投資
ローンチパッド
CandyDrop
キャンディーを集めてエアドロップを獲得
Launchpool
クイックステーキング
潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のエアドロップを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
NEW
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
NEW
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
もっと
- 人気の話題もっと見る
24.26K 人気度
697.19K 人気度
67.84K 人気度
17.84K 人気度
547.91K 人気度
- 人気の Gate Funもっと見る
- 時価総額:$3.62K保有者数:20.09%
- 時価総額:$3.63K保有者数:20.12%
- 時価総額:$3.58K保有者数:10.00%
- 時価総額:$3.59K保有者数:10.00%
- 時価総額:$3.6K保有者数:10.08%
- ピン
a16z 長文:量子计算が暗号通貨にもたらすリスクとは?
作者 | Justin Thaler, a16z 研究パートナー
翻訳 | GaryMa 吴说区块链
「既存の暗号システムに実質的な脅威をもたらす量子コンピュータ」がいつ登場するかについて、多くの人はしばしば誇張された時間予測を行い、その結果、即時かつ大規模なポスト量子暗号システムへの移行を求める声が高まっている。
しかし、これらの声は早すぎる移行に伴うコストとリスクを見落としていることが多く、また、異なる暗号原語が直面するリスク像は全く異なることも無視されている。
ポスト量子暗号はコストが高くても、直ちに展開すべきだ: 「収集して後で解読」(Harvest-now-decrypt-later、HNDL)攻撃はすでに発生しており、量子コンピュータが本当に到来したとき、たとえそれが数十年後であっても、今日暗号化された敏感なデータは依然として価値を持つ。ポスト量子暗号は性能オーバーヘッドと実装リスクを伴うが、長期的な秘密保持が必要なデータにとって、HNDL攻撃は避けられない選択肢となる。
一方、ポスト量子署名の考慮は全く異なる。HNDL攻撃の影響を受けず、そのコストとリスク(大きなサイズ、性能オーバーヘッド、未成熟な実装、潜在的な脆弱性)は、慎重に進めるべきであり、即時の展開は適切ではない。
これらの違いは非常に重要だ。さまざまな誤解はコストと利益の分析を歪め、チームがより重要なセキュリティリスク—例えば脆弱性そのもの—を見落とす原因となる。
ポスト量子暗号体系への成功的な移行の真の課題は、「緊急性」と「実際の脅威」を一致させることだ。以下では、量子脅威とそれが暗号学(暗号化、署名、ゼロ知識証明を含む)に与える影響に関する一般的な誤解を解き明かし、特にこれらの問題がブロックチェーンに与える影響に焦点を当てる。
私たちは現在、どのような時点にいるのか?
2020年代に「実質的な脅威をもたらす量子コンピュータ(CRQC)」の出現可能性は極めて低いと考えられているが、いくつかの注目すべき高調の主張も存在する。
ps:暗号学に実質的な脅威をもたらす量子コンピュータ/cryptographically relevant quantum computerは、以降「CRQC」と略す。
ここでいう「実質的な脅威をもたらす量子コンピュータ」とは、フォールトトレラントで誤り訂正された量子コンピュータであり、十分な規模でShorアルゴリズムを実行でき、合理的な時間内に楕円曲線暗号やRSA(例:最大1か月の連続計算でsecp256k1やRSA-2048を破ることができる)を攻撃できるものを指す。
公開されたマイルストーンやリソース評価によると、そのような量子コンピュータからはまだ遠い未来だ。いくつかの企業はCRQCが2030年、あるいは2035年までに出現する可能性を主張しているが、公開された進展はこれらの主張を裏付けていない。
背景として、現在のアーキテクチャ—イオントラップ、超伝導量子ビット、中性原子システム—には、RSA-2048やsecp256k1を攻撃するために必要な数十万から数百万の物理量子ビットに近い量子計算プラットフォームは存在しない(具体的な数は誤差率と誤り訂正方式に依存する)。
