コンテンツに移動
セキュリティ & アイデンティティ

Intel CPU で Confidential VMs を使用: 新しいインテリジェントな保護

2023年9月27日
Google Cloud Japan Team

※この投稿は米国時間 2023 年 9 月 20 日に、Google Cloud blog に投稿されたものの抄訳です。

コードを変更することなく、特に機密性の高いコンピューティング ワークロードをクラウドで処理したいとお考えの企業のために、私たちは最新のハードウェア ベースのセキュリティ テクノロジーを活用した Confidential Virtual Machines(VM)を提供しています。

Intel とのパートナーシップにより、Google Cloud は新しい C3 マシンシリーズの Confidential VMs を拡張し、第 4 世代インテル Xeon スケーラブル CPU を使用するとともに、Intel Trust Domain Extensions(インテル TDX)テクノロジーを活用しています。現在、限定公開プレビュー版で利用できるこれらの次世代 Confidential VMs は、Google の Confidential Computing プロダクト ポートフォリオを拡大してさまざまなハードウェア ベンダーを含めることで、ワークロードを他の VM、さらにはクラウド プロバイダ自体から暗号的に分離する際に、顧客により多くの選択肢を提供できます。

Intel でシステム アーキテクチャおよびエンジニアリング担当バイス プレジデント兼ゼネラル マネージャーを務める Anil Rao 氏は、次のように述べています。「当社における Confidential Computing の目標は、機密データや規制対象データであっても、企業がデータアセットの価値を最大限に引き出せるよう支援することです。インテル TDX を搭載した Google Cloud の最新の C3 マシンシリーズは、データを保護し、プライバシーとコンプライアンスを強化しながら、高度な分析と AI ソリューションに顧客が求めるセキュリティとパフォーマンスを提供します。」

Confidential Computing はデータの保護にいかに役立つのか

Confidential Computing とは、ハードウェアベースのテクノロジーにより使用中のデータを保護するためのソリューションです。Confidential VMs は Compute Engine VM の一種で、Confidential Computing を使用してデータとアプリケーションの機密性と暗号化が使用中も保持されるようにします。お客様はセキュリティ戦略の一環として Confidential VMs を使用できるため、処理中にデータやワークロードが漏洩することはありません。これはすべて、アプリケーションのコードを変更することなく行えます。また、機密性と整合性を維持するために保存データや転送中のデータの暗号化がよく使用されていますが、Confidential Computing によって実行時のデータを暗号化し、さらなる保護を提供できます。

Confidential VMs を最新の汎用 C3 マシンシリーズで利用できるようにすることで、お客様は第 4 世代インテル Xeon スケーラブル プロセッサのエンタープライズ グレードのパフォーマンスと信頼性を獲得すると同時に、ワークロードをシームレスに保護することができます。C3 マシンシリーズは業界屈指のコスト パフォーマンスを実現しており、CPU ベースの AI と ML のトレーニングや推論、高トラフィックのウェブ、アプリ、広告サーバー、データベース、データ分析など、さまざまなワークロードに適しています。

Ubuntu を開発する Canonical は、Google Cloud の Confidential Computing ソリューションにおける長年のパートナーです。Canonical は、カーネルからファームウェア、付属ツールに至るまで、Google Cloud 上の Linux スタック内でインテル TDX の包括的なサポートを提供しています。

Canonical でパブリック クラウド アライアンス ディレクターを務める Hugo Huang 氏は、次のように述べています。「インテル TDX は、さまざまな潜在的な脅威から機密性の高いワークロードを保護するために設計された最先端のセキュリティ機能です。Google と Intel との緊密な連携により、当社のチームは、インテル TDX を活用した仮想マシンの作成と管理に、Ubuntu が最適化されたサポートを提供できるようにしています。このサポートにより、ユーザーは不正アクセスや改ざんからデータやアプリケーションを保護できます。当社の Google ユーザーは、セキュリティの強化に加え、パフォーマンスの向上と運用の複雑さの簡素化というメリットも得ることができます。」

C3 マシンシリーズは、Confidential Computing テクノロジーとしてインテル TDX を使用しています。インテル TDX は、VM をホストやハイパーバイザから分離し、ソフトウェアやハードウェアに対するさまざまな攻撃から VM を保護することを目的としています。各 VM は、ハードウェア的に「Trust Domain」(TD)に分離されているため、顧客のデータと IP の制御を強化することができます。インテル TDX の重要な機能としてリモート認証が挙げられます。この機能により、顧客は、強化された環境で VM がメモリと CPU の状態の機密性と整合性を保ちながら実行されていることを確認できます。

Google はこれからも、Confidential Computing のようなプライバシー保護テクノロジーへの投資を継続し、新しいセキュリティ イノベーションが安全で使いやすく、容易に導入できるよう努めていきます。今年になってから、Google の Project Zero と Intel が連携し、インテル TDX の完全なセキュリティ監査を実施しました。この監査においていくつかの改善点が特定されたため、Intel は第 4 世代 Xeon スケーラブル プロセッサの発表前に改善機能を実装しました。私たちにとって初となる Intel ベースの Confidential Computing のリリースは、業界で最も信頼されるクラウドを提供するために Google が達成するマイルストーンのうちの一つにすぎません。

インテル TDX を搭載した Confidential VMs を使ってみる

インテル TDX を搭載した Confidential VMs の限定公開プレビュー版は、今すぐこちらの登録フォームからお申し込みいただけます。また、今年の Google Cloud Next の発表についてはこちらをご覧ください。

-Confidential Computing 担当プロダクト マネージャー Joanna Young

-Google、グループ プロダクト マネージャー Sam Lugani

投稿先