コンフィデンシャルコンピューティングはプライベートデータセンターにも必要?
by Canonical on 12 September 2023
コンフィデンシャルコンピューティングの普及が進む中、よく聞かれる質問があります。なぜプライベートデータセンターにもコンフィデンシャルコンピューティングが必要なのでしょう? コンフィデンシャルコンピューティングがパブリッククラウド環境におけるセキュリティの懸念への対処と関連付けられることが多いのは事実ですが、コンフィデンシャルコンピューティングの価値はそれだけではありません。
コンフィデンシャルコンピューティングの脅威モデル
この質問に答えるためには、最初にコンフィデンシャルコンピューティングの根本的な脅威モデルについて理解する必要があります。パブリッククラウドにおけるコンフィデンシャル仮想マシン(CVM)は、メインメモリ内のワークロードを暗号化することでワークロードの新しい信頼境界を確立します。これにより、ホストオペレーティングシステム、ハイパーバイザー、DMA対応デバイスは機密データにアクセスできなくなります。万が一これらのコンポーネントが侵害を受けても、CVMのデータは保護されます。コンフィデンシャルコンピューティングが導入されていなければ、クラウドのシステムソフトウェアを構成する数百万行ものコードが無制限にアクセスされます。さらに、CVMはクラウドの運用事業者からのワークロードも保護します。
プライベートデータセンターは「コンフィデンシャル」ではない
プライベートデータセンターにはデータガバナンス、統制、物理的セキュリティなどの固有の利点があると主張する人がいます。確かにそうです。データが暗号化されているかプレーンテキストかに関係なく、管理者にはデータを配置する場所、バックアップの方法、サーバールームにアクセスできる人員を決定する権限があります。
ガバナンスとセキュリティ
ただし、データガバナンスとセキュリティは区別する必要があります。データの統制を維持することとセキュリティは同じではありません。データが存在している場所を管理できても、データが侵害を受ける可能性はあります。
内部者の攻撃に弱いのはオンプレミスのサーバーも同じです。また、パブリッククラウドと同じ特権システムソフトウェアが稼働しているため、脆弱性とセキュリティリスクも同じです。
この問題の規模を理解するには、組織のITシステムのログと、データセンターのサーバーに定期的にパッチを適用する必要があるCVEの数を確認すれば済みます。たとえば、Linuxホストオペレーティングシステムを運用している場合、2022年だけで約400件のCVEにパッチを適用する必要があり、その半分は深刻度が「高い」または「緊急」でした。
コンフィデンシャルコンピューティングを導入していない場合、これらのCVEの1つでも悪用されれば、データが流出し、データの完全性が損なわれます。コンフィデンシャルコンピューティングを導入すれば、脆弱性が見つかる可能性のあるシステムソフトウェアをすべてコンフィデンシャルワークロードの信頼境界の外側に配置することができます。たとえば、ホストOSへの攻撃がワークロードのセキュリティに影響を与えることはありません。
このようなプライベートデータセンターにおけるコンフィデンシャルコンピューティングの必要性は、なかなかお客様にご理解いただけません。パブリッククラウドプロバイダーのメッセージも混乱を招いています。「プライベートデータセンターと同じレベルのセキュリティ」という宣伝文句でパブリッククラウドへの移行を勧めているからです。
Ubuntuのコンフィデンシャルコンピューティング
プライベートデータセンターの機密性を確保するため、複数のシリコンプロバイダーがオプションを提供しています。たとえば、X86アーキテクチャではIntel SGX、Intel TDX、AMD SEVを利用できます。ARMのエコシステム内なら、TrustZoneや今後発表されるARM CCAが候補です。KeystoneはRISC-Vアーキテクチャ向けに設計されています。NVIDIA H100はGPUに最適です。
基盤となるシリコンテクノロジーとしてどれを選んでも、Ubuntuは今すぐこの取り組みを始めるための最適な選択です。Ubuntuはコンフィデンシャル仮想マシン向けのAMD SEVやIntel TDXのようなサポート技術をすでに開発しており、コンフィデンシャルコンピューティングのエコシステムのすべてのレイヤーでさらなるイノベーションの推進に取り組んでいます。またUbuntuのコンフィデンシャルVMはすべての大手クラウドプロバイダーに対応しているため、デプロイ先を問わず、ハイブリッドマルチクラウドのコンフィデンシャルコンピューティング戦略を安心して構築し、データを保護できます。
Ubuntuのセキュリティについて
セキュリティ全般に対するCanonicalのアプローチについては、こちらからお問い合わせください。
その他のリソース
ニュースレターのサインアップ
関連記事
HPE Discover More AI 東京 2025に出展します
Canonicalは、1月28日にザ・プリンスパークタワー東京で開催される日本最大級のITイベント「HPE Discover More AI 東京 2025」に参加します。今回のテーマは「Ubuntu Pro & MicroCloud LTSで安心の長期運用」です。現地にて、展示テーマやソリューションについて専門家にご相談いただけます。 イベント情報 出展テーマ・ソリューション Ubuntu Pro Ubuntu Proは、ビジネスにおけるセキュリティー支援とコンプライアンスのニーズを満たすエンタープライズサービスです。Python、OpenJDK、MySQL、PostgreSQL、OpenSSLを含む25,000以上のパッケージに、最長で10年間の脆弱性対応を提供し、開 […]
サイバーセキュリティの未来を想像する
2024年10月にUbuntuは20周年を迎えました。サイバーセキュリティ情勢は2004年から大きく変わりました。Ubuntuのセキュリティチームは、サイバーセキュリティ意識向上月間を記念してポッドキャストの3回シリーズを作成しました。これをフォローしている方は、業界を方向づけた重要な出来事や、自分を守るためのアドバイスなどをお聞きになっていることと思います。ベストプラクティスのいくつかは20年前とそれほど変わっていませんが、一部の技術やプロセスは耳慣れないかもしれません。 たとえば、CVEプログラムは2004年に存在していました(そして偶然にも今年の10月にこのプログラムは25周年を迎えました)。その一方で、CVD(協調的脆弱性開示)はそれほど普及していませんでした。こ […]
まだCentOSをお使いの方に伝えたい6つの事実
CentOS 7が2024年7月にEoL(サポート終了)を迎えることは、2020年に発表されました。もうその日は過ぎましたが、CentOSが世界から消えたわけではありません。さぞユーザー数が減っただろうと思いきや、データによれば、企業の22%がCentOSの使用を継続しています。 これは少し意外です。CentOS 7のEoLが過ぎたにもかかわらず、多くの組織がまだ新しいシステムへの移行を迷っています。しかしCentOSのユーザーは、移行を先送りすればするほど、CentOS環境のセキュリティと機能の維持が難しくなるという事実を直視する必要があります。使い続けたいかもしれませんが、月日とともに依存関係が崩れ、手動でのパッチ適用作業が増え、スタックのあちこちに非互換性が生じます […]
