Confidential Computing がクラウド セキュリティを変革する方法

※この投稿は米国時間 2023 年 4 月 27 日に、Google Cloud blog に投稿されたものの抄訳です。

Google は、信頼性の高いクラウド プラットフォーム プロバイダの一つとして、クライアントのワークロードに安全で信頼できる環境を提供することに取り組んでいます。Google は、今後コンピューティングの秘匿化や暗号化がさらに進むことで、ユーザーはクラウド プロバイダや自社の内部関係者に対して自らのデータが公開されることはないと確信できるようになると考えています。そして、この未来を可能にするのが Confidential Computing です。Confidential Computing は、データの処理中に、メモリ内や CPU 外のどの場所でも、データが暗号化されている状態を保持します。

2018 年に初めて Confidential Computing を提供して以来、Google はクラウドを通じてこのテクノロジーを広く提供するパイオニアであると同時に、さまざまな組織がその恩恵を受けられるよう新機能を常に追加しています。

Confidential Computing ポートフォリオの拡大

本日、RSA Conference 2023 で、Confidential Computing ポートフォリオのいくつかのエキサイティングなアップデートを発表します。

Google は、AMD Infinity Guard テクノロジー、特に AMD SEV-SNP（Secure Encrypted Virtualization-Secure Nested Paging）を利用する次世代の Confidential Computing VM インスタンスでポートフォリオを拡大していく予定です。SEV-SNP は、強固なメモリ整合性保護やハードウェア ルート認証など、新しいハードウェア ベースのセキュリティ保護を追加します。SEV-SNP を使用した Confidential VMs が、汎用 N2D VM の限定公開プレビュー版で利用できるようになりました。詳細については、こちらをご覧ください。

AMD のクラウド ビジネス担当コーポレート バイス プレジデントである Ram Peddibhotla 氏は、次のように述べています。「AMD EPYC プロセッサに搭載されている AMD Infinity Guard のようなハードウェア ベースの高度なセキュリティ機能が、クラウド サービスや、クラウド コンピューティングのさらなる拡張において重要な役割を担っています。Google Cloud との連携により、ミッション クリティカルなワークロードやビジネス クリティカルなワークロードがクラウドに移行する中で、共通の顧客が求めるリーダーシップ セキュリティ機能を容易に実装でき、パフォーマンスへの影響が最小限に抑えられます。」

Google のプロダクトは、Confidential Computing テクノロジーのセキュリティ レベルが可能な限り高いレベルにあることを確認したのちに一般提供されます。さまざまな攻撃ベクトルを絶えず評価し、Google Cloud の Confidential Computing 環境が幅広い攻撃から保護されていることを確認しています。

昨年、Google とインテルは、インテルの新しい Confidential Computing テクノロジーである Trust Domain Extensions（TDX）の潜在的なセキュリティの脆弱性を特定するための調査プロジェクトを共同で行いました。先日、完全なレポートをリリースし、こちらのブログ投稿にて公開しました。

インテルの CTO オフィスでシステム アーキテクチャおよびエンジニアリング担当バイス プレジデント兼ゼネラル マネージャーを務める Anil Rao 氏は、次のように述べています。「インテルは、ユーザーの皆様が自身のデータのセキュリティや信頼性に不安を抱かないですむようにしたいと考えています。Confidential Computing を使用して組織のデータを管理し、信頼できるグループにアクセス権を付与できること。さらに、そのアクセス権は検証と取り消しが可能で、期限を設定できること。こうしたことの実現を通じて、インテルは、安全なテクノロジーを提供する義務を果たして参ります。当社は徹底的な分析を通じて、すべての潜在的な脆弱性に対処しています。早い段階から Google と提携することで、この取り組みを強化することができています。」

このたび、Confidential Space の一般提供が開始されました。Confidential Space は Confidential Computing 上に構築され、高信頼実行環境（TEE）とも呼ばれる安全なエンクレーブ（保護領域）を提供します。Google Cloud のお客様は、プライバシーを重視するさまざまなユースケースに TEE を利用できます。クラウド サービス プロバイダのアクセスに対する保護の強化を含め、自社が所有するデータをクラウド サービス プロバイダからのアクセスから保護し続けることができるという信頼保証によって、共同でのデータ分析や ML モデル トレーニングなどのタスクを実行できます。

Confidential Space により、プライバシーを保護する新しいテクノロジーが具体化されます。そのようなテクノロジーの一つがプライバシー サンドボックスです。これは、ウェブ用のプライバシー サンドボックスがサードパーティの Cookie を段階的に廃止し、秘密の追跡を制限するための重要な前進です。プライバシー サンドボックスは、Confidential Space などの高信頼実行環境の選択肢をサポートすることで、既存のテクノロジーに代わる安全の高い代替手段をアドテック企業に提供し、ユーザーデータを限定公開にしながらデジタル ビジネスを継続して構築できるようにします。

「高信頼実行環境（TEE）は、デジタル広告などの業界全体ですでに使用されており、プライバシーを保護する分析を可能にしています。私たちは、Google Cloud の組み込み TEE である Confidential Space を活用できることを嬉しく思います」と Google Ads Measurement のバイス プレジデント兼ゼネラル マネージャーの Gaurav Bhaya は述べています。

Confidential Computing によるイノベーションの歴史に基づいた構築

Google は、Confidential Computing を支えるハードウェア、ファームウェア、ソフトウェアのセキュリティ評価を検証、監査、公開するために、社内外のパートナーと真摯に取り組んできました。

昨年、Google Project Zero、Google Cloud、AMD による共同のセキュリティ対策により、Confidential Computing のデプロイにどのサービス プロバイダを選択するかに関係なく、業界全体でより安全なテクノロジーが実現できるようになりました。詳細については、こちらの完全なレポートをご覧ください。

それ以来、Confidential Virtual Machines（CVMs）、Confidential GKE、Confidential Dataproc、Confidential Space など、Confidential Computing のプロダクトとサービスのポートフォリオは拡大を続けています。これらのサービスにより、お客様はデプロイにおいてより多くの選択肢を得ることができます。

現在、Google の Confidential Computing サービスは、Google Cloud リージョンの 80% で広く利用されており、さらに拡大を続けています。最近では、Confidential GKE 向けのコンピューティング最適化 C2D VM のサポートを追加しました。

組織では現在、自社が所有するデータはもちろん、AstraZeneca、Bullish、HashiCorp、Matrixx Software、MonetaGo、Yellowdog などの組織が多岐にわたる業界にまたがって保有するデータが継続して保護されているという信頼保証によって、Confidential Computing を共同データ分析と ML モデル トレーニングに活用しています。

Confidential Computing は、デジタル主権戦略を履行する組織にとって有益な、追加の制御手段になりうることも証明されており、暗号化機能を提供するとともに、クラウド プロバイダが暗号鍵にアクセスできない使用中のデータを保護します。

このテクノロジーの可能性を、ぜひお客様のビジネス拡大のチャンスにご活用ください。Confidential Computing のページで詳細をご確認ください。