AESとは？ わかりやすく10分で解説

AES（Advanced Encryption Standard）とは？

AES（Advanced Encryption Standard）は、現代の情報通信で広く使われている共通鍵暗号（秘密鍵暗号）の代表的な標準アルゴリズムです。通信の盗聴や改ざん、端末・ストレージからの情報漏えいといったリスクに対して、データを暗号化して内容を読み取れない形にする目的で利用されます。

この記事では、AESが「何を解決する暗号なのか」を起点に、仕組みの基本、鍵長（128/192/256ビット）の意味、代表的な利用場面（Wi-Fi、TLS、ファイル/ディスク暗号化など）を押さえます。加えて、暗号はアルゴリズムだけでは安全にならないため、運用でつまずきやすい点（鍵管理、モード選択、乱数、実装）もあわせて解説します。

AESとは何か？

AESは、米国国立標準技術研究所（NIST）が公募・評価プロセスを経て標準化した暗号方式で、ブロック暗号に分類されます（AESはNISTのFIPS 197として標準化されています）。AESそのものは「暗号アルゴリズム（方式）」であり、特定の製品やツールの名称ではありません。現在では政府機関だけでなく、企業ネットワーク、クラウド、スマートフォン、Webサービスなど、幅広い分野で共通基盤として使われています。

AESは共通鍵暗号の一種で、暗号化と復号に同じ秘密鍵（共通鍵）を用います。鍵（キー）を共有できる関係であれば高速に暗号化できるため、通信やストレージ暗号化の「本体」の暗号として適しています。一方で、鍵を安全に配る・保管する仕組みが弱いと、暗号が強くても全体は破綻します。

AESには128ビット、192ビット、256ビットの3種類の鍵長が規定されており、一般に鍵長が長いほど総当たり攻撃（全探索）への耐性は高くなります。ただし「どれを選ぶか」は場面によって判断が必要で、単純に長ければ良い、という話でもありません（後述します）。

AESの歴史と普及の背景

AESは2001年に標準として確立され、旧来のDES（56ビット鍵）では現実的に解読され得る、という時代背景を受けて置き換えが進みました。標準化され、仕様が公開され、実装が多く検証されてきたことが、長期にわたり採用され続けている大きな理由です。

またAESはソフトウェアでも高速に動作し、さらにCPUの暗号命令（AES-NIなど）や各種アクセラレーションにより、実運用での負荷を抑えながら強度を確保しやすい点も普及を後押ししました。暗号の世界では「強いが遅い」方式は採用されにくいため、安全性と実装・運用の現実性を両立できたことは重要な要素です。

AESの利用目的とは？

AESが使われる目的は大きく分けて通信の保護とデータ保存の保護です。

• 通信の保護：盗聴されても読めない（機密性）状態を作る
• 保存データの保護：端末やディスクが盗難・流出しても、内容を読み取られにくくする

なお、「改ざんされていないこと（完全性）」は暗号化だけでは保証できない点に注意が必要です。完全性が必要な場面では、認証（MAC）や認証付き暗号（AEAD）など、改ざん検知の仕組みと組み合わせます。

典型例として、Wi-FiのWPA2（CCMP）ではAESが採用されています。さらにWebの暗号化（TLS）でも、実際のデータ暗号化（レコード保護）にAESが用いられる構成は一般的です。ただしTLSでは、AESは「暗号スイートの一部」であり、鍵交換や認証（証明書）など、複数要素と組み合わさって全体が成立します。

またファイル暗号化やディスク暗号化でもAESはよく使われますが、ここでも「AESを使えば安全」という単純な話ではなく、鍵をどう保護するか（TPM、パスフレーズ、鍵管理システム等）が実際の安全性を左右します。

暗号化技術全般について（AES理解の前提）

暗号化とは、元のデータ（平文）を、一定のルールと鍵を用いて変換し、第三者に読めない形（暗号文）にすることです。暗号化で守れるのは主に「内容（機密性）」であり、通信相手の正当性の確認（認証）や、改ざんされていないことの保証（完全性）は、暗号化だけでは足りない場合があります。

暗号方式は大きく共通鍵暗号と公開鍵暗号に分かれます。AESは共通鍵暗号で、高速に大量データを暗号化できます。一方、公開鍵暗号は鍵共有が難しい問題を解決できますが、一般に処理が重いため、実務では「公開鍵暗号で共通鍵を安全に共有し、データ本体はAESで暗号化する」というハイブリッド構成がよく使われます（TLSはこの代表例です）。