制約要因は単に量子ビットの数だけでなく、ゲートの忠実度、量子ビットの連結性、深い量子アルゴリズムを実行するために必要な持続可能な誤り訂正回路の深さも含まれる。いくつかのシステムは既に1000を超える物理量子ビットを持つが、その数だけでは誤解を招く。これらのシステムは暗号計算に必要な連結性やゲート忠実度を欠いている。
最近のシステムは、量子誤り訂正の開始に必要な物理誤差レベルに近づいているが、持続可能な誤り訂正回路の深さを持つ論理量子ビットを超えている例はなく、実際にShorアルゴリズムを動かすために必要な数千の高忠実度・深い回路の論理量子ビットには程遠い。理論的には量子誤り訂正は可能だが、暗号解読に必要な規模に到達するには大きなギャップが存在する。
要するに、量子ビットの数と忠実度が同時に数桁向上しない限り、「実質的な脅威をもたらす量子コンピュータ」はまだ遠い未来だ。
しかし、企業のプレスリリースやメディア報道は誤解を招きやすい。よくある誤解は以下の通り:
「量子優位性」を示すデモを実現したと主張するが、これらはしばしば人為的に構築された問題に対して行われている。これらの問題は実用性のために選ばれたのではなく、既存のハードウェア上で動作し、顕著な量子加速を示すことができるためであり、その点は宣伝で意図的に弱められることが多い。
数千の物理量子ビットを実現したと主張する企業もあるが、これは通常、量子アニーリングマシンを指し、Shorアルゴリズムを動かすためのゲートモデルの量子コンピュータではない。
「論理量子ビット」の概念を無造作に使う例も多い。物理量子ビットは非常にノイズが多いため、量子アルゴリズムには論理量子ビットが必要だ。前述の通り、Shorアルゴリズムには数千の論理量子ビットが必要だ。誤り訂正を用いると、1つの論理量子ビットは通常、数百から数千の物理量子ビットで構成される(誤差率に依存)。しかし、一部の企業はこの用語を乱用し、例えば距離2の符号化を用いて、各論理ビットに2つの物理ビットだけで48の論理量子ビットを実現したと主張している。これは明らかに不合理であり、距離2の符号化は誤りを検出できるだけで誤り訂正はできない。暗号解読に使われる耐故障論理量子ビットは、数百から数千の物理量子ビットを必要とする。
より一般的に、多くの量子計算のロードマップでは、「論理量子ビット」がClifford操作のみをサポートする量子ビットを指すことが多い。これらの操作は古典的なアルゴリズムで効率的に模倣できるため、Shorアルゴリズムの実行には不十分だ。Shorには数千の誤り訂正されたTゲート(または非Cliffordゲート)が必要だ。
したがって、たとえあるロードマップが「ある年Xに論理量子ビットが千を超える」と宣言しても、その企業が同じ年にShorアルゴリズムを実行して従来の暗号を破ると予測しているわけではない。
これらの誤った表現は、「我々はどれだけ近いのか」という一般の認識(さらには専門家の間でも)を歪めている。
それでも、一部の専門家は進展に励ましの声を上げている。例えば、Scott Aaronsonは最近、「現在のハードウェアの進展は驚くべき速さであり、次の米国大統領選までにShorアルゴリズムを動かせる耐故障量子コンピュータが実現する可能性がある」と述べている。
しかし、Aaronsonはその後、「これは暗号学的に有効な量子コンピュータを意味しない」と明言している。つまり、15=3×5の素因数分解のような、紙とペンでも計算できる小さな数の分解に成功しただけでも、その可能性があるとみなすということだ。これは、規模の点では微小なShorアルゴリズムの実行を意味し、暗号解読には程遠い。以前の15の量子分解は簡略化された回路を用いていたが、完全な耐故障Shorではない。さらに、15の分解実験を続けているのは、モジュール15の算術計算が非常に単純であり、より大きな数(例:21)の分解ははるかに難しいためだ。したがって、21の分解を主張する量子実験は、ヒントや近道に依存していることが多い。
要するに、RSA-2048やsecp256k1を破る量子コンピュータが今後5年以内に登場するとの予測には、公開された進展は何も裏付けていない。
10年という予測も依然として楽観的だ。実際の暗号学的に重要な量子コンピュータとの距離は非常に遠いため、進展に興奮しつつも、10年以上のスケジュールと並行して考えることができる。
では、米国政府が2035年を政府システム全体のポスト量子暗号体系への移行目標年としたのは何を意味するのか?私は、これは大規模な移行を完了するための合理的なタイムラインだと考えている。ただし、これは「CRQCが出現する」という予測ではない。
HNDL攻撃はどのようなシナリオに適用されるのか(また、適用されないシナリオは何か)?
