量子鍵配送技術推進委員会若手インタビュー 量子コンピュータ時代における究極の情報セキュリティを求めて

世界が鎬を削る量子科学技術競争の中にあって、日本が得意な分野と言われる量子鍵配送技術（Quantum Key Distribution以下、QKD）。三菱電機はこの未来に向けた暗号技術の研究において、世界をリードする存在だ。今回お話を伺った水谷明博さんは、同社情報技術総合研究所の情報セキュリティ技術部に所属し、QKDの実用化に向けた安全性理論の研究を進めている。また、次世代暗号と呼ばれる耐量子計算機暗号（Post Quantum Cryptography以下、PQC）と量子情報の融合分野の研究にも取り組み始めた水谷さんは、大規模な量子コンピュータが誕生しても、なお安全安心な情報化社会を支えるべく、基礎理論を日々追究し続けている

（聞き手・構成：釜屋憲彦）

＜目次＞

• 量子鍵配送技術の魅力に惹かれ、研究者の道へ
• 世界最先端の研究環境へ
• 量子鍵配送の実現に向けたセキュリティ理論の構築
• 基礎研究の魅力
• 今後の量子人材に向けてのメッセージ

量子鍵配送技術の魅力に惹かれ、研究者の道へ

――QKDを知ったきっかけは何だったのでしょう？

大阪大学の学部3年のときに、山本俊教授の量子情報の授業を受けたことがきっかけです。「原理的に解読不可能な究極のセキュリティ」という魅力的なワードで語られる一方、難解な論理でまったく内容が分からないという点が重なり合い、かえって惹きつけられてしまいました。大学4年生から博士課程を終えるまでの６年間は井元信之教授の研究室（現 山本俊研究室）に在籍し、以来ずっとQKDをテーマにした研究を行ってきました。

また、博士課程の半年間、カナダのトロント大学とウォータールー大学量子コンピュータ研究所(IQC)に留学しましたが、研究者として自立していく上で、この経験はとても大きかったです。トロント大学ではQKDの第一人者であるHoi-Kwong Lo 教授と日々議論しました。その時は、QKDに加えて量子インターネットの理論限界も研究していました。ウォータールー大学量子コンピュータ研究所では Norbert Lütkenhaus 教授の研究グループにいましたが、こちらはかなり理論寄りの研究室で、QKD理論の厳密さを研究室の人達と徹底的に議論する楽しい日々を送ることができました。

――留学して得られたものは？

あの半年間は大きかったです。まず外国の研究者と英語で議論するスキルが鍛えられました。最初に所属した先のHoi-Kwong Lo 教授の英語に慣れることには苦労しました。量子通信の世界では、情報の送信者をアリス（Alice）と受信者をボブ（Bob）と呼ぶのですが、最初はAliceさえ聴き取れなかったほどで、紙に書いたりしてコミュニケーションしていました。Norbert Lütkenhaus 教授の英語も、やはり苦労しましたね。結果的に互いに母国語でなくとも深いところまで議論する度胸が身についたと思います。

研究の面では、「いかに簡潔に伝えることが重要か」を痛感しました。特に、論文を書く際、広い層の読者に研究の内容を理解してもらうための論文執筆の技術について知見を得ることができました。「論文に数式を一つ増やすごとに読者が半分減ると思え」とHoi-Kwong Lo 教授に指導されたのを思い出します。それほど数式はせっかくの論文に興味を持っていただいた読者をある意味突き放してしまうという側面があるので、なるべく丁寧で、かつその分野に馴染みのない方にとっても分かりやすい説明を心がける意識が身についたと感じます。

世界最先端の研究環境へ

――三菱電機に入社された理由は？

博士課程の研究の延長として、暗号の基礎研究を続けるのに最適な環境があったからです。世界でも三菱電機の研究所は最先端の研究開発を行っていましたし、特に、現代暗号の開発に関して、地に足のついた取り組みをしている印象がありました。暗号技術の社会実装を踏まえつつ、現在使われている暗号と未来の暗号の両局面のアプローチで研究できる環境に魅力を感じ、迷うことなく入社を決めました。