AESの特徴

AESは強度だけでなく、実装のしやすさや検証の積み重ねも含めて評価されています。ここでは、AESの特徴を「何が強みなのか」「どこで間違えやすいのか」まで踏み込み、使いどころを判断できる形でまとめます。

高いセキュリティ性能とその理由

AESが高い評価を受ける理由は、設計として差分解析や線形解析などの代表的な暗号解析手法に耐える構造を持ち、かつ長年にわたって多様な研究・実装・利用の中で広範な検証が積み重なってきた点にあります。

AESは内部で複数の変換を繰り返す「SPN（Substitution-Permutation Network）」型の構造を採用しています。代表的な操作として、SubBytes（置換）、ShiftRows（行シフト）、MixColumns（列混合）、AddRoundKey（鍵とのXOR）があり、これらをラウンドとして繰り返すことで、平文のわずかな変化が暗号文全体に広がる拡散と、入力と出力の関係が単純にならない混乱を実現します。

ただし、AESが強いのは「方式として強い」ことが前提で、運用での失敗（鍵漏えい、弱い乱数、誤ったモード、脆弱な実装）に対して万能ではありません。現場で起きる「AESを使っているのに事故が起きた」の多くは、アルゴリズム以外の部分が原因です。

3つの鍵長（128/192/256ビット）の意味

AESの鍵長は128、192、256ビットの3種類です。鍵長が長いほど総当たり攻撃の探索空間が増えるため、一般には長い方が強くなります。

ただし、実運用では次のような判断が現実的です。

• AES-128：性能と強度のバランスがよく、一般用途で採用されることが多い
• AES-256：より長期の機密性や規制・ポリシー要件（「256を要求」など）に合わせたい場合に選ばれる

また、鍵長に応じてラウンド数も変わります（AES-128は10ラウンド、AES-192は12ラウンド、AES-256は14ラウンド）。重要なのは、鍵長だけではなく、鍵の生成・保管・ローテーションや、モード（CBC/CTR/GCMなど）の選択と設定が同じくらい重要だという点です。鍵長を256にしても、鍵が漏れたり、同じIV/ノンスを使い回したりすれば安全性は崩れます。

AESの変換プロセスとフロー

AESは128ビットのブロック（固定長）を単位に処理します。内部では状態（state）と呼ばれる16バイト（4×4）の並びとして扱い、ラウンドごとに変換を繰り返します。

• SubBytes：各バイトをS-boxで置換し、非線形性を導入する
• ShiftRows：行単位でバイトをずらし、位置関係を崩す
• MixColumns：列単位で混合し、拡散を強める（※最終ラウンドでは省略される）
• AddRoundKey：ラウンド鍵とXORし、鍵に依存した変化を加える

この「繰り返し」が、入力と出力の関係を直感的に追いにくくし、解析を難しくします。ここでのポイントは、AESは「複雑だから強い」というより、暗号解析に耐えるための構造上の性質を満たすよう設計されている、という点です。

ブロック暗号とストリーム暗号の違い

AESはブロック暗号で、固定長（128ビット）のまとまりを暗号化します。一方、ストリーム暗号はデータを連続的に処理し、擬似乱数列（キーストリーム）とXORする形で暗号化する方式が一般的です。

ただし、実務では「ブロック暗号＝常に安全」「ストリーム暗号＝弱い」という単純な比較はできません。ブロック暗号はそのまま使うのではなく、暗号利用モード（CBC、CTR、GCMなど）を通して「連続データの暗号化」に適用します。モードの選択と設定を誤ると、AESそのものが強くても安全性は落ちます。

近年よく使われるAES-GCMは、暗号化（機密性）だけでなく、改ざん検知（完全性）も同時に提供できる「AEAD（Authenticated Encryption with Associated Data）」として扱われ、実装・運用の観点でも採用される場面が増えています。

AESの暗号化・復号プロセス

AESの暗号化・復号は「暗号化の逆操作を適用すれば復号できる」という対称性を持ちます。ただし、実装の観点では「暗号化と復号が全く同じ処理」というわけではなく、復号側では逆変換（InvSubBytes、InvShiftRows、InvMixColumnsなど）を用いる点に注意が必要です。

データのブロック分割と置換

AESはデータを128ビット（16バイト）単位で処理します。まず入力ブロックを状態（state）として扱い、SubBytesにより各バイトを置換します。これは暗号に非線形性を与える要素で、単純な数式で関係を表しにくくするために重要です。

並べ替えと混合

次にShiftRowsで位置関係を変え、MixColumnsで列方向に混合します。ここでの狙いは、元データの一部の変化が暗号文の多くの部分に影響するようにし、推測や部分解析がしにくい状態を作ることです。