「収集して後で解読」(Harvest now, decrypt later、HNDL)攻撃は、攻撃者が現在すべての暗号通信データを保存し、将来「実質的な脅威をもたらす量子コンピュータ」が出現したときに解読することを目的とするものだ。国家レベルの攻撃者はすでに米国政府の暗号通信を大規模にアーカイブし、将来の量子コンピュータの出現に備えていることは間違いない。これが、暗号体系は今日から移行すべき理由の一つだ—少なくとも10年以上秘密を保持すべき主体にとって。
しかし、デジタル署名—すべてのブロックチェーンが依存する技術—は暗号化と異なり、「後から攻撃可能な秘密性」は存在しない。
言い換えれば、量子コンピュータが本当に到来したとき、その瞬間から偽造デジタル署名が可能になるが、過去の署名は暗号化されたメッセージのように「秘密を隠す」ものではない。署名がCRQC以前に生成されたことが確認できれば、それは偽造ではあり得ない。
したがって、暗号体系に比べて、後量子デジタル署名への移行はそれほど緊急ではない。
主要プラットフォームの動きもこれを反映している:ChromeやCloudflareはWebトランスポート層セキュリティ(TLS)暗号にハイブリッドX25519+ML-KEMを導入している。[この記事では読みやすさのためにこれらを「暗号方式」と呼ぶが、厳密にはTLSなどの安全通信プロトコルは公開鍵暗号ではなく、鍵交換や鍵封入メカニズムを使用している。]
「ハイブリッド」とは、ポスト量子安全な方式(ML-KEM)と既存の方式(X25519)を併用し、両者の安全性を確保することを意味する。この方式は、ML-KEMが現状の計算機に対して安全でないことが証明された場合でも、X25519が従来の安全性を提供し続けることを狙っている。
AppleのiMessageもPQ3プロトコルに類似のハイブリッドポスト量子暗号を導入しており、SignalもPQXDHやSPQRプロトコルで同様の仕組みを実現している。
一方、Webインフラの主要部分における後量子デジタル署名の移行は、「CRQCの出現に近づいたとき」に遅れて始まる見込みだ。これは、現行の後量子署名方式が明らかに性能低下をもたらすためだ(後述)。
zkSNARKs—ゼロ知識、簡潔、非対話型証明は、ブロックチェーンの将来の拡張性とプライバシーの核心であり、量子脅威に対してもデジタル署名と類似の性質を持つ。理由は、たとえ一部のzkSNARKが後量子安全性を持たなくても(現行の暗号と署名と同じ楕円曲線暗号を使用しているため)、その「ゼロ知識」性質は依然として後量子安全だ。
ゼロ知識の性質は、証明が秘密の証人に関する情報を漏らさないことを保証し——量子攻撃者に対しても——、事前に「収集」され、将来解読される秘密データは存在し得ない。
したがって、zkSNARKはHNDL攻撃の影響を受けない。今日生成される非後量子のデジタル署名と同様に、証明がCRQC以前に作成されたものであれば、それは信頼できる(証明された命題が真であることを保証)——楕円曲線暗号を使用していても。CRQC出現後に、攻撃者は「見かけ上有効だが実際には誤った」証明を作り出す可能性がある。
これがブロックチェーンにとって何を意味するのか
ほとんどのブロックチェーンはHNDL攻撃の対象にはならない:多くの非プライバシー型チェーン—例えば今日のビットコインやイーサリアム—は、取引の認証に非後量子暗号を使用しており、暗号化ではなく署名を用いている。
再度強調すると、デジタル署名はHNDL攻撃の対象にならない:「収集して後で解読」攻撃は暗号化データにのみ適用される。例えば、ビットコインのブロックチェーンは公開されている;量子脅威は署名の偽造(秘密鍵を導き出して資金を盗むこと)にあり、既に公開された取引データの解読ではない。つまり、HNDL攻撃は現行のブロックチェーンに即時の暗号学的緊急性をもたらさない。
残念ながら、一部の信頼できる機関(米連邦準備制度を含む)は、誤ってビットコインがHNDL攻撃に脆弱だと主張しており、この誤解はポスト量子暗号への移行の緊急性を過大評価させている。
