Ubuntu ProとコンフィデンシャルVMでクラウドのサイバーセキュリティを強化
by Canonical on 2 November 2023
今日のデジタル環境では、あらゆる規模の組織がクラウドでのプレゼンスを拡大しています。ただし、そのために攻撃対象領域も大幅に増加し、セキュリティが最大の懸念事項となりました。このブログ記事では、クラウドのサイバーセキュリティという注目度の高い世界について深く掘り下げ、Ubuntuを利用してワークロードを保護する強力なアプローチを探ります。
OSの選択がクラウドのサイバーセキュリティにとって重要である理由
まず、オペレーティングシステムの選択がセキュリティにとって重要である理由を説明します。アプリケーションの開発時はセキュリティの確保に多大な努力が払われていますが、開発者が対応できる範囲は、セキュリティというパズルの1ピースに過ぎません。
アプリケーションを実運用環境で実行すれば、オペレーティングシステム、仮想マシンマネージャー、プラットフォームのファームウェアなど、特権システムソフトウェアから脅威が発生する可能性が生まれることになります。
設計上、このようなソフトウェアは、アプリケーションのすべてのリソースに広範にアクセスすることができるため、攻撃や侵害を受けた場合は、アプリケーションのすべての機密データが漏えいする可能性があります。したがって、アプリケーションセキュリティの上限は、オペレーティングシステムのセキュリティによって決まることを認識しておくことが極めて重要です。では、Ubuntuでは、クラウドのワークロード向けにどのようなセキュリティ対策を提供しているのでしょうか?
Ubuntuによるクラウドのサイバーセキュリティ
Ubuntuには、フルディスク暗号化、AppArmorによる強制アクセス制御、ファイルシステム機能、UEFIセキュアブートなど、組み込みのセキュリティ機能が多数用意されています。セキュリティ体制をさらに強化するために、Ubuntu Proサブスクリプションで追加のセキュリティ機能を有効にすることもできます。
Ubuntu Proは、オープンソースソフトウェアのセキュリティに対応したCanonicalの包括的なサブスクリプションです。Ubuntu Proをパブリッククラウド上で使用することにより、これまでにないレベルのセキュリティが実現します。その内容を詳しく見てみましょう。
- 幅広いセキュリティ対応範囲:Ubuntu Proは、Apache Kafka、NGINX、MongoDB、Redis、PostgreSQLといった人気のアプリケーションを含め、25,000以上のオープンソースパッケージに対応した包括的なセキュリティパッチを提供します。
- ダウンタイムの低減:Ubuntu ProのLivepatchサービスは、カーネルの重大かつ致命的なCVEに対し、実行中に即座にパッチを適用します。直ちに再起動する必要もありません。これにより、ビジネスの中断を大幅に短縮し、稼働時間を最大化できます。
- 10年間保証されるプラットフォームの安定性と安心感:Canonicalは、LTSリリースを実行しているUbuntu Proユーザーに対し、10年間のセキュリティメンテナンスを保証しています。また、ワークロードについても安定性と保護を10年間保証します。
- コンプライアンス認定:Ubuntu Proは、DISA-STIG、CIS堅牢化および監査、FIPS認定暗号化モジュールなどの自動化および監査ツールを提供します。これによりコンプライアンスプロセスが簡素化され、規制要件を容易に満たすことができます。
- 24時間年中無休のサポート:Ubuntu Proには平日または24時間年中無休のサポートオプションがあり、必要なときにいつでも専門家のサポートを受けられます。これには、25,000種類のオープンソースパッケージと幅広いアプリケーションに対するトラブルシューティング、故障修正、バグ修正が含まれています。また、24時間年中無休のサポートを選択した場合、致命的で破壊的な問題については初回の応答を1時間以内に得られます。
Ubuntu Proは、個人および小規模なビジネスなら5台まで、Ubuntuコミュニティの公式メンバーであれば50台まで無料です。
コンフィデンシャルコンピューティングによってクラウドのサイバーセキュリティを強化
パブリッククラウドのワークロードを既知のセキュリティ脆弱性から保護するには、セキュリティの堅牢化とCVEパッチの自動適用が不可欠です。ただし、クラウドの特権システムソフトウェア内のゼロデイ脆弱性や、潜在的に悪意のあるクラウドプロバイダーからデータを保護することはできません。
