機密コンピューティングの公開: 侵入に対する最後の「抜け穴」を閉じる

コンピューティングでは、データは転送中、保存中、使用中の 3 つの状態で存在します。ネットワークを介して送信されているデータの状態は「転送中」、何らかのストレージに保存されているデータの状態は「保存中」、処理中のデータの状態は「使用中」です。

ネットワークやストレージデバイスに対するサイバー脅威が増加しており、転送中および保存中のデータに対する保護対策が強化されるにつれて、攻撃者は使用中のデータに焦点を移しています。一般的な攻撃には、メモリスクレイピング、CPU サイドチャネル攻撃、マルウェアの埋め込みなどがあります。

機密コンピューティング (コンフィデンシャル コンピューティングとも訳される) は、ハードウェア ベースの信頼できる実行環境 (TEE) を通じて使用中のデータを保護することです。 TEE は、一定レベルのデータ整合性、データ機密性、およびコード整合性保証を提供する環境として定義されます。

セキュリティ ポリシーでは、あらゆるレベルの侵入の可能性を考慮する必要があります。 1 つのレイヤー (使用中のデータなど) が侵害された場合、他のレイヤー (保存中のデータ、使用中のデータ) も影響を受ける可能性があります。機密コンピューティングは、侵入者が悪用できる最後の「穴」を塞ぎ、システムの全体的なセキュリティ戦略を大幅に強化します。

機密コンピューティングの台頭

業界では数十年にわたり複数のセキュリティ戦略を通じてデータ保護に取り組んできましたが、コンフィデンシャル コンピューティングはこの種のソリューションとしては初めてのものであり、これに代わるものはありません。これは、データ保護戦略の潜在的な弱点を補うことができる革新的なアプローチです。プロセッサとメモリ チップの設計における大きな進歩により、より多くの機能を標準処理チップセットに組み込むことができるようになり、機密コンピューティング ソリューションの増加と採用が促進されました。

新しいテクノロジーが初めて市場に登場したとき、それは通常複雑ですが、業界や特定分野の専門家によってすぐに採用されます。機密コンピューティングはまだ導入の初期段階にあり、標準的な実装アプローチが欠けています。企業によって実装方法が異なり、平均的なセキュリティ IT プロフェッショナルにとっては混乱を招く一方で興味深いものとなる可能性があります。

セキュリティの良い類似点は、キー管理の分野に見ることができ、同様の導入ペースを示しています。キー管理相互運用性プロトコル (KMIP) が導入される前は、導入されるすべての暗号化ソリューションを何らかの形の分散型暗号化キー マネージャーに統合する必要がありました。最初は複雑でわかりにくかったのですが、最終的には解決できました。

KMIP を使用した現在のキー管理ソリューションは、実装と使用がより簡単になり、価格も手頃になりました。キー管理やそれ以前の多くのテクノロジーと同様に、機密コンピューティング テクノロジーの応用も同様の道をたどると予想されます。

機密コンピューティング市場の発展に伴い、今後 3 ～ 5 年で大きな変化が見られるでしょう。当初は、各アプリケーションの実装が異なる可能性があり、チップ レベルで独自のハードウェアとそれを管理するためのソフトウェアが必要になります。

この間、顧客の要求により、チップメーカーは機密コンピューティングを標準化し、エンドユーザーが使用中のデータを統一された方法で保護するよう迫られることが予想されます。これにより、ソフトウェア業界は迅速に革新を進め、機密コンピューティングの管理性と互換性を向上させる必要に迫られ、既存のセキュリティ管理フレームワークに適合しやすくなり、アクセスしやすくなります。

機密コンピューティング分野への参入方法

機密コンピューティングは注目を浴び始めたばかりなので、IT セキュリティ専門家は、特定のアプリケーションに使用されるハードウェア ベンダーに応じて複数の異なる実装に対処する必要がある可能性があることを理解した上で、最も重要な企業または政府のアプリケーションに TEE を導入する方法を調査する必要があります。

たとえば、TEE がデータ センターで実行されている場合、管理はハードウェア ベンダーが提供する必要があります。これらの TEE は、セキュア エンクレーブなどのハードウェアでサポートされるテクノロジを使用して、その環境内でのコード実行とデータ保護のセキュリティを強化します。

ハードウェアベースのエンクレーブの例としては、Trusted Platform Module (TPM)、Intel の Secure Guard Extensions (SGX)、ARM の Trustzone、AMD の Secure Encrypted Virtualization (SEV) などがあります。ただし、クラウドを使用する企業は、多くの場合、クラウド プロバイダーによってサービスがホストされている別の TEE に頼る必要があります。これらには、Azure Confidential Computing と、Intel SGX を使用した Google Cloud Confidential Computing が含まれます。

HSM は機密コンピューティングの利点を活用できますが、それでも別個の複雑で高価なハードウェアを管理する必要があります。ソフトウェア ベースのキー マネージャーは、TEE を提供する任意のハードウェア上で実行でき、ハードウェア ソリューションの保護を備えながら、わずかなコストで機密コンピューティングの価値を提供します。

セキュリティはあらゆる IT 戦略の最前線にあり、機密コンピューティングは今後数か月から数年にわたって注目すべき新しいテクノロジーとなるでしょう。