しかし、「緊急性の低下」は、ビットコインが無期限に待つことを意味しない。プロトコルのアップグレードには社会的調整と合意が必要であり、これには数年かかる。ビットコインの特有の課題については、後述。
ただし、例外的にプライバシーコインは、多くが暗号化やその他の方法で受取人や金額を隠しているため、ユーザープライバシーはHNDL攻撃に曝されている。これらのコインは、量子コンピュータが楕円曲線暗号を破ることができれば、事後的に匿名化が困難になるリスクが高い。
この種のプライバシーコインにとって、攻撃の深刻さは設計次第だ。例えば、Moneroの楕円曲線ベースのリング署名とキーイメージ(ダブル支払いを防ぐための一意のリンク可能なタグ)では、公開台帳だけで将来的に取引の流れを再構築できる。一方、他のプライバシーコインでは、破壊の程度はより限定的だ——詳細はZcashの暗号エンジニア兼研究者Sean Boweの議論を参照。
もし、「将来の量子コンピュータによって取引が露出しないこと」が非常に重要なら、プライバシーコインは早急にポスト量子暗号原語(またはハイブリッド方式)に移行すべきだ。あるいは、链上に解読可能な秘密を置かない設計にすべきだ。
ビットコインの特殊な課題:ガバナンスと放棄されたコイン
ビットコインにとって、後量子署名への移行を緊急にすべき現実的な理由は二つある。これらは量子技術そのものとは無関係だ。第一はガバナンスの遅さ:ビットコインの進化は非常に遅い。議論の余地のある問題について、コミュニティが合意に達しない限り、破壊的なハードフォークが引き起こされる可能性がある。
第二は、ビットコインのポスト量子署名への切り替えはパッシブな移行では完了しないことだ。コインの所有者が積極的に資金を移動しなければならない。これにより、放棄されたが量子脆弱性にさらされているコインは保護されない。推定では、量子脆弱で既に放棄されたBTCは数百万枚にのぼり、2025年12月時点の価格で数千億ドルの価値がある。
しかし、量子脅威がビットコインの「一夜にして壊滅的な崩壊」をもたらすことはなく、むしろ選択的かつ段階的な攻撃の展開になる可能性が高い。量子コンピュータは一度にすべての暗号方式を破るわけではなく、Shorアルゴリズムは個別の公開鍵をターゲットにして解読を行う。初期の量子攻撃はコストが非常に高く、遅い。したがって、量子コンピュータが単一のビットコインの署名鍵を破ることができた場合、攻撃者は最も価値の高いウォレットから狙い始める。
さらに、アドレスの再利用を避け、Taprootアドレス(公開鍵を直接公開しない)を使用しなければ、プロトコル自体が未アップグレードでも基本的に保護される。公開鍵は、支出前はハッシュ関数の背後に隠されているためだ。最終的に支出取引をブロードキャストするときに初めて公開され、その瞬間に「リアルタイムの競争ウィンドウ」が生まれる。正直なユーザーは取引をできるだけ早く確認させる必要があり、量子攻撃者は取引確認前に秘密鍵を見つけて資金を奪おうと試みる。したがって、最も脆弱なのは、長年公開された公開鍵を持つコイン——早期のP2PK出力、アドレスの再利用、Taprootの保有分だ。
放棄された脆弱なコインについては、現状、簡単な解決策は存在しない。選択肢としては:
ビットコインコミュニティが合意し、「旗日」(flag day)を設定し、その日以降に未移行のコインは廃棄とみなす。
放棄され、量子リスクに曝されているコインを、CRQCを持つ者が奪取するのを許す。
2つ目の選択肢は、法的・安全上の重大な問題を引き起こす。量子コンピュータを使って秘密鍵なしに資金を占有することは——合法的所有権や善意を主張しても——多くの法域で窃盗やコンピュータ詐欺に該当する。
また、「放棄された」状態は非アクティブ性に基づく仮定だが、実際にこれらのコインの所有者が秘密鍵を失ったかどうかは誰も確信できない。たとえ誰かがこれらのコインを所有していた証明を持っていても、それを破壊して再取得する正当な権利を持つとは限らない。この法律的な曖昧さにより、放棄されて量子リスクに曝されたコインは、違法行為を無視して悪意ある攻撃者の手に渡る可能性が高い。
