Confidential VMs - 医療機器ソフトウェア向けセキュリティの飛躍的な進歩
Google Cloud Japan Team
※この投稿は米国時間 2022 年 4 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。
編集者注: この投稿は、Idea Evolver と AstraZeneca 両社によるゲストブログです。
より良いヘルスケアを提供するにあたり、テクノロジーへの依存度はますます高くなっています。近年はリモート テクノロジーを用いた自己管理型のヘルスケアを採用する動きが続いていましたが、COVID-19(新型コロナウイルス感染症)のパンデミックによって一段と加速されました。たとえば、医師の処方箋がなくても、消費者が予防的な治療を直接受けられるようにする新たな取り組みがあります。世界的な科学主導のバイオ製薬会社である AstraZeneca は現在、Technology-Assisted Cholesterol Trial in Consumers(TACTiC)の参加者を募集しています。TACTiC は、適切なリスクレベルにある試験の対象者だけが、適切な医薬品を利用できるように設計された「医療機器としてのソフトウェア(SaMD)」アプリケーションです。
このような医療機器ソフトウェア製品に関する興味深い課題は 2 つあります。セキュリティ要件とソフトウェアの品質検査の義務です。これらのアプリケーションは個人の健康情報を扱うため、データの機密性を保持するための配慮が欠かせません。メモリ内暗号化は、コンフィデンシャル コンピューティングとしても知られていて、この種のアプリケーションのセキュリティを強化するのに重要です。
Idea Evolver は AstraZeneca と提携し、Google Cloud のプロダクトやサービスを活用して医療機器ソフトウェア製品を構築しました。Google Cloud が早い段階で提案した、使用中のデータを暗号化できる Confidential Virtual Machine の活用を決め、その導入を心待ちにしていました。
Confidential Computing
Confidential Virtual Machine(Confidential VM)は、AMD Secure Encrypted Virtualization(SEV)を使用するプロセッサ上で稼働する N2D Compute Engine VM の一種です。
Confidential VMs は、ハードウェアによって生成され、プロセッサ内にのみ格納される VM ごとの専用インスタンス キーでメモリを暗号化しながら、高パフォーマンスを提供します。Google はこれらのキーにアクセスすることはできず、顧客はこれらのキーによって処理中に機密コードや機密データを安全に保持できます。
迅速かつ簡単な Confidential VMs の導入
今までの流れを念頭に置いて、Idea Evolver が AstraZeneca のプロジェクトで Confidential VMs をデプロイした形態についてご紹介します。
VM は、GKE クラスタで使用されるノードプールに属する
このプロダクトは米国でのみ提供しているため、GKE クラスタはリージョン クラスタとし、可用性の向上を図る
GKE クラスタは機密性保持のために非公開とする
Idea Evolver ではインフラストラクチャを Terraform を使用して管理しているので、導入は非常にシンプルでした。標準ノードと VM を使用していた既存のクラスタ定義を変更して機密ノード構成を含め、そのクラスタで機密ノードとサポートされている n2d マシンタイプの一つを使用するよう指定するだけでした。とても簡単でした。
パフォーマンスの低下はごくわずか
すべてのアプリケーションと同様に、パフォーマンスは重要です。この Confidential VM は、完全に暗号化されているにもかかわらず、パフォーマンス テストでは非常によく持ちこたえ、全体的なパフォーマンスの低下はほとんどありませんでした。
まとめと総合的な価値
Confidential VMs の導入全体は、予想以上に素早く簡単なものでした。導入プロセスはシンプルで、パフォーマンスの結果は期待以上のものでした。
合理的に可能な限りのセキュリティ対策を導入することが、どれほど重要であるかは誰もが理解していますが、「医療機器としてのソフトウェア」の業界においては、なおさら重要になります。
規制の厳しい環境で機密性の高い情報を含むデータを処理するので、Confidential VMs の導入は当然の決断でした。実際、Confidential VMs の導入は、SaMD プロジェクトと私たちがサービスを提供するクライアントにとって、多くの点で変革をもたらすことになるでしょう。現在では、転送中、保存中、使用中の機密データの暗号化を提供できるようになりました。
Google Cloud からのお知らせ
Google Cloud が提供する Confidential Computing のオプションについては、以下のドキュメントでご確認いただけます。
新しい Confidential VM インスタンスの作成をすぐに開始するには、クイックスタート: Confidential VM インスタンスを作成するをご覧ください。
詳細な手順については、Confidential VM インスタンスを作成するをご覧ください。
- AstraZeneca ビジネス開発新テクノロジー担当シニア ディレクター Jerry Valentine 氏