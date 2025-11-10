AI（人工知能） ITの自動化

使用中のデータを保護する： IBM Cloud®上のRed Hat OpenShiftとKubernetesに機密コンピューティングを導入する

機密コンピューティングは、ハードウェアベースの信頼できる実行環境（TEE）内にワークロードを分離することで処理中のデータを保護し、クラウド・オペレーターでもアクセスできないようにします。

IBMは、IBM Cloud上のRed Hat OpenShiftサンドボックス・コンテナ・テクノロジー・プレビューを発表し、KubernetesとRed Hat OpenShift on IBM Cloud にこれらの追加保護機能を導入します。

企業は、この主要な機能によって実現される機密コンテナを使用して、コンテナ化された環境で使用中のデータの技術的保証のメリットを受けて、機密ワークロードや規制対象のワークロードをより安全に実行できます。

企業にとって重要な理由

ハイブリッドおよびマルチクラウドの導入が加速するにつれて、保存中のデータと転送中のデータの保護は十分に確立されています。しかし、次の領域は、使用中のデータを保護することです。機密コンテナは、信頼できる実行環境（TEE）内にワークロードを隔離し、特権を持つインフラストラクチャーやプラットフォーム管理者であっても、実行中のコンテナ・ワークロードを観察したり改ざんしたりできないようにします。

大企業やクラウド・インフラストラクチャー・エンジニアにとって、これは次のことができることを意味します。

  • 機密性の高いワークロード： AI/MLモデルによる推論、財務処理、規制対象データの処理などの機密性の高いワークロードを、より強力な分離保証で実行します。
  • 職務の分離： プラットフォームやクラウド・オペレーターが実行時にコンテナの「内部を覗き込む」ことができない、ゼロトラストと職務分離の原則を維持します。
  • セキュリティーの追加： ハードウェア・ベースのセキュリティー境界を追加しながら、中断を最小限に抑えながら既存のコンテナ（Kubernetes）ツールを活用します。

さらに、Red Hat OpenShift サンドボックスコンテナ機能により、次のことが可能になります。

  • 信頼できないワークロード： クラスター・ノードのセキュリティーを危険にさらすことなく、昇格したカーネル機能やルート権限を必要とする特権ワークロードまたは信頼できないワークロードをより安全に実行できます。
  • カーネル分離： カスタム・カーネル・チューニング、モジュール、または低レベル・ネットワーク機能を必要とするワークロードのカーネル分離を実現します。
  • マルチ・テナント環境： 異なる組織やベンダーからワークロードを分離し、「ノイズの多いネイバー」構成の競合を回避することで、マルチ・テナント環境をサポートします。
  • リソースの封じ込め: Boundaryを介してリソースの封じ込めを実施し、CPU、メモリー、ストレージ、ネットワークへのよりきめ細やかなアクセス制御を実現します。

テクノロジー・プレビューに含まれる内容

IBM Cloud上のこの初期プレビュー・リリースでは、IBM Cloudに統合されたRed Hat OpenShiftの主要な機能によってサンドボックスコンテナが有効になります。

主な機能には以下が含まれます。

  • ハードウェアによる分離：Intel Trusted Domain Extensions（TDX）を併用することで、外部オブザーバビリティー（ハイパーバイザーやホスト管理者を含む）からコンテナのメモリーと状態を保護できます。
  • 暗号化された契約、ポリシー、認証メカニズム:ランタイムの整合性とコンプライアンスをVerifyします。
  • Red Hat OpenShiftスタックとの統合：開発者とオペレーターは、使い慣れたワークフローを使用して機密Podにデプロイできます。
  • 規制およびコンプライアンスに敏感なユースケースへのサポート： IP保護とマルチテナント分離を備えたAI/MLパイプラインをサポートします。
  • 特権ワークロードの分離：軽量仮想マシン内で安全に、特別なカーネル機能またはroot権限を必要とするワークロードを実行します。
  • カーネル・レベルのカスタマイズ：他のクラスター・ワークロードに影響を与えることなく、カスタム・カーネル・チューニングやモジュールを必要とするワークロードをサポートします。
  • デフォルトのリソース分離： VM Boundaryは、誤ったワークロードが過剰な参考情報を消費したり、不正なデバイスにアクセスしたりすることを防ぎます。

始める前に知っておくべきこと

これはテクノロジー・プレビューとして利用できるため、領域のサポート、拡張、または主要な機能の完全性に制限がある場合があります。さらに、主要な機能のメリットを最大限に活用するためには、既存のCI/CD、Container Registry、認証サービス、およびIDシステムとの統合が必要になります。

より強力な保護境界とパフォーマンス・セグメンテーションの新しい層におけるトレードオフを備えた標準コンテナと比較された一部のスタートアップ・パフォーマンス・オーバーヘッド。

IBMはコンテナに追加料金を請求しません。標準のRed Hat OpenShift on IBM CloudおよびIBM Cloud Virtual Server Instance料金が各Podに適用されます。Confidential Virtual Machine（CVM）イメージは独自に構築できますが、IBMはカスタムビルドイメージのサポートを提供していません。実稼働環境での認証には、適切なネットワーク許可でIntel Trust Authorityを使用します。

機密クラウドへの旅に参加しましょう

IBM Cloud上の Red Hat OpenShift のサンドボックス・コンテナは始まりに過ぎません。この技術プレビューを試してみることで、コンテナ化されたワークロード向けの機密コンピューティングの未来を形作ることができ、それによって貴社のようなエンタープライズにとって最も重要な機能、統合、パフォーマンスの最適化に影響を与えることができます。

今すぐ 3 つの簡単なステップから始めてください。

  1. Red Hat OperatorHub のサンドボックス化されたコンテナ Operator 上の IBM Cloud 上の Red Hat OpenShift 環境に、サンプル機密ワークロードをデプロイします。
  2. デプロイメント、認証、分離のワークフローについてはこちら、IBM Confidential Containers 資料でサポートされているランタイムの整合性をVerifyします。
  3. フィードバックやアイデアを IBM Cloud チームと共有し、開発の次のフェーズに役立てます。

このプレビューは、単なる主要な機能ではありません。これは、クラウドへの信頼が本質的にあり、エンドツーエンドでインフラストラクチャーの境界に依存しない未来に向けた一歩です。

機密コンピューティング保護をランタイムにまで拡張することで、かつてはクラウドに対しては機密性が高すぎると考えられていた環境における、まったく新しいクラスのアプリケーション、コラボレーション・モデル、イノベーションへの扉が開かれます。先に進むべき道は、どれほどクリティカルであっても、すべてのワークロードがあらゆる場所で安全に運用できる道であり、この技術プレビューは、その未来を見据えたものです。

双方は力を合わせて、すべてのワークロードが妥協のない信頼性で実行されるクラウドを構築することができます。

IBM Cloud上でRed Hat OpenShiftサンドボックスコンテナを使い始めましょう

Setu Biswas

Product Manager - IBM Cloud Developer Experience

Lizbeth Ramirez Letechipia

Cloud Product Marketing Manager

IBM