ラウンド鍵の追加

AddRoundKeyでは、ラウンド鍵とXORを行い、鍵に依存した変化を加えます。AESはこのラウンドを複数回繰り返します（鍵長により回数が異なります）。「どの鍵長でも同じ強度」というわけではなく、鍵長に応じたラウンド設計により強度を高めています。

復号のプロセスで注意すべき点

復号は暗号化の逆で、逆変換を適用して元のデータを取り出します。ここで重要なのは、復号の安全性はアルゴリズムの強度だけでなく、鍵の保護とモードの正しい運用に左右される点です。たとえばAES-GCMではノンス（IV）の再利用が致命的になり得るため、生成方法や一意性確保が実務上の要点になります。

AESと他の暗号アルゴリズムとの比較

ここではDES、3DES、RC4などとAESを比較し、「なぜAESが選ばれやすいか」を押さえます。ただし、暗号の評価は時代と用途で変わるため、「安全・危険」を単純に断定せず、どの前提でどう選ぶかを明確にします。

DESとAESの違い

DESは56ビット鍵で、現代の計算資源では総当たり攻撃が現実的になり得るため、機密性の要求がある用途では推奨されにくい暗号です。一方AESは128/192/256ビット鍵を持ち、現代の一般的な前提では総当たりに対して十分な探索空間を確保できます。

またDESは古典的な設計で、標準としての歴史は長いものの、現在の要件（長期機密性、クラウド規模の計算資源、実装の最適化など）に対しては、AESの方が適合しやすいという事情があります。

3DESとAESの比較

3DESはDESを3回適用して強度を補う方式ですが、処理が重く、現代の高速通信・大量データ処理には不利です。さらに標準やガイダンスの更新に伴い、3DESは段階的に非推奨・廃止の方向で扱われる場面が増えています。

そのため「既存システム互換のために残っている」ケースはあっても、新規設計で積極的に選ぶ理由は弱くなっています。性能と採用実績の両面でAESが選ばれやすいのは、この背景が大きいです。

RC4とAESの特性比較

RC4はストリーム暗号で、かつてはWeb（TLS）などでも使われましたが、設計上・運用上の問題から推奨されにくくなりました。ここで重要なのは、RC4が「鍵長を長くできるから安全」という単純な話ではなく、方式の性質や弱点が安全性を左右するという点です。

また「AESは固定長鍵だから安全」という説明は適切ではありません。AESが選ばれるのは、鍵長の選択肢があることに加え、方式として検証が積み重なり、標準的なモード（特にAEAD）と組み合わせて堅牢な構成を作りやすいからです。

AESがより安全と言われる理由

AESが評価される主因は、鍵長だけではなく、暗号設計の堅牢性、公開標準としての検証、実装・最適化の成熟にあります。とはいえ、実務での安全性は「AESを使う」だけで決まらず、次の条件が満たされて初めて期待した強度になります。

• 鍵が十分にランダムで、漏えいしないように保護されている
• モード（GCMなど）とIV/ノンスが正しく運用されている
• 改ざん検知が必要な場面で、認証付き暗号（AEAD）を使っている
• 実装がサイドチャネル等のリスクを考慮している

AESの具体的な利用例と環境

AESは「通信」と「保存」の両方で使われます。ただし、利用シーンごとに「AESがどの層で、どの前提で使われるか」が異なるため、代表例を押さえておくと理解が安定します。

データ通信におけるAESの使用

HTTPSなどのTLS通信では、鍵交換（公開鍵暗号等）で安全に共有した共通鍵を使い、通信データ本体をAESなどで暗号化する構成が一般的です。ここでAESが守るのは「通信内容」であり、通信相手の正当性（サーバ証明書の検証）や、改ざん検知の仕組みとセットで安全性が成立します。

またVPNでも、トンネル内のデータ暗号化にAESが用いられることが多いです。ただし、暗号アルゴリズムが同じでも、認証方式、鍵更新（リキー）、設定不備などで強度は大きく変わります。

無線LANとの関係性

Wi-FiではWPA2でAES（CCMP）が採用され、WPA3でも強度やハンドシェイクの改善が図られています。無線は物理的に傍受されやすいため、暗号化は必須ですが、ここでも「AESを使う」だけでは十分ではありません。

たとえば、弱いパスフレーズ、使い回し、設定ミス（古い暗号方式の許容）、端末管理の不備があると、AESが採用されていても侵害の入口になります。無線LANの安全性を語るときは、暗号方式だけでなく、認証方式と運用（パスワードポリシー、端末制御、ネットワーク分離）がセットです。