――水谷さんは情報技術総合研究所の情報セキュリティ技術部に所属されていますが、どのような部署でしょうか？

情報セキュリティ技術部は、暗号アルゴリズム、機器のセキュリティ、クラウドセキュリティからサイバー攻撃対策といった情報セキュリティ技術全体をミッションとして掲げています。情報セキュリティ技術を下から上まで一つの部が集まって研究開発をしているのが特色です。私はその中の基盤技術開発グループの一員であり、グループの重要なミッションは、世界トップレベルの研究成果を挙げることです。現在、私を含む２名が、JSTの戦略的創造研究推進事業（ACT-X）にも採択されており、基礎研究に力を入れて研究しています。

――QKDとはどのような暗号アルゴリズムなのでしょうか。

QKDは正規のユーザであるアリスとボブに対して、光ファイバーを用いて、光子に情報をのせて、光子を送受信することで安全な暗号鍵を配送する方式です。QKDは、量子力学の原理を根拠に安全性が保障されており、光ファイバー上で光子が盗聴されてもユーザは検知することができます。

もう少し詳細に述べると、送信者アリスは光の偏光や位相に情報をのせて受信者ボブに送信します。ボブは受信した光の偏光や位相に対する測定を行い、アリスから送信された情報を読み出します。このやりとりと公開通信路を用いた古典データの処理を行うことで暗号鍵の共有が可能になります。

もし盗聴者イブが光ファイバーを流れる光子に盗聴行為をすると、アリスが送信した光子の状態が変化し、結果的にボブが受信する情報はアリスが送信した情報と食い違ってしまうことが起きます。つまり、QKDは光子が何ものかによって操作されると状態が変化するという量子力学の性質を利用することで、第三者による盗聴を、確実に検知することが可能です。盗聴されていない情報から暗号鍵を生成することで、アリスとボブは安全な暗号鍵を共有することができます。これがQKDの安全性を保障する基盤となっている原理です。

――QKDにより絶対安全な通信ができる論拠はどこにあるのでしょうか？

「完璧な鍵」と「ワンタイムパッド暗号」を組み合わせることで、絶対安全な通信が可能になります。まず、０と１が完全にランダムなビットから成る乱数列をアリスとボブが共有しているとします。アリスがボブに送りたいメッセージを共有した乱数列を用いてマスクした（排他的論理和を取った）データを暗号文とし、その暗号文をボブに電話やメールで送ります。盗聴者は暗号文を傍受できますが、完璧な乱数列でアリスのメッセージがマスクされているので、どんなに計算能力の高い盗聴者でもメッセージの内容は全く分かりません。先述のように、QKDを用いることで、アリスとボブとの間に完璧な乱数列を共有させることができるので、「QKD」と「ワンタイムパッド暗号」を組み合わせることで、盗聴者の計算能力がどんなに高くても、その暗号通信の安全性は未来永劫脅かされません。
よって、理論上、QKDは究極の安全性を主張できるのです。

量子鍵配送の実現に向けたセキュリティ理論の構築

――研究内容について教えてください。

主に二つあります。一つは、QKDの実用化に向けた安全性についてで、学生時代から一貫した問題意識がある研究テーマです。確かにQKDは、量子論が正しい限り、理論上は究極の安全性を達成することが可能です。ところが、QKDが実際に利用される環境に置かれたとき、情報の安全性が守られるかどうかは別の議論が必要になってきます。例えば、予期しない機器から情報が漏れる（サイドチャネル攻撃）とか、実際に装置を作ってみたら理論が要求する通りに動作しない、といったことは現実に起こる事態です。QKDが実環境に置かれたときでも、安全性が損なわれないように様々な安全性リスクに対処できるような体系的な安全性理論の構築が必要だと考えています。

