Azure Confidential Computing の DCsv2 シリーズ VM の一般提供開始

2020年4月27日 に投稿済み

Chief Technology Officer, Microsoft Azure

セキュリティとプライバシーは、支払トランザクション、金融レコード、個人の医療データなどの機密情報をクラウドで保管、処理する際に非常に重要になります。DCsv2 シリーズ仮想マシン (VM) の一般提供開始により、Azure で新たなレベルのデータ保護が実現されます。

クラウドに移行されるワークロードが増大し、マイクロソフトに信頼を寄せるお客様が増える中で、Azure Confidential Computing チームは、お客様の信頼を維持し、お客様の信頼に基づいたオファリングを提供できるようイノベーションを実現し続けています。マイクロソフトは、自社の世界クラスのセキュリティ研究者を皮切りに、さまざまな業界パートナーと緊密に連携をとりながら、Azure Confidential Computing で使用中のデータを保護する新たな手法を開発しています。DCsv2 シリーズ VM は、データが処理中であっても、データの機密性と整合性を保護できます。

Confidential Computing とは

保存データや転送中のデータを暗号化する手段はいろいろありますが、Confidential Computing は使用中のデータの機密性と整合性を保護します。Azure は、ハードウェアベースの Trusted Execution Environment (TEE) を利用する Confidential Computing 向けの仮想化インフラストラクチャを提供する初のパブリック クラウドです。サーバーへの物理アクセスが可能なクラウド管理者やデータセンター運用者であっても、TEE で保護されたデータにはアクセスできません。

クラウドのスケーラビリティと使用中のデータを暗号化する機能を組み合わせることで、複数の異なる組織が、お互いのデータにアクセスできないようにしながら、コンピューティング負荷の高い分析のためにデータセットを結合する、機密性の高いマルチパーティ計算のような新たなシナリオを Azure で実現することが可能になりました。一例として、銀行が取引データを結合して不正やマネー ロンダリングを検出するシナリオや、病院が分析のために患者のカルテを結合 (英語)し、病気の診断や処方箋の割り当てを改善するシナリオが挙げられます。

Intel のハードウェアを利用したデータ保護

マイクロソフトの DCsv2 Confidential Computing 仮想マシンは、Intel Software Guard Extensions (Intel SGX) (英語) を実装するサーバーで実行されます。CPU がデータを処理している間、Intel SGX ハードウェアがデータを保護し、暗号化するため、オペレーティング システムやハイパーバイザーであってもそのデータにアクセスできず、サーバーへの物理アクセスが可能なユーザーもそのデータにアクセスできません。

マイクロソフトと Intel は、強力かつ継続的なパートナーシップを通じて、クラス最高のクラウド データ保護の実現に力を入れています。

Intel のデータセンター セキュリティおよびシステム アーキテクチャ担当 VP である Anil Rao 氏は次のように述べています。「お客様は、使用中のデータの暗号化によって、攻撃対象領域を減らし、クラウドの機密データの保護を支援する機能を求めています。弊社とマイクロソフトのコラボレーションで、エンタープライズ対応の Confidential Computing ソリューションが市場にもたらされ、お客様は、Intel® SGX テクノロジを利用して、クラウドとマルチパーティ計算のパラダイムのメリットをさらに活かせるようになります。」

Azure Marketplace のパートナー

マイクロソフトは、プラットフォーム パートナーと直接連携し、Azure Confidential Computing インフラストラクチャ上で実行されるシームレスなソリューション、開発、および展開エクスペリエンスを提供しています。Azure Marketplace では、以下を含むソフトウェア オファリングが提供されています。

  • Fortanix (英語) — Azure Confidential Computing に基づいたキー管理、HSM、トークン化、シークレット管理を含むクラウドネイティブのデータ セキュリティ ソリューションを提供しています。
  • Anjuna (英語) — アプリケーションや運用の変更を伴わない、エンドツーエンドの CPU ハードウェアレベルの暗号化を利用したセキュアな Azure インスタンスを提供しています。
  • Anqlave (英語) — シンガポールの貴重なパートナーである同社は、エンタープライズ対応の Confidential Computing ソリューションを提供しています。