ファイル暗号化とAES

ファイル暗号化では、データそのものをAESで暗号化しておき、鍵（または鍵を保護するパスフレーズ）がなければ読めない状態にします。個人用途でも企業用途でも広く使われますが、事故が起きやすいのは「暗号」ではなく鍵の扱いです。

鍵を紛失すれば復元できないことがあり、逆に鍵が漏えいすれば暗号化の意味がなくなります。暗号化を導入するときは「鍵のバックアップ」「アクセス制御」「退職者・委託先の扱い」まで含めて設計する必要があります。

エンタープライズでのストレージ暗号化

企業では、サーバやストレージの暗号化（フルディスク暗号化、DB暗号化、バックアップ暗号化など）にAESが用いられます。このときの実務論点は、暗号化の有無よりも、鍵管理基盤（KMS/HSM）、権限分離、監査ログ、鍵ローテーション、復旧手順の整備です。

特にクラウドでは、サービス側の暗号化（サーバサイド暗号化）と、利用者側の暗号化（クライアントサイド暗号化）で責任範囲が変わります。「どこで暗号化しているか」「鍵は誰が持つか」を明確にしないと、期待したリスク低減につながりません。

AESの利用を安全で効率的に行う方法

AESは強固な暗号ですが、運用と実装を誤ると安全性は簡単に崩れます。ここでは「現場でつまずきやすいポイント」を中心に、AESを安全かつ効率的に使うための考え方をまとめます。

専用ソフトウェアや標準ライブラリの活用

AESを自前実装するのは避け、OSや言語の標準暗号ライブラリ、信頼できる暗号モジュールを利用するのが基本です。暗号は「正しい実装」と「安全な設定」が難しく、独自実装は脆弱性や互換性問題を生みやすいためです。

また、実装面ではCPU命令による高速化が効くことも多く、標準ライブラリを使う方が安全性と性能の両面で有利になるケースが多いです。

鍵管理の重要性とベストプラクティス

AESは共通鍵暗号なので、鍵が漏えいすれば暗号文は復号され得ます。したがって鍵管理は暗号の「本体」です。現場では次の観点が重要になります。

• 鍵の生成：推測可能な文字列ではなく、十分な乱数で生成する
• 鍵の保管：アクセス制御された保管庫、HSM/KMS、TPMなどで保護する
• 鍵の配布：共有経路を暗号化し、権限分離・最小権限で扱う
• 鍵のローテーション：長期固定を避け、更新と無効化の手順を持つ
• 鍵の喪失対策：復旧手順とバックアップ（ただしバックアップ自体も厳重管理）を設計する

「強い暗号を使っているのに漏えいした」ケースの多くは、鍵がログに出た、平文で保管されていた、権限が広すぎた、といった鍵管理の事故です。

モード選択とIV/ノンス運用の重要性

AESはブロック暗号であり、実務では利用モード（CBC/CTR/GCMなど）を選びます。ここは暗号強度に直結します。特に注意点として、モードによってはIV/ノンスの使い回しが致命的になり得るため、生成ルールを明確にして運用する必要があります。

また、暗号化だけでなく改ざん検知が必要な場面では、AES-GCMなどの認証付き暗号（AEAD）を用いることが重要です。暗号化できていても、改ざんを検知できなければ、攻撃者にデータを書き換えられても気づけない場合があります。

常時暗号化の考え方（どこを暗号化するか）

「常時暗号化」という言葉は便利ですが、実務では「どの状態のデータを暗号化するか」を具体化しないと形骸化します。たとえば次のように整理できます。

• 保存時（at rest）：ディスク、DB、バックアップ、ログ、クラウドストレージ
• 転送時（in transit）：TLS、VPN、内部API通信、管理系通信
• 利用時（in use）：復号後のメモリ上データ、画面表示、デバッグ出力

AESは保存時・転送時で強力な手段になりますが、「利用時」の漏えい（画面撮影、権限過多、マルウェア、ログ出力など）は別対策が必要です。暗号化を導入する目的（盗難対策なのか、内部不正抑止なのか、外部盗聴対策なのか）を明確にしたうえで、適用範囲を決めることが重要です。

最後に：暗号は“方式”より“設計と運用”で決まる

AESは強固で実績のある暗号方式ですが、暗号の強さがそのままシステムの強さにはなりません。鍵管理、モード選択、乱数、認証やアクセス制御、ログ設計などが揃って初めて、AESの強度が意味を持ちます。

AESを「採用しているか」だけでなく、「どのように使っているか」を説明できる状態にすることが、セキュリティの判断力を高める近道です。