RSAや楕円曲線暗号（ECC）などの“公開鍵暗号”が破られる可能性です。量子アルゴリズム（Shorのアルゴリズム）が、RSAの“素因数分解”やECCの“離散対数”を 現実的な時間で解けるようにしてしまうため、WebのHTTPS、VPN、電子署名などの基盤が危険にさらされます。

正確な時期は誰にもわかりません。 ただしNISTは「10年以内に現実的な脅威が出る可能性がある」とする専門家の見方を紹介し、移行準備をすぐ始めるよう推奨しています。さらに、攻撃者は「今 暗号化データを盗み、後で 量子計算機で解読する（Harvest Now, Decrypt Later）」手口を取れるため、“将来も秘匿が必要なデータ”はすでに危険です。

いいえ。 量子計算機が致命的なのは主に公開鍵暗号（RSA・DH・ECDH・ECDSA等）です。一方、共通鍵暗号（AES等）やハッシュは Groverのアルゴリズムにより“強度が平方根分だけ下がる”程度なので、鍵長や出力長を増やす（例：AES‑256、SHA‑384/512）ことで対処できます。米NSAの移行方針でもAES‑256やSHA‑384/512の使用が示されています。

インターネットの基盤そのものです。たとえば TLS/HTTPSの鍵共有（ECDHE/RSA）、VPN、電子署名とPKI（コード署名・証明書）、S/MIMEや電子契約など。TLSについては、IETFがPQC（ML‑KEM）をTLS1.3で扱える拡張を進めており、主要事業者もハイブリッド鍵共有（例：X25519+Kyber/ML‑KEM）の運用を進めています。

“暗号は今は解けなくても、将来の量子計算機で解読する前提で、今から盗む” 攻撃モデルです。機密保持期間が長いデータ（個人情報、医療・金融・知財、政府データ、長寿命IoT/衛星の更新鍵など）は特に優先して量子対応が必要です。

NISTは2024年に最初のPQC標準を確定しました。

FIPS 203: ML‑KEM（鍵共有／従来のKyber系）

FIPS 204: ML‑DSA（電子署名／従来のDilithium系）

FIPS 205: SLH‑DSA（電子署名／SPHINCS+系、ハッシュベースの代替）
名称変更（Kyber→ML‑KEM等）も含め、“まずはこの3つ”が実運用の主役です。

米NSAはCNSA 2.0として、2035年までの移行完了を掲げ、Web/TLSやOS、ネットワーク機器などの段階的な適用時期（2025～2033年）を示しています。目安として「今から準備」「2025–2027に新規でPQC対応」「2030以降は原則PQC」という流れです。

一般的な情報システムの対策はPQCが基本です。QKDは専用装置・専用回線が必要で、認証の課題や運用コスト等の理由から、政府用途でも推奨されていません（NCSCやNSAの立場表明）。

主に“初回の鍵交換”でデータ量が増える程度で、実運用は十分可能です。実際に大手CDN等がPQCハイブリッドTLSを公開運用しており、IETFの標準化も進行中です。アプリや機器の制約に合わせ、ハイブリッド運用（従来＋PQC）で段階導入するのが現実的です。

1) 暗号資産の棚卸：どの製品・通信・データが量子に脆弱か洗い出す（RSA/ECDH/ECDSAの使用箇所、証明書、署名、長寿命データ）。

2) 優先順位付け：機密保持期間が長いデータや更新が困難な機器（OT/IoT/衛星・ファームウェア署名等）から。

3) ベンダーと計画合意：PQC対応のロードマップ・契約要件を設定。

4) ハイブリッド導入→本格移行：TLS、VPN、コード署名、PKIから着手。
（米CISA/NSA/NISTは“量子レディ”のロードマップ策定を強く推奨）