もう一つの特殊な問題は、ビットコインの非常に低い取引スループットだ。最終的にすべての量子リスクに曝された資金をポスト量子安全なアドレスに移行するには、現行の取引速度では数か月かかる。
これらの課題により、ビットコインは今からポスト量子移行を計画すべきだ——2030年以前にCRQCが出現する可能性が高いからではなく、ガバナンスの調整、合意形成、そして数千億ドルの資金の実際の移行に必要な技術的物流に数年を要するからだ。
ビットコインにとっての量子脅威は現実的だが、その時間的プレッシャーはビットコインの構造的制約から来ており、量子コンピュータの近さからではない。他のブロックチェーンも資金の量子脆弱性に直面しているが、ビットコインは特にユニークだ。最も古い取引はpay-to-public-key(P2PK)出力であり、公開鍵を直接ブロックチェーンに露出させているため、多くのBTCが量子脅威に曝されている。その技術的歴史、長いチェーンの歴史、価値の集中、スループットの低さ、ガバナンスの硬直性が、問題をより深刻にしている。
ただし、上述の脆弱性はビットコインのデジタル署名の暗号的安全性に限定されており、ビットコインの経済的安全性には関係しない。ビットコインの経済的安全性は、プルーフ・オブ・ワーク(PoW)コンセンサスに由来し、これは署名方式ほど量子攻撃を受けやすくない。理由は以下の通り:
PoWはハッシュ関数に依存しており、最大でもGroverの探索アルゴリズムによる二次的な加速にとどまり、Shorのアルゴリズムによる指数的な加速は受けない。
Grover探索の実行コストは非常に高いため、量子コンピュータがビットコインのPoWにおいて有限の加速を得ることはほぼ不可能。
たとえ量子計算機が大きな加速を実現しても、その効果は大規模マイナーが相対的に有利になるだけで、ビットコインの経済的安全性の根幹を破壊することはない。
後量子署名のコストとリスク
なぜブロックチェーンは急いで後量子署名を展開すべきでないのかを理解するには、性能コストと、後量子安全性に対する信頼がまだ進化段階にあることの両方を考慮する必要がある。
多くの後量子暗号は、以下の五つの方法のいずれかに基づいている:ハッシュ、符号(誤り訂正符号)、格子、多変数二次方程式(MQ)、アイソジェニー。
なぜ五つの異なる方法があるのか?それは、どの後量子原語の安全性も、特定の数学的問題を効率的に解けないと仮定しているからだ。問題の構造が「強い」ほど、より効率的な暗号プロトコルを構築できる。
しかし、これは両刃の剣だ。より多くの構造は、攻撃面を拡大し、アルゴリズムの突破を容易にする可能性もある。これにより、根本的な緊張関係が生まれる——より強い仮定はより良い性能をもたらすが、その代償として潜在的な安全性の脆弱性(仮定が誤りである可能性)が高まる。
全体として、安全性の観点から最も保守的で堅実なのはハッシュに基づく方式だ。なぜなら、量子計算機がこれらを効率的に攻撃できないと最も確信できるからだ。ただし、その性能は最も劣る。例えば、NISTの標準化されたハッシュ署名方式は、最小パラメータ設定でも署名サイズが7〜8 KBに達する。一方、楕円曲線に基づくデジタル署名はわずか64バイトであり、約100倍小さい。
格子方式は、現在の展開の重点分野だ。NISTが選定した唯一の暗号方式と、3つの署名アルゴリズムのうち2つは格子に基づいている。その一つ、ML-DSA(旧称Dilithium)の署名サイズは、128ビットの安全レベルで2.4 KB、256ビットの安全レベルで4.6 KB——これは現在の楕円曲線署名の約40〜70倍に相当する。もう一つの格子方式Falconは署名がより小さく(Falcon-512は666バイト、Falcon-1024は1.3 KB)、しかし複雑な浮動小数点演算に依存しており、NISTも実装上の大きな課題とみなしている。Falconの設計者の一人、Thomas Porninはこれを「これまでに実装した中で最も複雑な暗号アルゴリズム」と呼んでいる。
