性は分けて考える必要があります。
理論上の安全性は、量子状態の測定によるかく乱や複製不可能性を前提に、どこまで情報理論的に秘密性を示せるかという話です。
これに対して実装上の安全性は、弱コヒーレント光、検出器、損失、強度変調、同期、公開比較で使うサンプル数といった現実の要素を式に入れ、統計的検定まで含めて評価する話になります。

実務の感覚では、QKDの安全性は「量子だから自動で守られる」とは整理しません。
どの装置モデルを仮定し、どの誤差を見積もり、どのくらいのデータ長で検定したかまで含めて安全性の主張になります。
たとえば、誤り率が許容内に見えても、サンプル数が少なければ揺らぎの幅を大きく取る必要がありますし、強度設定のずれや検出器の不完全さがあれば、その分だけ鍵長を保守的に削ることになります。

理論上は安全という言い方が独り歩きしやすい分野ですが、実際のQKDは、装置に依存する前提と統計的な見積もりを明示してはじめて輪郭が出ます。
理想化BB84は入口として優れていますが、運用されるQKDはその先で、デコイ状態、誤り訂正、秘匿性増幅、有限鍵長評価までを一体として回しているのです。

量子暗号の弱点と限界――実装攻撃、認証、距離、コスト

量子暗号、とくにQKDは「理論が強いから万能」という技術ではありません。
安全に使うには、量子チャネルだけでなく古典通信路の認証、装置そのものの脆弱性対策、伝送距離と鍵生成率の折り合い、そして専用ハードウェアを維持する運用体制まで、まとめて設計する必要があります。
ここを外すと、量子力学の美しい性質がそのまま実サービスの強さになるわけではない、という実務上の輪郭が見えてきます。

認証済み古典通信路と中間者攻撃

QKDは量子チャネルだけで完結する仕組みではありません。
基底照合、誤り訂正、秘匿性増幅の前後では古典通信路で情報をやり取りしますが、この古典通信路は認証済みであることが前提です。
ここが直感に反するかもしれませんが、量子力学だけで「相手が本当にその相手か」を保証できるわけではありません。

もし古典通信路が未認証なら、攻撃者はアリスとボブの間に割り込み、それぞれに対して別人として振る舞えます。
するとアリスは攻撃者と鍵を結び、ボブもまた攻撃者と鍵を結ぶ形になり、両者は互いに安全に通信しているつもりでも、実際には中継者を通して盗み見られる構図になります。
「盗聴を検知できる」ことと「相手のなりすましを防げる」ことは別問題です。

このため、QKDの導入では認証の土台が先に必要になります。
短い事前共有鍵でメッセージ認証を回す設計や、既存の認証基盤と組み合わせる設計が現実の出発点になります。
量子暗号は鍵配送の一部を強くする技術であって、認証まで自動で肩代わりする魔法の箱ではありません。

実装攻撃（デバイス脆弱性）の注意点

QKDの理論説明では、送信側の光源も受信側の検出器も理想化されています。
しかし実機は、光の強度変調、タイミングずれ、検出効率の偏り、ダークカウント、温度変動、光軸のずれといった、きわめて物理的な事情を抱えています。
筆者がこの分野を理解するうえでいちばん腑に落ちた現場感覚は、「理論は強いが装置は正直」ということでした。
実験室では、ダークカウントが少し持ち上がるだけで誤り率の見え方が変わり、アライメントがわずかに崩れるだけで期待した統計から外れます。
数式は端正でも、装置はごまかしてくれません。

そのため、実装攻撃はQKDの中心的な注意点になります。
代表例として知られるのが、検出器の振る舞いを理想モデルから外させる攻撃です。
検出器ブラインディングのように、受信器の物理特性を突いて安全性証明の前提を崩す発想は、まさに「プロトコルは正しくても装置がその通り動くとは限らない」ことを突いています。
光源側でも、想定外の多光子成分や強度設定のずれがあれば、理論上の見積もりと実際の漏えい量に差が出ます。

対策は一つでは足りません。
装置レベルでは受光状態や入力光パワーの監視、異常時の遮断、検出器の動作領域を外れない設計が必要です。
運用レベルでは、誤り率だけでなくクリック率や時系列の偏りも含めて継続監視し、平常時の分布から外れる挙動を拾う必要があります。
プロトコル面でも、理想化BB84をそのまま信じるのではなく、実装モデルを織り込んだ安全性評価が欠かせません。
前述の通り、QKDの安全性は装置仮定まで含めて成立します。

