Confidential Computing における SUSE と Google Cloud のコラボレーション

※この投稿は米国時間 2025 年 7 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。

センシティブ データの保護は、ワークロードをクラウドに移行するうえで重要な要素です。保存データと転送中のデータの暗号化は標準的なセキュリティ対策ですが、使用中のデータ（メモリ内でアクティブに処理されているデータ）を保護するには、セキュリティとプライバシーに関する固有の課題が生じる可能性があります。

使用中のデータも保護するために、Google はハードウェア パートナーと協力してConfidential Computingを開発しました。ハードウェアベースの高信頼実行環境（TEE）を使用して、使用中のデータを（データをホストするクラウド プロバイダからさえも）隔離して保護します。

安全で信頼性の高いクラウド環境を構築するために、Google はオープンソースおよびセキュアなエンタープライズ ソリューションの分野の世界的リーダーである SUSE と提携しました。両社は、Google Cloud のハードウェア ベースのセキュリティである Confidential Virtual Machines（Confidential VMs）と SUSE Linux Enterprise Server（SLES）のセキュリティを組み合わせ、機密性の高いワークロードをクラウドで実行できるようにする専用ソリューションを開発しました。

このたび、SUSE Linux Enterprise Server が、AMD SEV、AMD SEV-SNP、Intel TDX の Confidential Computing テクノロジーが有効になっている Google Cloud Confidential VMs をサポートするようになりました。これまで、SLES は AMD SEV および AMD SEV-SNP ベースの Confidential VMs でのみ一般提供されていましたが、高性能な C3 マシンシリーズで実行される Intel TDX ベースの Confidential VMs でも一般提供されるようになりました。この新しいサービスにより、お客様は機密性の高いワークロードを保護する際の選択肢と柔軟性が向上し、ゲスト オペレーティング システム イメージに対する Confidential VM のサポートが拡大されます。

Google Cloud では、セキュリティに対する多層アプローチを強く推奨しています。ここでは、SUSE Linux Enterprise Server（SLES）がゲスト OS レイヤを強化し、Confidential VM がインフラストラクチャ レイヤを強化します。さらに、包括的な SLES セキュリティ ポートフォリオは、コンプライアンス、リスク軽減、サイバーセキュリティのベスト プラクティスのサポートに役立ちます。

• コンプライアンス要件の遵守: SLES は、セキュリティ機能を通じて組織が規制要件を遵守できるよう設計されています。SLES には、連邦情報処理標準（FIPS）140-3 認証取得済みの暗号モジュールが付属しています。

• 認定された安全なソフトウェア サプライ チェーンの確保: SUSE は、共通基準評価保証レベル（EAL）4+ 認証を取得した、評価済みの安全なソフトウェア サプライ チェーンを維持しています。SUSE のビルドサービスは、ソフトウェア アーティファクトのためのサプライ チェーン レベル（SLSA）のレベル 4 [v. 0.1] およびレベル 3 [v. 1.0] に準拠しています。ソフトウェア部品構成表（SBOM）の資料は、SPDX 2.0 と CycloneDX で入手できます。

• 評価作業の削減: サプライヤー認証を取得済みの SLES を利用することで、既存の認証を参照して評価プロセスを効率化できます。

• 自動的なセキュリティ強化: SLES には、自動化されたセキュリティ強化プロセスが含まれています。このプロセスは、YAST または AutoYAST を使用したセットアップ時に、Security Technical Implementation Guide（STIG）に準拠したセキュリティ強化を支援します。必要に応じて調整も可能です。

Google Cloud Confidential VMs 内で SLES を組み合わせることで、次のようなメリットが得られます。

• 暗号化を安全な OS で補完: SLES はセキュリティに重点を置いており、認証も取得しているため、信頼できる環境で強化されたオペレーティング システムを提供できます。これにより、アプリケーションと OS の両方が脆弱性の影響を受けにくくなります。

• 完全性と信頼性のサポート: ハードウェアとオペレーティング システムの両方が期待どおりに動作していることをお客様がより確信できます。Confidential VMs はリモート認証を提供し、VM の ID と状態の検証を可能にします。SLES などの安全な OS を、証明された Confidential VMs で実行することで、データとコードの全体的な完全性をサポートできます。

• Confidential Computing テクノロジーのサポート: SLES は、Google Cloud のすべての Confidential Computing タイプ（AMD SEV、AMD SEV-SNP、Intel TDX）で一貫した安全なオペレーティング システムを提供することで、機密性の高いクラウド ワークロードのデプロイと管理を簡素化できます。

• 機密性の高い環境でのコンプライアンスの強化: コンプライアンス規制により高いレベルのデータ保護が求められるワークロードに対しては、Confidential VMs 上で SLES を利用するこの共同セキュリティ ソリューションは、クラウド移行に関して社内監査人が抱く懸念を軽減するのに役立ちます。

• 内部と外部の脅威への対処: Confidential Computing は主にハイパーバイザなどの外部脅威からの保護に有効ですが、Confidential VM 上で SLES のようなセキュリティ重視の OS を実行することで、ゲスト OS 自体の潜在的な内部脆弱性に対する追加の保護レイヤを提供できます。

• データの所有権と管理の強化: Confidential Computing なら、クラウド上でデータが処理される場合でも、お客様がそのデータに対する管理権と実質的な所有権を保持していることを技術的に保証できます。使用中のデータを暗号化し、TEE 内の承認済みワークロードのみにアクセスを制限することで、デジタル主権に対する保証をさらに強化できます。

• ゼロトラストを実行時にも拡張: このソリューションでは、CPU のメモリ内のデータを暗号化することで、「決して信頼せず、必ず確認せよ」という ゼロトラストの原則を、処理中のデータにまで適用します。これにより、実行中を含め、データのライフサイクル全体にわたってデータが安全に暗号化された状態が維持され、真のゼロトラスト環境の実現に役立ちます。

• クラウドネイティブ ワークロードの安全な基盤の確立: SLES が安全な土台を提供し、Google Cloud Confidential VMs がハードウェア レベルの保護を提供することで、この環境は SUSE Cloud Native ソリューションとともに、最も機密性の高いクラウドネイティブ アプリケーションのための堅牢な基盤を提供できます。基盤となるコンピューティング リソースを保護することで、使用中のデータの保護を、より高いレベルのコンテナ化されたワークロードやクラウドネイティブ ワークロードにまで拡張できます。

組織は、規制対象のアプリケーションや機密性の高いアプリケーションを Google Cloud に安心して移行できます。使用中を含むライフサイクル全体にわたってデータがサポートされ、安全なゲスト OS によりデジタル主権が強化されるからです。

クラウドでセンシティブ データを保護する方法について詳しく知りたい方は、SLES を使用して、ぜひ今すぐ Confidential VM を作成してみてください。

- Google シニア プロダクト マネージャー Joanna Young

- SUSE グローバル ソリューション アーキテクト Abdelrahman Mohamed 氏