これは最近まで、機密性の高いワークロードを実行中に保護する目的で利用できるメカニズムがなかったためです。現在はコンフィデンシャルコンピューティングによって、ハードウェアにルートを持つ論理的に隔離された実行環境内でアプリケーションを実行できるシステムレベルのプリミティブが提供されています。
UbuntuコンフィデンシャルVM
AMD SEV-SNPまたはIntel TDX CPUエクステンションを使用すると、最新のAES-128ハードウェア暗号化エンジンを使用してシステムメモリとCPUレジスタを暗号化したUbuntuコンフィデンシャルVMを展開できます。
クラウドで実行されるワークロードはハードディスクから読み込まれるため、Ubuntuはフルディスク暗号化機能も使用して保存中のデータを保護します。
UbuntuはAESを使用して書き込むデータすべてをディスクで暗号化および解読し、暗号化キー(それ自体も暗号化されている)をVM仮想ディスクに保存します。キーを解読できるのは、CVMインスタンスに関連付けられている仮想vTPM(virtual Trusted Platform Module)だけです。
UbuntuのコンフィデンシャルVMでは、実行中、保存中、起動中にデータのセキュリティが確保されます。
Canonicalでは、将来的にはコンフィデンシャルコンピューティングと個人情報を保護する技術がコンピューティングの標準的なアプローチになると強く確信しています。そのためコンフィデンシャルコンピューティングソリューションのポートフォリオは、すべてのパブリッククラウドで無料としました。
このトピックの詳細は、ホワイトペーパーをお読みください。Ubuntuを使用したAzureクラウドのサイバーセキュリティについて説明しています。
安全なUbuntuのワークロードを今すぐパブリッククラウドに展開
パブリッククラウド上でUbuntuを使用することで、クラウドのワークロードを強化するために必要な基盤が提供されます。Ubuntu Proの長期セキュリティ保証、ダウンタイムの短縮、コンプライアンスツール、コンフィデンシャルコンピューティングのサポートにより、最先端セキュリティの信頼感と安心感を得ることができます。
セキュリティ全般に対するCanonicalのアプローチについては、こちらからお問い合わせください。
ニュースレターのサインアップ
関連記事
ITチームの70%がセキュリティパッチの適用に6時間以上– IDCの最新調査
TL;DR(要約):IDC の新調査によると、70%以上の IT チームが週に 6 時間以上をセキュリティパッチに費やしており、多くが業務負担と感じています。Ubuntu Pro のような自動化されたセキュリティ対応が注目されています。この調査は、CVE 対応やオープンソースの脆弱性管理にも言及しており、Ubuntu Pro の価値が改めて浮き彫りになりました。 ———————————————————————————————————————————— CanonicalとIDC(International Data Corporation)社による最新の調査結果:企業はCVE(共通脆弱性識別子)パッチ適用の指令に従った修正の適用に苦労し、オープンソースサプライチェーンにお […]
アプリケーションセキュリティ(AppSec)とは?
サイバーセキュリティの世界は変わりました。サイバー攻撃、マルウェア、ランサムウェアのリスク増大に加え、新しいサイバーセキュリティ規制の圧力、情報漏洩や違反にかかる高額の罰金により、もはやアプリケーションセキュリティ(AppSec)は必須です。 このブログ記事では、このような課題に対処し、基本的なセキュリティ対策を中心として業務やシステムを守る方法を紹介します。AppSecの概要と利点、AppSecの設計と実装に取り組む方法を説明した後、セキュリティに関するCanonicalチームのアドバイスとAppSecのベストプラクティスを検討しましょう。 AppSecとは アプリケーションセキュリティ(略してAppSec)とは、アプリケーションのライフサイクルを通じて脆弱性の悪用を防 […]
脆弱性を見つける方法
脆弱性の評価を行う方法 情報セキュリティの世界は専門用語だらけです。脆弱性関連の用語を見たことがある方ならご存じでしょう。さらに厄介なのは、複数の用語が同じ意味に使用されたり、コンピューター以外の分野で使用される用語が混じっていたりすることです。これは、脆弱性の評価について学びたいと考えている人にとって混乱の元です。ですからこのブログ記事では、Ubuntu環境の脆弱性評価について掘り下げる前に、用語の意味を解説します。 脆弱性とは 脆弱性とは、攻撃者による悪用やユーザーのミスによって損害を引き起こす可能性のあるすべての欠陥です。リスク管理において脆弱性は、脅威の可能性を高める、または攻撃が成功したときの損失を増やす、あるいはその両方によって、リスクを増大させます。 サイバ […]