機密コンピューティング
黒と青の背景画像
コンフィデンシャル・コンピューティングとは

コンフィデンシャル・コンピューティング・テクノロジーは処理中のデータを保護します。 暗号化鍵の排他的なコントロールにより、クラウドでより強力なエンドツーエンドのデータ・セキュリティーが提供されます。

コンフィデンシャル・コンピューティングとは、データの処理中に、保護されたCPUのエンクレーブ内にある機密データを隔離するクラウド・コンピューティング・テクノロジーです。 エンクレーブのコンテンツ(処理中のデータ、およびその処理に使用されている技法)は権限を持つプログラミング・コードのみがアクセスできます。また、クラウド・プロバイダーも含め、誰からも見られず、知られることもないものです。

企業のリーダーがよりパブリッククラウド・サービスおよびハイブリッドクラウド ・サービスに頼るようになるにつれ、クラウド内のデータ・プライバシーは不可欠なものになります。 コンフィデンシャル・コンピューティングの主な目標は、クラウド内にある企業のデータは保護されているとリーダーにより安心していただけるようにし、より多くの機密データやコンピューテイング・ワークロードをパブリック クラウド ・サービスへ移動させるように推奨することです。

何年もの間、クラウド・プロバイダーは暗号化サービスを提供し、(ストレージやデータベースに)保存されているデータと(ネットワーク接続上を移動している)転送中のデータの保護を支援してきました。 コンフィデンシャル・コンピューティングは、 使用中のデータ( 処理中または実行中のデータ)を保護することで、その他のデータ・セキュリティーの脆弱性を排除します。


コンフィデンシャル・コンピューティングの仕組み

アプリケーションで処理される前、データはメモリー内で暗号化されていない必要があります。 これにより、処理する直前、処理中、処理した直後のデータはメモリー・ダンプ、rootユーザーによる攻撃、およびその他の悪意ある攻撃に対して脆弱なままになります。

コンフィデンシャル・コンピューティングは、ハードウェア・ベースのTrusted Execution EnvironmentまたはTEEを活用することで、この問題を解決します。TEEとはCPU内の安全なエンクレーブのことを指します。 TEEは、組み込まれた暗号化鍵を使用して保護されています。組み込まれた認証メカニズムにより、権限を持つアプリケーション・コードのみが鍵にアクセスできるようにします。 マルウェアやその他の不正なコードが鍵へのアクセスを試行した場合、 もしくは権限を持つコードがハッキングされたり変更されたりした場合、 TEEは鍵へのアクセスを拒否し、計算を取り消します。

このようにして、処理を行うためにデータを復号化するようアプリケーションがTEEに伝達するまで、機密データはメモリー内での保護状態を維持することができます。 データが復号化されている最中、および計算プロセス全体において、オペレーティング・システム(または仮想マシン内のハイパーバイザー)、その他のコンピュート・スタック・リソース、およびクラウド・プロバイダーとその従業員がデータを見ることはできません。


コンフィデンシャル・コンピューティングを使用する理由
  • 使用中であっても機密データを保護するため 、 また クラウド・コンピューティングのメリットを機密性の高いワークロードにまで広めるため。 鍵の排他的なコントロールを含む、保存中および転送中のデータの暗号化と併用すると、コンフィデンシャル・コンピューティングは、柔軟性が低く、高価なオンプレミスのITインフラストラクチャーからより柔軟性の高い最新のパブリック クラウド・プラットフォームへ機密性の高いデータ・セットまたは厳しく規制されているデータ・セット、およびアプリケーション・ワークロードを移動させることに対する単一の最も大きな障害を排除します。 
  • 知的財産を保護するため コンフィデンシャル・コンピューティングはデータ保護のためだけに存在するものではありません。 独自仕様のビジネス・ロジック、分析機能、機械学習のアルゴリズム、またはアプリケーションすべての保護にTEEを使用することもできます。
  • 新しいクラウド・ソリューションでパートナーと安全に共同作業をするため たとえば、1つの会社のチームは他の会社の独自仕様の計算と自社の機密データを組み合わせ、新しいソリューションを作成することができます。この時、どちらの会社も共有したくないデータや知的財産を共有することはありません。
  • クラウド・プロバイダーを選ぶ時の不安を取り除くため  コンフィデンシャル・コンピューティングにより、企業のリーダーは、顧客データ、独自仕様のテクノロジー、およびその他の機密性の高い資産の保管と処理に対して不安を感じることなく、組織の 技術的要件およびビジネス要件に最も合うクラウド・コンピューティング・サービスを選べるようになります。 クラウド・プロバイダーが競合するビジネス・サービスも提供する場合、このアプローチはその他の競争における不安の緩和にも役立ちます。
  • エッジで処理されたデータを保護するため エッジコンピューティングとは、エンタープライズ・アプリケーションをIoTデバイスやエッジ・サーバーなどのデータ・ソースの近くで実行する分散コンピューティング・フレームワークです。 このフレームワークが分散クラウド・パターンの一部として使用されるとき、コンフィデンシャル・コンピューティングを使ってエッジ・ノードにあるデータやアプリケーションを保護することができます。