最近取り組んでいるテーマは次のようなものです。QKDは、光を送受信して通信を行う技術です。実際の通信では、送信器のレーザーから発せられる光は１秒間に１ギガ個程と膨大な量です。これほど速い通信になると、通常のQKD理論で課される仮定が成り立たなくなります。QKDでは個々の光に鍵を生成するための種となる情報（０/１のビット情報）をのせて送信しますが、高速通信では送信する光同士が相関するようになります。すると、一つ前の光の情報が次の光にも伝搬することが起きます。通常のQKD理論では、一つの光に０/１の情報がそれぞれのっていると仮定しますが、高速通信の状況下ではこの仮定が成り立たなくなります。これは、高速通信になると通常の安全性理論が適用できないことを示唆しており、高速通信の実現に向けてこのような状況下でも安全性が保障できるような研究を行っています。

本件は、博士課程から取り組んできた難問でしたが、送信器の相関に関する問題を解決する一般的な方法論を与えたものを2020年、共同研究者と共についに論文化することができました[1]。送信する光にのっている０/１の情報は守るべき情報であり、「安全性を評価する」とは「守るべき情報がどれだけ盗聴者に漏れたか」を評価することになります。送信する光に相関があると、守るべき情報がいろいろな光に伝搬した状況下での安全性を議論する必要があるので、理論的に複雑でしたが、やっと一つの形として結実した想いです。

また最近は、この結果を代表的なQKD方式であるRRDPSに適用することで、RRDPSが送信器の相関に対して強い耐性があることも明らかにしました[2]。これは、RRDPS方式で光の送受信速度を上げていっても、１つの送信光から生成される暗号鍵の量は大して低下しないという、実用上嬉しい特性を持っていることを意味する結果です。

――もう一つのテーマはどのような研究なのか教えてください。

二つ目は、耐量子計算機暗号(PQC)と量子計算の融合分野の研究です。本テーマは三菱電機に入ったからこそできた、私にとって新しい研究テーマですね。PQCは、量子コンピュータでも解読が困難と考えられている暗号の総称です。QKDと異なり、専用のハードウェアを必要とせず、普段我々が使っているパソコンを使って暗号を強化できる次世代の暗号になります。

PQCの研究は私の研究グループの数名が取り組んでいまして、2020年からPQCと量子情報のコラボレーションという形でPQCを研究する数名と学際領域の共同研究を始めました。研究テーマは、PQCを用いたクラウド量子計算の検証です。最近、量子コンピュータの実機が登場しはじめ、それをクラウドで利用できるサービスも提供されています。今後、量子コンピュータがさらに大規模化していくことを想定すると、それをクラウド利用する際に、我々ユーザとしては「今利用している量子コンピュータはちゃんとした量子コンピュータなのか」ということが気になります。そこで私たちの研究グループは、PQCの技術を応用することで、現代のコンピュータだけを使ってクラウドの量子コンピュータを動作検証する研究を行っています。このようなテーマは、2018年頃から理論計算機科学や暗号の界隈で世界的に盛り上がっています。

――PQCを適用すると、どのようなことが判明するのでしょうか？

クラウドの計算機が「量子性」を持つ計算機かどうかを、現代のコンピュータだけでチェックできるようになります。例えば、量子重ね合わせという量子性を持っているか、量子コンピュータにとって一番難しい問題を正しく解けているか、指定された量子状態を正確に作って測定できているかなどといったことが、現代のコンピュータだけで検証できるようになります。最近我々は、万能量子計算の実行に不可欠な「マジック状態」の生成と測定をクラウドの計算機がどれだけ正確に実行する能力があるかを検証する暗号プロトコルを作りました[3]。

――具体的にどのように検証するのでしょうか？

現代のコンピュータを持つ検証者とクラウドの計算機の間で、古典メッセージのやり取りを数回行い、クラウドからの返答を検証者がチェックするという流れで行います。古典メッセージの作成やチェックの仕方にPQCのテクニックが使われています。うまく検証できる肝は、量子コンピュータがPQCを破れないという仮定です。量子コンピュータは現代のコンピュータよりも優れた性能を持つため、現代のコンピュータしか持たない検証者は嘘の返答に騙されてしまう可能性があります。しかし、量子コンピュータがPQCを破れないという仮定を課すことでクラウドは検証者を騙す返答ができなくなります。ある意味、PQCを利用することで量子コンピュータを古典コンピュータで束縛する状況を作ることができるのです。するとクラウドは古典の相手を騙せず、ちゃんとふるまっているかがバレてしまうので、古典の検証者でも量子コンピュータの動作が検証できるというわけです。