安全性の実現に関して、格子署名は楕円曲線方式よりもはるかに難しい。ML-DSAは、より多くの敏感な中間値と複雑な拒否サンプリングロジックを含み、これらはサイドチャネルや故障攻撃の防御を必要とする。Falconは、一定時間の浮動小数点演算の複雑さを増し、既に複数のサイドチャネル攻撃により秘密鍵が復元されている。
これらの問題によるリスクは即座に存在し、「実質的な脅威をもたらす量子コンピュータ」とは全く異なる。より高性能な後量子暗号方式に対して慎重である理由は十分だ。歴史的に先行していたRainbow(MQに基づく署名)やSIKE/SIDH(アイソジェニーに基づく暗号)は、「古典的に」破られている——つまり、現代の計算機によって破壊されたものであり、量子計算機によるものではない。
これらは、NISTの標準化プロセスがかなり進んだ段階で起きている。これは健全な科学的プロセスの反映だが、早すぎる標準化や展開は逆効果をもたらす可能性もある。
前述の通り、インターネットの基盤インフラは慎重に署名移行を進めている。これは重要だ。なぜなら、インターネットの暗号移行は通常、数年かかるからだ。MD5やSHA-1のようなハッシュ関数は、標準化団体によって正式に廃止されて久しいが、実際の移行は今も続いており、一部の場面では未だに完全に置き換わっていない。これらのアルゴリズムは完全に破られており、「将来的に破られる可能性がある」だけではない。
ブロックチェーンとインターネット基盤の固有の課題
幸運なことに、オープンソースコミュニティが管理するブロックチェーン(例:Ethereum、Solana)は、従来のインターネット基盤よりも迅速にアップグレードしやすい。一方、インターネット基盤は頻繁な鍵のローテーションにより、攻撃面の変化が量子コンピュータの追随速度を超えることもある——しかし、ブロックチェーンはこれを持たない。なぜなら、コインとその鍵は無期限に曝露される可能性があるからだ。ただし、全体として、ブロックチェーンもインターネットの慎重な方法を参考に、署名移行を進めるべきだ。両者ともに、署名タイプのHNDL攻撃の影響は受けず、早すぎる移行は未成熟なポスト量子方式のコストとリスクを増大させる。
さらに、ブロックチェーンには、特に「大量署名の高速集約」の必要性など、早期移行を特に危険かつ複雑にする課題もある。現在広く使われているBLS署名は、その高効率な集約能力で人気だが、これらは後量子安全ではない。研究者はSNARKに基づく後量子署名集約方式の探索を進めている。進展は期待できるが、まだ初期段階だ。
SNARK自体については、ハッシュに基づく後量子構造に焦点が当てられている。しかし、重要な変革が間もなく訪れる。私は、今後数か月から数年の間に、格子方式が非常に魅力的な代替ルートになると確信している。それらは、より短い証明長さなど、多くの側面で優れた性能を提供するだろう——例えば、格子署名はハッシュ署名よりも短い。
現時点でより深刻な問題は、安全な実装だ。
今後数年間、脆弱性は「実質的な脅威をもたらす量子コンピュータ」よりもはるかに現実的で深刻になる。特に、SNARKや後量子署名の複雑な原語においては、バグや実装攻撃(サイドチャネル、故障注入)が、CRQCよりもはるかに差し迫ったリスクとなる。今すぐにでも、監査、ファジング、形式検証、多層防御などの対策に投資すべきだ——量子脅威への懸念が、脆弱性というより緊急の実装リスクを覆い隠さないように。
コミュニティは、SNARKの脆弱性の継続的な特定と修正、そして後量子署名の堅牢化に取り組み続ける必要がある。早すぎる移行は、より良い方式が出現したり、現行の方式に重大な実装脆弱性が見つかったりした場合に、再度の移行を余儀なくされるリスクを伴う。
私たちはどうすべきか?7つの提言
前述の現実を踏まえ、以下の提言を開発者から政策立案者までのさまざまな関係者に向けて示す。基本的な原則は、「量子脅威を真剣に受け止めるが、2030年前に実質的な脅威をもたらす量子コンピュータが必ず出現するという前提に基づいて行動しないこと」だ。現状の技術進展は、その前提を支持していない。しかし、今私たちにできる、またすべき準備は多くある。