距離・鍵生成率・増幅器の課題

QKDの普及を考えるとき、避けて通れないのが距離と鍵生成率のトレードオフです。
光ファイバーでは損失が積み上がるため、遠くまで飛ばそうとすると到着光子が減り、検出統計は厳しくなります。
すると鍵候補の抽出量が落ち、誤り訂正と秘匿性増幅のあとに残る最終鍵は細くなります。
短距離では太く、長距離では細くなるという傾向は、QKDの運用設計にそのまま現れます。

この問題を古典通信の感覚で見ると、「途中で増幅すればよいのでは」と考えたくなりますが、そこに量子通信特有の壁があります。
古典回線で使う増幅器をそのまま量子状態へ入れることはできません。
未知の量子状態は古典信号のようにコピーして再生できず、増幅の過程で状態を壊してしまうからです。
ここが既存の光通信網とQKDを同一視できない点です。

歴史的な実験値を見ると、この制約の重さがよく分かります。
初期のBB84実験では30cmで3.3bps、次の時代には23kmで486bps、さらに200kmで12bps級といった値が知られています。
ただし、これらは技術の進歩をたどるための歴史的文脈として読むべき数字で、今の代表性能をそのまま示すものではありません。
近年は20kmで1Mbit/s級、100kmで10kbit/s級という記述もあり、研究では120km級の伝送例も出ていますが、距離が伸びるほど鍵生成率が厳しくなる構図自体は変わっていません。

ネットワーク化の現実解としては、端点間を一気に量子でつなぐのではなく、鍵リレーを用いる構成が使われます。
いわゆるトラストノード方式で、各区間ごとにQKDで鍵を作り、中継拠点で次の区間へ受け渡して全体をつなぐ設計です。
これは実装しやすい一方で、中継拠点を信頼する前提が入ります。
広域化は可能でも「全ノードが量子力学だけで守られる」わけではなく、ネットワーク設計のどこかに信頼の置き場所が残ります。

コストと運用負荷

QKDはソフトウェア更新だけで導入できる技術ではなく、送信器、受信器、同期系、検出器、光学部品を含む専用ハードウェアが必要です。
この時点で、一般的な公開鍵暗号やPQCとは導入の重さが異なります。
費用感を左右する要素のひとつが単一光子検出器で、1台あたり約5,000〜20,000米ドルという目安があります。
偏光型では4台構成が一般的なので、検出器だけでも無視できない金額になります。

しかも、コストは機器購入で終わりません。
光学系は据え付ければ放置できる装置ではなく、損失、温度、光軸、検出ノイズを見ながら状態を保つ必要があります。
鍵生成率が落ちたとき、それが回線損失の増加なのか、検出器の状態変化なのか、同期ずれなのかを切り分ける運用も入ってきます。
理論式の上では一行で済む誤差項が、現場では複数の調整作業に分解されるわけです。

この意味でQKDは、高機密な限定回線に専用設備を載せるときに輪郭がはっきりする技術です。
データセンター間や重要拠点間のように、回線、装置、監視体制をまとめて管理できる場所では成立しやすい一方、一般インターネット全体をそのまま置き換える発想とは相性がよくありません。
国内でも大容量データと鍵を同時に扱う実証が進んでいますが、実用化の現場で問われるのは、理論の優美さそのものより、どこまでの距離をどの鍵率で維持し、そのためにどれだけの機器と運用を引き受けるか、という設計の現実です。

実用化はどこまで進んだか――2024〜2026年の標準化と実証

2024年から2026年にかけてのQKDは、単体リンクの研究からネットワークとしてどう運用するかへと焦点が移ってきました。
見えてきたのは、研究成果の更新と商用導入の進展が同時に起きている一方で、その二つは同じ意味ではないということです。
標準化、国内実証、ベンダー実装、そしてPQCの制度整備を並べて見ると、QKDの現在地がようやく立体的に見えてきます。

