コンフィデンシャル・コンピューティング・テクノロジーは処理中のデータを保護します。 暗号化鍵の排他的なコントロールにより、クラウドでより強力なエンドツーエンドのデータ・セキュリティーが提供されます。
コンフィデンシャル・コンピューティングとは、データの処理中に、保護されたCPUのエンクレーブ内にある機密データを隔離するクラウド・コンピューティング・テクノロジーです。 エンクレーブのコンテンツ(処理中のデータ、およびその処理に使用されている技法)は権限を持つプログラミング・コードのみがアクセスできます。また、クラウド・プロバイダーも含め、誰からも見られず、知られることもないものです。
企業のリーダーがよりパブリッククラウド・サービスおよびハイブリッドクラウド ・サービスに頼るようになるにつれ、クラウド内のデータ・プライバシーは不可欠なものになります。 コンフィデンシャル・コンピューティングの主な目標は、クラウド内にある企業のデータは保護されているとリーダーにより安心していただけるようにし、より多くの機密データやコンピューテイング・ワークロードをパブリック クラウド ・サービスへ移動させるように推奨することです。
何年もの間、クラウド・プロバイダーは暗号化サービスを提供し、(ストレージやデータベースに)保存されているデータと(ネットワーク接続上を移動している)転送中のデータの保護を支援してきました。 コンフィデンシャル・コンピューティングは、 使用中のデータ( 処理中または実行中のデータ)を保護することで、その他のデータ・セキュリティーの脆弱性を排除します。
アプリケーションで処理される前、データはメモリー内で暗号化されていない必要があります。 これにより、処理する直前、処理中、処理した直後のデータはメモリー・ダンプ、rootユーザーによる攻撃、およびその他の悪意ある攻撃に対して脆弱なままになります。
コンフィデンシャル・コンピューティングは、ハードウェア・ベースのTrusted Execution EnvironmentまたはTEEを活用することで、この問題を解決します。TEEとはCPU内の安全なエンクレーブのことを指します。 TEEは、組み込まれた暗号化鍵を使用して保護されています。組み込まれた認証メカニズムにより、権限を持つアプリケーション・コードのみが鍵にアクセスできるようにします。 マルウェアやその他の不正なコードが鍵へのアクセスを試行した場合、 もしくは権限を持つコードがハッキングされたり変更されたりした場合、 TEEは鍵へのアクセスを拒否し、計算を取り消します。
このようにして、処理を行うためにデータを復号化するようアプリケーションがTEEに伝達するまで、機密データはメモリー内での保護状態を維持することができます。 データが復号化されている最中、および計算プロセス全体において、オペレーティング・システム(または仮想マシン内のハイパーバイザー)、その他のコンピュート・スタック・リソース、およびクラウド・プロバイダーとその従業員がデータを見ることはできません。
2019年、CPUメーカー、クラウド・プロバイダー、およびソフトウェア企業のグループ(Alibaba社、AMD社、Baidu社、Fortanix社、Google社、IBM/Red Hat®、Intel社、Microsoft社、Oracle社、Swisscom社、Tencent社、およびVMware社)はLinux Foundationの支援を受け、Confidential Computing Consortium (CCC)(ibm.com外へのリンク)を結成しました。
CCCの目標は、コンフィデンシャル・コンピューティングの業界標準を定義し、オープンソースのコンフィデンシャル・コンピューティング・ツールの開発を促進することです。 Consortiumの最初のオープンソース・プロジェクトの内の2つ(Open Enclave SDKおよびRed Hat Enarx)は、修正をせずにTEEプラットフォームで実行するアプリケーションを開発者が構築できるよう支援しています。
しかし、今日広範に使用されているコンフィデンシャル・コンピューティングのテクノロジーの一部は、Consortiumの結成よりも前にメンバーの企業によって導入されました。 たとえば、Intel SGX (Software Guard Extensions)技術は、Intel Xeon CPUプラットフォームでTEEを有効化するものですが、2016年から使用できるようになりました。また、2018年にIBMはIBM Cloud® Hyper Protect Virtual ServersやIBM Cloud® Data Shieldといった製品で一般的に利用できるコンフィデンシャル・コンピューティング機能を作りました。
IBMは10年以上、コンフィデンシャル・コンピューティングのリサーチとテクノロジーに投資してきました。そして今日、IBMは様々なコンフィデンシャル・コンピューティング・クラウド・サービス、およびそれに関連する、業界最高レベルのデータ保護機能を提供しています。
IBM Cloudでコンフィデンシャル・コンピューティングを始めるには、IBMidを登録し、IBM Cloudのアカウントを作成してください。
より高水準の商用のプライバシーの保証を手に入れましょう。 完全な権限を持ち、保存中、転送中、および使用中のデータを保護してください。
専用の鍵管理とクラウド・ハードウェア・セキュリティー・モジュール(HSM)サービス
アプリケーションを修正することなく、Kubernetesコンテナのランタイムのメモリー暗号化を有効化します。
Intel XeonプロセッサーとIBM Spectrum®ソフトウェアを使用して、IBM Cloud® VPCインフラストラクチャー上にHPCワークロードを構築します。