――こういった研究成果はどのように社会に実装されていくと思いますか？

全て暗号の話であり、暗号は基本的に裏方の技術なので、我々の成果も社会をガラリと変える技術ではないかもしれません。ですので、将来社会実装されたとしても、社会を支える縁の下の力持ちの技術として実装されていくと思います。しかし、将来の暗号技術の実装や大規模な量子コンピュータのクラウド実利用の場面で、我々のQKDの安全性理論の成果やクラウド量子計算検証の成果が利用されれば、これ以上ない喜びに思います。

論文：
[1] https://www.science.org/doi/10.1126/sciadv.aaz4487
[2] https://arxiv.org/abs/2107.02593
[3] https://arxiv.org/abs/2111.02700

基礎研究の魅力

――ずっと基礎研究に携わっておられるわけですが、基礎研究に惹かれるのはどのような点でしょうか？

基礎研究はテーマ設定の自由度が高く、私の性に合っているように感じます。世の中ですでに広く実用化された技術をさらに磨くことももちろん重要ですが、来る未来の技術を生み出すかもしれない研究は刺激的で、ワクワクします。

――基礎研究となると自由度が高い一方で、研究のモチベーションを保つのが大変そうですが。

やはり、好きなことなので続けられているというのはあります。会社としても、新しい量子技術が世に出るというときに慌てて便乗するのでは遅く、来るべき未来に備えて今から力を蓄えておく必要性を理解して、このような基礎研究に力を入れています。量子技術を理論の産物で終わらせずに、社会実装まで持っていけるよう、日々高いモチベーションを持って研究しています。

――研究の先にある夢はありますか？

まずはQKDの技術が社会に普及して欲しいです。例えば、重要な政府の機関にQKD専用の部屋が設置され、実際にQKD通信が行われるような未来がやってくるといいなと思います。その中で、我々の理論の成果がQKDの安全性を支える根幹の技術として、実は裏で使われている。そんな未来が来れば嬉しいですね。

――研究活動の範となるような、尊敬する人はいますか？

学生の頃から研究指導いただいている玉木潔教授（富山大学）です。常にご自身の研究テーマの軸を持って研究されている姿勢に刺激を受けてきました。また、一緒に研究を進める共同研究者を大事にする姿勢は素晴らしく、見習うべきスタンスだと思います。研究は共同研究者との議論が不可欠ですし、特に学際領域の研究は、様々なバックグラウンドを持つ研究者の協力なしには難しいものがあります。異分野の研究者とのコミュニケーションは簡単ではないこともありますが、そこで相手へのリスペクトを忘れずに、コミュニケーションを取り続けていく姿勢が大事だと思っています。その点、国内外の色々な方々と共同研究されてきた玉木教授の姿勢から多くのことを学びました。玉木教授との出会いがなければ、おそらく博士課程にも進学せず、研究者になることはなかったかもしれませんね。

今後の量子人材に向けてのメッセージ

――最後に、量子情報の世界に興味をもつ「未来の研究者」に向けてメッセージをお願いします。

自分が研究したいと思うこと、研究をする上で大事だと思う哲学を、周りの意見に流されずに持ち続けて欲しいです。周りの大人は、いろんな“おとな”の意見を言うものです。時には耳を傾ける必要があるかもしれませんが、まずは、自分の信念をもって研究を進めて欲しいです。自分の直感を信じて努力すれば、チャンスが巡ってくるものです。自分がやりたい研究テーマを、自分が信じたやり方で挑戦して「新しい量子情報分野」を切り開いていってください。