標準化（ITU‑T Y.3800系）の要点

QKDの実用化を考えるとき、まず押さえたいのはITU‑T Y.3800系がQKDネットワークを運用可能な通信基盤として記述し始めた点です。
焦点は一台の送受信器の性能だけではなく、複数拠点をどう結び、鍵管理や制御機能をどう定義するかにあります。
併せて、耐量子暗号（PQC）の制度・標準化動向はNISTのPQCプロジェクトページ（。
標準文書や技術報告を参照しつつ、ネットワーク設計と運用要件を照らし合わせることが欠かせません。

海外・研究最前線

国内動向では、2025年3月のKDDI総合研究所と東芝デジタルソリューションズによる実証が象徴的です（出典: KDDI総合研究所／東芝デジタルソリューションズのプレスリリース）。
同実証は、1心ファイバー上で30Tbps超の大容量データとQKD鍵を多重伝送したと報告されています。
ただし、現在確認できる情報は両社による発表に基づく単一の実証であるため、一次資料（両社のリリースや技術報告）を参照のうえ、研究・実証レベルの到達点として評価することを推奨します。
海外では国家インフラや広域網を意識した取り組みが前に出ていますが、共通しているのはQKD単独で既存暗号を置き換えるのではなく、限定区間で価値を出すという発想です。
ここでも標準化が効いてきます。
単一リンクの最高性能だけではなく、複数ベンダーの装置、管理機能、運用責任の分担まで見なければ、実用性は語れません。

研究者の視点では120kmという数字に目が向きますが、運用者の視点では「どの拠点間で、どの方式で、どの鍵供給モデルを組むか」が先に立ちます。
筆者はこの差を意識するようになってから、研究発表と商用発表の読み方が変わりました。
前者は物理限界を押し広げる話であり、後者は責務分離と障害時の扱いまで含めた設計の話です。
QKDの現在地は、その二つが同時進行しているところにあります。

PQC標準化のタイムライン

QKDの実用化を追ううえで、もう一つ外せないのがPQCの進展です。
2024年8月13日にはNISTがFIPS 203、FIPS 204、FIPS 205を公開し、耐量子暗号の標準化を制度面で前へ進めました。
さらに2025年3月11日にはHQCが追加標準候補に選ばれ、QKDとは別の軸で量子時代の暗号移行が具体化しています。
研究の前線では、2026年に報告されたテレコム帯量子ドット光源＋タイムビン符号化を組み合わせた120km伝送（出典: Light: Science & Applications, 2026 の論文）が注目されます。
この報告は長距離化に関する研究上の到達点を示すものであり、鍵生成率や商用網での安定稼働といった運用指標とは明確に区別して評価する必要があります。
実務上は、この時間軸の差も大きい判断材料になります。
PQCは標準が定まり始めたことで、広いIT基盤への展開が現実の計画に落ちてきました。
一方のQKDは、標準化が進んでも導入対象は限定回線中心です。
だから2024年から2026年の流れを読むときは、「PQCは広く置き換える技術として進み、QKDは限定的だが物理層まで踏み込む技術として成熟を進めている」と捉えると、ニュース同士がぶつかりません。

この見方に立つと、QKDの標準化や国内実証は、PQCに負けた話でも、逆にPQCを不要にする話でもありません。
量子時代の鍵配送と公開鍵基盤の双方が、それぞれの土俵で実装段階へ入ってきた、というのが2024〜2026年の実像です。

QKDとPQCは競合か補完か

QKDとPQCは、量子時代の暗号をめぐる二者択一として語られがちですが、実務の設計図に落とすと役割分担はむしろ明確です。
PQCはソフトウェア中心で既存の公開鍵基盤を広範に置き換える軸、QKDは専用機器と限定回線を前提に、特に高秘匿な区間で鍵供給の強度を引き上げる軸として整理すると、両者の位置づけがぶつかりません。

QKDとPQCの比較表

まずは、読者が判断軸を一望できるように整理します。

この表で見えてくるのは、QKDが「通信路そのものを選ぶ技術」であり、PQCが「既存の公開鍵の役目を広い範囲で置き換える技術」だという違いです。
ここを混同すると、QKDにインターネット全体の更新を期待したり、逆にPQCだけで長期秘匿回線の設計を完結させようとしたりして、判断を誤りやすくなります。