Confidential Computing Consortium

2019年、CPUメーカー、クラウド・プロバイダー、およびソフトウェア企業のグループ(Alibaba社、AMD社、Baidu社、Fortanix社、Google社、IBM/Red Hat®、Intel社、Microsoft社、Oracle社、Swisscom社、Tencent社、およびVMware社)はLinux Foundationの支援を受け、Confidential Computing Consortium (CCC)(ibm.com外へのリンク)を結成しました。

CCCの目標は、コンフィデンシャル・コンピューティングの業界標準を定義し、オープンソースのコンフィデンシャル・コンピューティング・ツールの開発を促進することです。 Consortiumの最初のオープンソース・プロジェクトの内の2つ(Open Enclave SDKおよびRed Hat Enarx)は、修正をせずにTEEプラットフォームで実行するアプリケーションを開発者が構築できるよう支援しています。

しかし、今日広範に使用されているコンフィデンシャル・コンピューティングのテクノロジーの一部は、Consortiumの結成よりも前にメンバーの企業によって導入されました。 たとえば、Intel SGX (Software Guard Extensions)技術は、Intel Xeon CPUプラットフォームでTEEを有効化するものですが、2016年から使用できるようになりました。また、2018年にIBMはIBM Cloud® Hyper Protect Virtual ServersIBM Cloud® Data Shieldといった製品で一般的に利用できるコンフィデンシャル・コンピューティング機能を作りました。


コンフィデンシャル・コンピューティングとIBM Cloud

IBMは10年以上、コンフィデンシャル・コンピューティングのリサーチとテクノロジーに投資してきました。そして今日、IBMは様々なコンフィデンシャル・コンピューティング・クラウド・サービス、およびそれに関連する、業界最高レベルのデータ保護機能を提供しています。

  • IBM Cloud Hyper Protect Cloud Servicesのファミリーにより、クラウド内で顧客のビジネス・プロセスのエンドツーエンドの保護が可能となります。また、そのファミリーは、業界初のFIPS 140-2 Level 4 認証を受けた唯一無二のクラウド・ハードウェア・セキュリティー・モジュール(HSM)¹を活用する保護されたエンクレーブ・テクノロジーの上に構築されています。 ファミリーにはIBM Cloud® Hyper Protect Crypto Servicesが含まれますが、これはクラウド・データの暗号化鍵とクラウド・ハードウェア・セキュリティー・モジュールの完全なコントロールを提供するもので、保存されているデータを暗号化するための業界唯一のKeep Your Own Key(KYOK)です。²
  • IBM Cloud Data Shieldにより、ユーザーはコードを変更することなく、Kubernetes ServiceおよびOpenShiftクラスター上の安全なエンクレーブ内にあるコンテナ化されたアプリケーションを保護することができます。 Intel SGXおよびFortanix Runtime Encryption Platform上に構築されたIBM Cloud Data Shieldは、Intel SGXの言語サポートをCおよびC++からPythonおよびJavaに拡張し、MySQL、NGINXおよびVault用のSGXアプリケーションを提供します。
  • IBM Cloud® HPC Clusterにより、迅速かつ容易にIBM Cloudで拡張可能で高性能の計算クラスターを構築できます。 その他のセキュリティー機能がある中、IBM Cloud HPC Clusterは「自身の暗号化されたオペレーティング・システムを持ってくる」機能とKeep Your Own Key(KYOK)機能を使ってエンドツーエンドの機密性をサポートします。
  • IBM® Secure Execution for Linux (PDF、100KB)により、IBM® LinuxONEハイブリッドクラウド環境またはIBM Z®ハイブリッドクラウド環境でTrusted Execution Environment(TEE)が有効化されます。

IBM Cloudでコンフィデンシャル・コンピューティングを始めるには、IBMidを登録し、IBM Cloudのアカウントを作成してください。


関連ソリューション

IBM Cloudでのコンフィデンシャル・コンピューティング

より高水準の商用のプライバシーの保証を手に入れましょう。 完全な権限を持ち、保存中、転送中、および使用中のデータを保護してください。


IBM Cloud Hyper Protect Crypto Services

専用の鍵管理とクラウド・ハードウェア・セキュリティー・モジュール(HSM)サービス


IBM Cloud Data Shield

アプリケーションを修正することなく、Kubernetesコンテナのランタイムのメモリー暗号化を有効化します。


IBM Cloud 上のハイパフォーマンス・コンピューティング

Intel XeonプロセッサーとIBM Spectrum®ソフトウェアを使用して、IBM Cloud® VPCインフラストラクチャー上にHPCワークロードを構築します。