コンフィデンシャルコンピューティングはプライベートデータセンターにも必要?
by Canonical on 12 September 2023
コンフィデンシャルコンピューティングの普及が進む中、よく聞かれる質問があります。なぜプライベートデータセンターにもコンフィデンシャルコンピューティングが必要なのでしょう? コンフィデンシャルコンピューティングがパブリッククラウド環境におけるセキュリティの懸念への対処と関連付けられることが多いのは事実ですが、コンフィデンシャルコンピューティングの価値はそれだけではありません。
コンフィデンシャルコンピューティングの脅威モデル
この質問に答えるためには、最初にコンフィデンシャルコンピューティングの根本的な脅威モデルについて理解する必要があります。パブリッククラウドにおけるコンフィデンシャル仮想マシン(CVM)は、メインメモリ内のワークロードを暗号化することでワークロードの新しい信頼境界を確立します。これにより、ホストオペレーティングシステム、ハイパーバイザー、DMA対応デバイスは機密データにアクセスできなくなります。万が一これらのコンポーネントが侵害を受けても、CVMのデータは保護されます。コンフィデンシャルコンピューティングが導入されていなければ、クラウドのシステムソフトウェアを構成する数百万行ものコードが無制限にアクセスされます。さらに、CVMはクラウドの運用事業者からのワークロードも保護します。
プライベートデータセンターは「コンフィデンシャル」ではない
プライベートデータセンターにはデータガバナンス、統制、物理的セキュリティなどの固有の利点があると主張する人がいます。確かにそうです。データが暗号化されているかプレーンテキストかに関係なく、管理者にはデータを配置する場所、バックアップの方法、サーバールームにアクセスできる人員を決定する権限があります。
ガバナンスとセキュリティ
ただし、データガバナンスとセキュリティは区別する必要があります。データの統制を維持することとセキュリティは同じではありません。データが存在している場所を管理できても、データが侵害を受ける可能性はあります。
内部者の攻撃に弱いのはオンプレミスのサーバーも同じです。また、パブリッククラウドと同じ特権システムソフトウェアが稼働しているため、脆弱性とセキュリティリスクも同じです。
この問題の規模を理解するには、組織のITシステムのログと、データセンターのサーバーに定期的にパッチを適用する必要があるCVEの数を確認すれば済みます。たとえば、Linuxホストオペレーティングシステムを運用している場合、2022年だけで約400件のCVEにパッチを適用する必要があり、その半分は深刻度が「高い」または「緊急」でした。
コンフィデンシャルコンピューティングを導入していない場合、これらのCVEの1つでも悪用されれば、データが流出し、データの完全性が損なわれます。コンフィデンシャルコンピューティングを導入すれば、脆弱性が見つかる可能性のあるシステムソフトウェアをすべてコンフィデンシャルワークロードの信頼境界の外側に配置することができます。たとえば、ホストOSへの攻撃がワークロードのセキュリティに影響を与えることはありません。
このようなプライベートデータセンターにおけるコンフィデンシャルコンピューティングの必要性は、なかなかお客様にご理解いただけません。パブリッククラウドプロバイダーのメッセージも混乱を招いています。「プライベートデータセンターと同じレベルのセキュリティ」という宣伝文句でパブリッククラウドへの移行を勧めているからです。
Ubuntuのコンフィデンシャルコンピューティング
プライベートデータセンターの機密性を確保するため、複数のシリコンプロバイダーがオプションを提供しています。たとえば、X86アーキテクチャではIntel SGX、Intel TDX、AMD SEVを利用できます。ARMのエコシステム内なら、TrustZoneや今後発表されるARM CCAが候補です。KeystoneはRISC-Vアーキテクチャ向けに設計されています。NVIDIA H100はGPUに最適です。
基盤となるシリコンテクノロジーとしてどれを選んでも、Ubuntuは今すぐこの取り組みを始めるための最適な選択です。Ubuntuはコンフィデンシャル仮想マシン向けのAMD SEVやIntel TDXのようなサポート技術をすでに開発しており、コンフィデンシャルコンピューティングのエコシステムのすべてのレイヤーでさらなるイノベーションの推進に取り組んでいます。またUbuntuのコンフィデンシャルVMはすべての大手クラウドプロバイダーに対応しているため、デプロイ先を問わず、ハイブリッドマルチクラウドのコンフィデンシャルコンピューティング戦略を安心して構築し、データを保護できます。
Ubuntuのセキュリティについて
セキュリティ全般に対するCanonicalのアプローチについては、こちらからお問い合わせください。
その他のリソース
ニュースレターのサインアップ
関連記事
Japan IT Week 2025 にCanonicalが出展!
最新のAIoT & セキュリティソリューションを体験しよう 日本最大級のIT展示会 Japan IT Week が、2025年4月23日(水)~25日(金)に東京ビッグサイトで開催されます。Canonicalは、今年も IoT & Edge Computing Expo に出展し、最新の AIoT および セキュリティソリューション をご紹介します。 イベント情報 開催日時: 2025年4月23日(水)~25日(金)会場: 東京ビッグサイトCanonicalブース: 26-14 | IoT・エッジコンピューティング EXPO来場登録: こちらから事前登録ライブデモ事前予約: 事前予約 Canonicalブースの見どころ Canonicalブースでは、以下の最新ソリューショ […]
自動パッチ適用とは
自動パッチ適用とは システムの脆弱性が増えるにつれ、サイバーインシデント、攻撃、侵害のリスクが増大しています。システムを24時間保護することが、これまでになく重要な時代になりました。 パッチ適用は、あらゆる脆弱性管理に必須の作業です。このブログ記事では、パッチ管理について概説し、手動と自動でのパッチ管理を比較します。また、自動パッチ管理の使用事例や利点を説明し、自動パッチ管理の戦略を立てる明確な手順を定義します。 パッチ管理とは ソフトウェアに関して言えば、パッチとはプログラミングの問題、欠陥、脆弱性を修正するための更新ファイルです。ソフトウェアが円滑かつ安全に実行されるよう、セキュリティ上の脆弱性、バグ、パフォーマンス上の問題に対処します。 パッチ管理とは、対象のソフト […]
Canonicalが12年間のKubernetes LTSを発表
CanonicalのKubernetes LTS(長期サポート)はFedRAMPのコンプライアンスに対応し、ベアメタル、パブリッククラウド、OpenStack、Canonical MicroCloud、VMwareで最小12年のセキュリティメンテナンスおよびエンタープライズサポートが保証されます。 2025年2月 – Canonicalは本日、Kubernetes 1.32以降、12年間のセキュリティメンテナンスとサポートを保証すると発表しました。新リリースは、インストール、運用、アップグレードが簡単な上、トップクラスのオープンソースネットワーキング、DNS、ゲートウェイ、メトリクスサーバー、ローカルストレージ、ロードバランサー、イングレスサービスを備えています。Cano […]
