コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

Confidential VMs - 医療機器ソフトウェア向けセキュリティの飛躍的な進歩

2022年4月7日
Google Cloud Japan Team

※この投稿は米国時間 2022 年 4 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

編集者注: この投稿は、Idea Evolver と AstraZeneca 両社によるゲストブログです。

より良いヘルスケアを提供するにあたり、テクノロジーへの依存度はますます高くなっています。近年はリモート テクノロジーを用いた自己管理型のヘルスケアを採用する動きが続いていましたが、COVID-19(新型コロナウイルス感染症)のパンデミックによって一段と加速されました。たとえば、医師の処方箋がなくても、消費者が予防的な治療を直接受けられるようにする新たな取り組みがあります。世界的な科学主導のバイオ製薬会社である AstraZeneca は現在、Technology-Assisted Cholesterol Trial in Consumers(TACTiC)参加者を募集しています。TACTiC は、適切なリスクレベルにある試験の対象者だけが、適切な医薬品を利用できるように設計された「医療機器としてのソフトウェア(SaMD)」アプリケーションです。

このような医療機器ソフトウェア製品に関する興味深い課題は 2 つあります。セキュリティ要件とソフトウェアの品質検査の義務です。これらのアプリケーションは個人の健康情報を扱うため、データの機密性を保持するための配慮が欠かせません。メモリ内暗号化は、コンフィデンシャル コンピューティングとしても知られていて、この種のアプリケーションのセキュリティを強化するのに重要です。

Idea Evolver は AstraZeneca と提携し、Google Cloud のプロダクトやサービスを活用して医療機器ソフトウェア製品を構築しました。Google Cloud が早い段階で提案した、使用中のデータを暗号化できる Confidential Virtual Machine の活用を決め、その導入を心待ちにしていました。

Confidential Computing

Confidential Virtual Machine(Confidential VM)は、AMD Secure Encrypted Virtualization(SEV)を使用するプロセッサ上で稼働する N2D Compute Engine VM の一種です。

Confidential VMs は、ハードウェアによって生成され、プロセッサ内にのみ格納される VM ごとの専用インスタンス キーでメモリを暗号化しながら、高パフォーマンスを提供します。Google はこれらのキーにアクセスすることはできず、顧客はこれらのキーによって処理中に機密コードや機密データを安全に保持できます。  

迅速かつ簡単な Confidential VMs の導入

今までの流れを念頭に置いて、Idea Evolver が AstraZeneca のプロジェクトで Confidential VMs をデプロイした形態についてご紹介します。

  • VM は、GKE クラスタで使用されるノードプールに属する

  • このプロダクトは米国でのみ提供しているため、GKE クラスタはリージョン クラスタとし、可用性の向上を図る

  • GKE クラスタは機密性保持のために非公開とする

Idea Evolver ではインフラストラクチャを Terraform を使用して管理しているので、導入は非常にシンプルでした。標準ノードと VM を使用していた既存のクラスタ定義を変更して機密ノード構成を含め、そのクラスタで機密ノードとサポートされている n2d マシンタイプの一つを使用するよう指定するだけでした。とても簡単でした。

パフォーマンスの低下はごくわずか

すべてのアプリケーションと同様に、パフォーマンスは重要です。この Confidential VM は、完全に暗号化されているにもかかわらず、パフォーマンス テストでは非常によく持ちこたえ、全体的なパフォーマンスの低下はほとんどありませんでした。

https://storage.googleapis.com/gweb-cloudblog-publish/images/AstraZeneca.max-2000x2000.jpg

まとめと総合的な価値

Confidential VMs の導入全体は、予想以上に素早く簡単なものでした。導入プロセスはシンプルで、パフォーマンスの結果は期待以上のものでした。

合理的に可能な限りのセキュリティ対策を導入することが、どれほど重要であるかは誰もが理解していますが、「医療機器としてのソフトウェア」の業界においては、なおさら重要になります。

規制の厳しい環境で機密性の高い情報を含むデータを処理するので、Confidential VMs の導入は当然の決断でした。実際、Confidential VMs の導入は、SaMD プロジェクトと私たちがサービスを提供するクライアントにとって、多くの点で変革をもたらすことになるでしょう。現在では、転送中、保存中、使用中の機密データの暗号化を提供できるようになりました。

Google Cloud からのお知らせ

Google Cloud が提供する Confidential Computing のオプションについては、以下のドキュメントでご確認いただけます。

- Idea Evolver 最高経営責任者 Shawn Dragann 氏
- AstraZeneca ビジネス開発新テクノロジー担当シニア ディレクター Jerry Valentine 氏
セキュリティ & アイデンティティ
Google Cloud の Confidential Computing ポートフォリオの拡大

Google Cloud Confidential Computing の一般提供が開始されました。Confidential GKE Node は Confidential Computing の一部です。

執筆者: Google Cloud Japan Team • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Google_Cloud_security.max-900x900.jpg
投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/Security_2022.max-700x700.jpg
Security & Identity

より多くの FedRAMP High 認証サービスが Assured Workloads で使用可能に

執筆者: Archana Ramamoorthy • 所要時間: 8 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/2024_Cloud_CISO_Perspectives_header_no_title.max-700x700.jpg
Security & Identity

Cloud CISO の視点: Phil と Kevin の RSA Conference での対談を振り返る

執筆者: Phil Venables • 所要時間: 6 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/DO_NOT_USE_Tdn2Cef.max-700x700.jpg
Security & Identity

GKE セキュリティ ポスチャーでサプライ チェーンのセキュリティを強化する方法

執筆者: Amit Bapat • 所要時間: 6 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/hero_image_toyouniv_horizontal.max-700x700.jpg
Google Cloud

東洋大学と Google Cloud の未来志向の大学 DX 構築に向けた戦略的提携について

執筆者: Google Cloud Japan Team • 所要時間: 3 分