用途別の使い分けガイド

企業や組織の意思決定に近い観点で見ると、第一候補になりやすいのはPQCです。
理由は単純で、公開鍵暗号が使われている面があまりに広く、TLS、VPN、証明書、署名といった基盤をまとめて更新するには、ソフトウェア中心で展開できる方式のほうが整合的だからです。
2024年8月13日に初期のFIPSが公開され、2025年3月11日にはHQCも追加標準候補に選ばれたことで、PQCは「研究テーマ」より「移行計画の対象」として読まれる段階に入っています。

一方で、QKDが刺さるのは、守る対象と通信路がともに限定できる場面です。
都市間のデータセンター接続、金融・政府系の閉域網、研究所間の高機密リンクのように、拠点数が絞られ、回線の運用責任も明確なところでは、QKDの価値がはっきり出ます。
KDDIと東芝の30Tbps超の多重伝送実証や、QKDネットワーク、鍵リレーの文脈が実務に近いのも、この「限定された重要回線」に集中しているからです。

筆者は企業ネットワークを想定したアーキテクチャ図を描くとき、TLSの鍵交換はPQCに、超機密リンクの鍵供給はQKDに割り当てる構図に落ち着くことが多くなりました。
社内LANからクラウド接続までをQKDで覆う図は、描いた瞬間に現実味が崩れます。
反対に、拠点間の一部リンクだけをQKDにし、その上位で動く認証や署名、広い相互接続性はPQCで支える形にすると、運用責任の分界も見えます。
ここが実務設計の面白いところで、どちらか一方を万能薬として置くより、通信の階層ごとに役割を分けたほうが筋が通ります。

併用アーキテクチャとHNDL対策

補完関係がもっとも見えやすいのは、QKDで鍵を共有しつつ、認証・署名・広範な相互運用はPQCで支える構成です。
QKDは鍵配送の仕組みであって、通信システム全体の認証やソフトウェア署名まで肩代わりする技術ではありません。
そこをPQCで埋めると、物理層での高秘匿と、上位層での広い展開性を同時に確保できます。

この併用は、HNDL、つまり今盗んで後で解読する脅威を意識するとさらに意味が深まります。
長期秘匿が必要なデータでは、「現在は解けない」だけでなく、「後から量子計算資源が育っても困らない」設計が必要になります。
超機密リンクでQKD由来の鍵を使って通信内容を守り、その周辺の認証、端末間接続、証明書運用、署名はPQCで支える構図は、長く残るデータに対して理にかなっています。

具体像としては、都市間データセンターのバックボーン区間にQKDを置き、そこで得た鍵で対向拠点間の暗号化を担保する一方、データセンター利用者のTLS終端やAPI認証、管理プレーンの署名はPQCで構成する形が考えやすいのが利点です。
金融や政府系の閉域網でも、ネットワーク中核の重要区間だけにQKDを当て、支店接続や端末認証のような広い面はPQCで整えるほうが、守るべき資産と導入コストの釣り合いが取れます。
研究所間の高機密回線でも同様で、回線の中核にはQKD、組織横断の認証と署名にはPQCという分担が自然です。

要するに、PQCは面を守る技術、QKDは線を守る技術として見ると、競合より補完と捉えたほうが現場の設計に近づきます。
量子時代の暗号移行で問われるのは「どちらが勝つか」ではなく、「どの資産に、どの層で、どちらを当てるか」です。

まとめ

量子暗号を理解する入口では、名前の近さより役割の違いを押さえることが判断をぶらしません。
この記事で回収したいのは、量子暗号と呼ばれる話題の中心は主にQKDであり、QKDは鍵配送の技術で、PQCはそれとは別の系統だという整理です。
さらに、QKDは強力でも、価値が立ち上がるのは実装と運用まで含めて設計したときです。

深掘りするなら、QKD、BB84、PQC、量子コンピュータ脅威、HNDL、実用化事例を個別に追うと混線がほどけます。
QKDの仕組みを知る記事、BB84を図で追う記事、PQC標準化の動向を整理する記事を分けて読むと、ニュースの見出しに引っ張られずに全体像をつかめます。

関連（内部）リンク候補: （BB84の図解と手順を詳述）, /column/post-quantum-cryptography （PQC標準化と移行計画の実務ガイド）