Ubuntu ProとコンフィデンシャルVMでクラウドのサイバーセキュリティを強化

by Canonical on 2 November 2023

今日のデジタル環境では、あらゆる規模の組織がクラウドでのプレゼンスを拡大しています。ただし、そのために攻撃対象領域も大幅に増加し、セキュリティが最大の懸念事項となりました。このブログ記事では、クラウドのサイバーセキュリティという注目度の高い世界について深く掘り下げ、Ubuntuを利用してワークロードを保護する強力なアプローチを探ります。

OSの選択がクラウドのサイバーセキュリティにとって重要である理由

まず、オペレーティングシステムの選択がセキュリティにとって重要である理由を説明します。アプリケーションの開発時はセキュリティの確保に多大な努力が払われていますが、開発者が対応できる範囲は、セキュリティというパズルの1ピースに過ぎません。

アプリケーションを実運用環境で実行すれば、オペレーティングシステム、仮想マシンマネージャー、プラットフォームのファームウェアなど、特権システムソフトウェアから脅威が発生する可能性が生まれることになります。

設計上、このようなソフトウェアは、アプリケーションのすべてのリソースに広範にアクセスすることができるため、攻撃や侵害を受けた場合は、アプリケーションのすべての機密データが漏えいする可能性があります。したがって、アプリケーションセキュリティの上限は、オペレーティングシステムのセキュリティによって決まることを認識しておくことが極めて重要です。では、Ubuntuでは、クラウドのワークロード向けにどのようなセキュリティ対策を提供しているのでしょうか？

Ubuntuによるクラウドのサイバーセキュリティ

Ubuntuには、フルディスク暗号化、AppArmorによる強制アクセス制御、ファイルシステム機能、UEFIセキュアブートなど、組み込みのセキュリティ機能が多数用意されています。セキュリティ体制をさらに強化するために、Ubuntu Proサブスクリプションで追加のセキュリティ機能を有効にすることもできます。

Ubuntu Proは、オープンソースソフトウェアのセキュリティに対応したCanonicalの包括的なサブスクリプションです。Ubuntu Proをパブリッククラウド上で使用することにより、これまでにないレベルのセキュリティが実現します。その内容を詳しく見てみましょう。

1. 幅広いセキュリティ対応範囲：Ubuntu Proは、Apache Kafka、NGINX、MongoDB、Redis、PostgreSQLといった人気のアプリケーションを含め、25,000以上のオープンソースパッケージに対応した包括的なセキュリティパッチを提供します。
2. ダウンタイムの低減：Ubuntu ProのLivepatchサービスは、カーネルの重大かつ致命的なCVEに対し、実行中に即座にパッチを適用します。直ちに再起動する必要もありません。これにより、ビジネスの中断を大幅に短縮し、稼働時間を最大化できます。
3. 10年間保証されるプラットフォームの安定性と安心感：Canonicalは、LTSリリースを実行しているUbuntu Proユーザーに対し、10年間のセキュリティメンテナンスを保証しています。また、ワークロードについても安定性と保護を10年間保証します。
4. コンプライアンス認定：Ubuntu Proは、DISA-STIG、CIS堅牢化および監査、FIPS認定暗号化モジュールなどの自動化および監査ツールを提供します。これによりコンプライアンスプロセスが簡素化され、規制要件を容易に満たすことができます。
5. 24時間年中無休のサポート：Ubuntu Proには平日または24時間年中無休のサポートオプションがあり、必要なときにいつでも専門家のサポートを受けられます。これには、25,000種類のオープンソースパッケージと幅広いアプリケーションに対するトラブルシューティング、故障修正、バグ修正が含まれています。また、24時間年中無休のサポートを選択した場合、致命的で破壊的な問題については初回の応答を1時間以内に得られます。

Ubuntu Proは、個人および小規模なビジネスなら5台まで、Ubuntuコミュニティの公式メンバーであれば50台まで無料です。

Ubuntu Proを今すぐ使ってみる

コンフィデンシャルコンピューティングによってクラウドのサイバーセキュリティを強化

パブリッククラウドのワークロードを既知のセキュリティ脆弱性から保護するには、セキュリティの堅牢化とCVEパッチの自動適用が不可欠です。ただし、クラウドの特権システムソフトウェア内のゼロデイ脆弱性や、潜在的に悪意のあるクラウドプロバイダーからデータを保護することはできません。

これは最近まで、機密性の高いワークロードを実行中に保護する目的で利用できるメカニズムがなかったためです。現在はコンフィデンシャルコンピューティングによって、ハードウェアにルートを持つ論理的に隔離された実行環境内でアプリケーションを実行できるシステムレベルのプリミティブが提供されています。

UbuntuコンフィデンシャルVM

AMD SEV-SNPまたはIntel TDX CPUエクステンションを使用すると、最新のAES-128ハードウェア暗号化エンジンを使用してシステムメモリとCPUレジスタを暗号化したUbuntuコンフィデンシャルVMを展開できます。

クラウドで実行されるワークロードはハードディスクから読み込まれるため、Ubuntuはフルディスク暗号化機能も使用して保存中のデータを保護します。

UbuntuはAESを使用して書き込むデータすべてをディスクで暗号化および解読し、暗号化キー（それ自体も暗号化されている）をVM仮想ディスクに保存します。キーを解読できるのは、CVMインスタンスに関連付けられている仮想vTPM（virtual Trusted Platform Module）だけです。

UbuntuのコンフィデンシャルVMでは、実行中、保存中、起動中にデータのセキュリティが確保されます。

Canonicalでは、将来的にはコンフィデンシャルコンピューティングと個人情報を保護する技術がコンピューティングの標準的なアプローチになると強く確信しています。そのためコンフィデンシャルコンピューティングソリューションのポートフォリオは、すべてのパブリッククラウドで無料としました。

このトピックの詳細は、ホワイトペーパーをお読みください。Ubuntuを使用したAzureクラウドのサイバーセキュリティについて説明しています。

安全なUbuntuのワークロードを今すぐパブリッククラウドに展開

パブリッククラウド上でUbuntuを使用することで、クラウドのワークロードを強化するために必要な基盤が提供されます。Ubuntu Proの長期セキュリティ保証、ダウンタイムの短縮、コンプライアンスツール、コンフィデンシャルコンピューティングのサポートにより、最先端セキュリティの信頼感と安心感を得ることができます。

セキュリティ全般に対するCanonicalのアプローチについては、こちらからお問い合わせください。