ハードウェアベースのコンフィデンシャルコンピューティングの中核を成すのがIntel SGXだ。Intel SGXと専用ソフトウェアの組み合わせにより、処理中のデータも暗号化される。
前編(Computer Weekly日本語版 10月16日号掲載)では、コンフィデンシャルコンピューティングの概要とMicrosoftをはじめとするソフトウェア面の取り組みを紹介した。後編では、ハードウェアベースのコンフィデンシャルコンピューティング実現の鍵となるIntel SGXを中心に解説する。
オープンソースプロジェクトへの貢献を明らかにしている創設メンバーの1社がIntelだ。同社が貢献するのはIntel SGXだ。Intel SGXはセキュアなエンクレーブによって、アプリケーション開発者による特定のコードの開示や変更をハードウェア層で防止するのを支援する。
「オープンソース技術とIntel SGXを使ったコンフィデンシャルコンピューティング手法を促進するためには、CCCを通じて開発されるソフトウェアが不可欠になる」(ソウソウ氏)
Intelでアーキテクチャ、グラフィックスおよびソフトウェア部門のバイスプレジデントを務め、プラットフォームセキュリティ製品管理部門のゼネラルマネジャーも兼務するロリー・ワイグル氏によると、情報とインフラセキュリティの責任者は保管中と転送中のデータを保護する方法は多数熟知しているが、メモリ内でアクティブに処理しているデータの暗号化はまた別の問題だという。
「自社サーバをオンプレミスで運用する場合でも、エッジ導入でも、クラウドサービスプロバイダーのデータセンターを中心にする場合でも、この『処理中』のデータはほぼ全て暗号化されておらず、脆弱(ぜいじゃく)な恐れがある」と同氏は話す。
アプリケーションをパブリッククラウドで運用しても、最も貴重なソフトウェアIPが別のソフトウェアやクラウドプロバイダーには見えないようにしたい企業は、自社専用のアルゴリズムをエンクレーブ内部で実行すればよい。
「エンクレーブを使えば機密度の高いデータや自社専用のデータを別の関係者から保護できるので、信頼性の低い複数の関係者がトランザクションを共有することも可能になる。機密度の高いデータの処理中は、常に、コンフィデンシャルコンピューティングを使うことで機密度の高いデータを適切に保護するチャンスがあるだろう」(ソウソウ氏)
EUの一般データ保護規則(GDPR)の下、クラウドサービスプロバイダーはデータの安全性を確保しなければならないと話すのは、Intelでグローバルクラウド、エンタープライズ、ガバメントグループセールス担当のセキュリティ管理最高責任者を務めるリチャード・カーラン氏だ。
同氏は本誌に次のように語った。「GDPRは、クラウドサービスプロバイダーのユーザーがセキュリティに関するニーズを高めるよう奨励している。そのため、Intelは理念を『セキュアバイデザイン』に変えようとしているところだ。業界がセキュアバイデザインでハードウェアベースの非常に安全な環境に移行できるよう、Armと協力しなければならないだろう」
「業界では今、大規模なコラボレーションが行われている。それは全てのセキュリティ問題を解決する特効薬を見つけるためではなく、ユーザーがデータを確実かつ簡単に保護できるようにするためだ」
脅威は以前よりも回避行動がうまくなっている。そのため追跡や発見が困難になり、影響は一段と大きくなっている。CCCのメンバーは全て、ハードウェアベースのセキュリティの重要性を認識しているとカーラン氏は付け加える。
Intel SGXは、現在「Intel Xeon E-2100」ファミリーで利用可能で、「Microsoft Azure」「IBM Cloud Data Guard」、Baidu、Equinix、Alibaba Cloudのコンフィデンシャルコンピューティングサービスで使われている。
現在Intel SGXが使えるのはシングルソケットサーバだが、Intelは3基のCPUを組み合わせたPCI Expressアドインカードを2019年第4四半期にリリースして、マルチソケットのIntel Xeon ScalableサーバでIntel SGXを使用可能にすることを計画している。同社はまた、CCCのメンバーと準メンバーの助言を受けて次世代メインストリームXeonでIntel SGXを展開する予定だ。
「多くのプロジェクトやパイロットで、こうした種類のPCIカードをマルチソケットシステムに取り付ける準備ができている。業界がIntelに求めているのはメインストリームサーバへの移行であり、それは2020年を予定している。この領域では多くの活動を行っている」(カーラン氏)
Alibabaは2017年9月、Intel SGX搭載の「Alibaba Cloud Encrypted Computing」技術をリリースした。2018年4月からはIntel SGXの機能を備えた商用クラウドサーバを提供している。
Alibaba Cloudで主任セキュリティアーキテクトを務めるシャオニン・リー氏は次のように話す。「コンフィデンシャルコンピューティングにより、クラウド環境でトラステッドコンピューティングベースを減らして、実行時にデータを保護するクラウドユーザー向けの新機能が生まれている。当社はCCCに参加し、コミュニティーと連携して優れたコンフィデンシャルコンピューティングエコシステムの構築に取り組むことをとても楽しみにしている」
CCCは、運営委員会(Governing Board)、技術諮問委員会(Technical Advisory Council)、各技術プロジェクト個別の技術監視による構成が提案されている。CCCは、コンフィデンシャルコンピューティングをサポートする多様なオープンソースプロジェクトとオープン仕様をホストすることを目的としており、メンバー各社の会費から資金提供を受けることになるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
従来のSOCは、AIや機械学習を用いた高度な攻撃に対処できなくなりつつあり、可視性とコンテキストの欠如や検証の複雑化など、さまざまな課題が山積している。この状況を改善するには、人手に頼ったSOCモデルから脱却する必要がある。
比較的新しい製品分野である「SD-WAN」にも、早くも変化が起こり始めている。SD-WANは今後、どう進化するのか。「SASE」といった関連技術との関係性を踏まえながら、“次世代SD-WAN”の方向性を探る。
ランサムウェア以外にもさまざまなサイバー攻撃が企業を襲い続けているが、重大なセキュリティインシデントへの対策を適切に行えている企業は今も少ない。その理由や、状況を改善するための4つのステップを詳しく解説する。
サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。
昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...