Anqlave の CEO である Assaf Cohen 氏は次のように述べています。「Anqlave が提供する専用、機関グレード、最新のキー管理およびデータ暗号化ソリューションは、現在私たちが直面している最も重大なセキュリティ問題に対応します。Anqlave Data Vault (ADV) のシークレット管理は、シークレットのセキュアな作成、保管、転送、および利用を可能にするテクノロジです。Azure Confidential Computing を活用することで、より多くのエンタープライズのお客様にこのテクノロジを利用していただき、お客様のスケールを容易にサポートすることが可能になっています。エンタープライズのお客様が他のクラウド インフラストラクチャを考慮せずに Azure Confidential Computing で ADV をホストすることを選択する主な理由の 1 つとして、クラウドでの移植が可能なセキュア エンクレーブの提供があります。」

Azure Confidential Computing で成功を収める方法

既に、さまざまなお客様が実稼働ワークロードで Azure Confidential Computing を利用しています。Signal (英語) もその 1 社です。

Signal のエンジニアリング担当 VP である Jim O'Leary 氏は次のように述べています。「Signal は、エンドツーエンドの暗号化された、メッセージングや通話などのコミュニケーションを実現するオープン ソース テクノロジを開発しています。弊社は、数百万人の人々のセキュリティやプライバシーに対する期待に日々応えるため、Azure Confidential Computing を利用して、スケーラブルでセキュアなサービス環境を提供しています。Azure を利用することで、ユーザーを最優先する弊社は Confidential Computing でデータ保護の最前線に立ち続けることができます。」

Confidential Computing によるデータ保護を利用できるアプリケーションやサービスは数多く存在しますが、金融、行政、医療などの規制対象の業界では特有のメリットが実現されます。企業は、リスクを抑えながら、データが処理中であっても保護されているというより確固たる自信を持ち、機密性の高い顧客データを処理する目的でクラウドを利用できるようになりました。

たとえば、新しい国際暗号通貨を提供する MobileCoin (英語) は、デジタル通貨の転送をサポートできるという信頼を Azure Confidential Computing に寄せています。現在、同社のネットワーク コードがオープン ソース (英語)で提供されており、TestNet (英語) の試用が可能になっています。

MobileCoin の CEO である Joshua Goldbard 氏は次のように述べています。「MobileCoin は Azure と提携していますが、マイクロソフトが信頼性の高いシステムへの投資を決定したからです。Confidential Computing は、弊社が "思い描けること" と "保護できるもの" の境界線を乗り越えるソリューションです。Azure での実践により、高い信頼性とパフォーマンスを兼ね備えた完全なシステムに注力することが可能になっています。」

Confidential Computing は、エンタープライズグレードのブロックチェーンで役立つことが実証されており、分散ネットワークを介した高速かつセキュアなトランザクションの検証を可能にします。Fireblocks (英語) も、Azure Confidential Computing インフラストラクチャを利用しているお客様です。

Fireblocks の CEO 兼共同創業者である Michael Shaulov 氏は次のように述べています。「Fireblocks のミッションは、金融業界のブロックチェーンベースの資産やトランザクションを保護することです。弊社は、従来のテクノロジ スタックがこの課題に適してしないと判断し、Azure Confidential Computing と Intel SGX を利用して、特許出願中のテクノロジを実装しました。弊社のお客様は、デジタル資産の保管と移動をセキュアに行えるという信頼を弊社に寄せています。その額は、毎月 65 億ドル以上に上ります。Azure は、弊社がその約束を果たすのに中核的な役割を提供してくれます。」

Confidential Computing を最前線へと導く業界のリーダーシップ

マイクロソフトは、単独で Confidential Computing をクラウド コンピューティング業界の最前線へと導いてきたわけではありません。2019 年 9 月、マイクロソフトは、Confidential Computing Consortium (CCC) (英語) の創設メンバーとなりました。現在、CCC は、数十社の企業で構成されており、使用中のデータを保護するためのテクノロジやベスト プラクティスの開発とオープン ソース化に取り組んでいます。これらの企業には、ハードウェア、クラウド、プラットフォーム、およびソフトウェア プロバイダーが含まれています。

マイクロソフトは、プラットフォーム パートナーやアプリケーション開発者が Confidential Computing を利用するソリューションを構築できるように、開発者のエクスペリエンスにも力を入れています。また、Confidential Computing インフラストラクチャ上でプラットフォームやアプリケーションを開発するためのオープン ソース SDK である Open Enclave SDK (英語) を CCC に寄贈しました。

今すぐ始めましょう

Azure Marketplace から独自の DCsv2 仮想マシンを展開するプロセスを開始し、必要なツールをインストールしましょう。その後、Open Enclave SDK を利用して Hello World サンプル (英語)を実行し、クラウドで機密性の高いワークロードを作成するプロセスを始めましょう。