Fortanix Confidential Computing Manager でデータ損失を防止
高度なハードウェアレベルの暗号化で、攻撃を侵害に至る前に阻止
金融取引、医療記録、ソーシャルメディアサイト、その他のデジタルプラットフォームに含まれる個人を特定できる情報(PII)は、厳重に保護すべき極めて機微なデータです。PIIが露出または盗まれると、消費者や企業は多方面で被害を受け、重大な金銭的損失を被るおそれがあります。医療機関、金融サービス企業、小売業者、製造業者、公共部門の機関にとって、PIIを保護することは極めて重要な機能です。セキュリティ技術が進化し続けるのと同様に、サイバー犯罪者の戦術や技術的資産も高度化しています。知能的で高性能なコンピューティングシステムやアプリケーションを備えたハッカーは、世界中の最も安全で信頼されるシステムや環境であっても、その脆弱性を突くための高度なツールを活用できます。2020年には、米国で1億5,580万人が、PIIが露出したデータ侵害の影響を受けました。しかもデータ侵害の件数は増加傾向にあります。今後、民間・公共の両セクターは、サイバー犯罪の進化に歩調を合わせ、データ漏えいや侵害による壊滅的な影響を防ぐために、データセキュリティのソリューションと戦略を近代化していく必要があります。
インテルのセキュリティ技術であるIntel® Software Guard Extensions(Intel® SGX)を搭載したFortanix Confidential Computing Managerは、ハードウェアレベルの包括的な暗号化により、使用中のデータ(CPUによって積極的に処理されているデータ、またはRAM上のデータ)を保護します。ハッカーが引き続きシステムやアプリケーションへの新たな侵入口を探し続けている現在、そして組織がデータ処理をパブリッククラウドなどの信頼できないインフラへとますます移行している現在、この追加のセキュリティ層は不可欠です。
課題:使用中のデータ保護とクラウド侵害の防止
今日のデータは一般的に、そのライフサイクルの重要な2つの段階で暗号化されています。
- 保存時(永続ストレージに保存されているとき)
- 転送時(インターネット経由やプライベートネットワーク内など、ある場所から別の場所へ移動するとき)
この二段構えの手法は、歴史的にはデータ侵害の防止に有効でした。というのも、これまでハッカーの主な標的はストレージやネットワーク機器だったからです。保存時と転送時のデータへのアクセスが新たなインテリジェントセキュリティ技術によって難しくなるにつれ、ハッカーは新たな標的、すなわち使用中のデータへと狙いを移しています。したがって、企業はアプリケーションがデータを処理している最中の機密データを保護するために必要な対策を講じることが不可欠です。
さらに、現在81%超の組織が複数のクラウドプロバイダーを利用している点も考慮が必要です。データのクラウド移行が進むにつれ、ネットワークセキュリティと物理的境界セキュリティの間に隙間が生じ、クラウド上のデータが脅威に晒される可能性があります。実際、内部不正、ファームウェアの侵害、ハイパーバイザーやコンテナのブレークアウトにより、クラウドベースのコードに対する攻撃パターンは増加しています。クラウドコンピューティングの時代においては、エッジからクラウドまで、ライフサイクル全体を通じてあらゆるデータを保護できるようにセキュリティ戦略を設計する必要があります。
解決策:Fortanix Confidential Computing Manager
あらゆる業界セクターに影響するこの喫緊の課題に対処するため、FortanixはIntel SGXセキュリティ技術を搭載したConfidential Computing Managerを開発しました。第2世代および第3世代のIntel® Xeon® スケーラブル・プロセッサーに内蔵されているIntel SGXは、ハードウェアレベルの暗号化により、ソフトウェアとデータを基盤インフラストラクチャ(ハードウェアやOS)から分離することを可能にします。このより安全な実行環境はエンクレーブと呼ばれ、アプリケーション自身以外のいかなるプロセスからもアクセスできないメモリ領域を作り出します。Confidential Computing Managerは、稼働中のすべてのエンクレーブを可視化し、Intel SGXのリモートアテステーション機能を通じてエンクレーブ間の信頼を確立することで、Intel SGXエンクレーブを管理します。
Intel SGXの機能を活用することで、Confidential Computing Managerは使用中のデータおよびクラウド上のデータのための環境を強化します。
今日の市場での事例
カリフォルニア大学サンフランシスコ校(UCSF)のCenter for Digital Health Innovation(CDHI)は、組み込み人工知能(AI)機能を備えた画期的な医療機器の認証プロセスを効率化するために、Intel SGXとFortanix Confidential Computing Enclave Managerを活用しています。
金融サービス分野では、マネーロンダリング対策およびテロ資金供与対策(AML/CFT)の次世代システムの確立に注力するConsilient社が、Intel SGXを基盤とする新しい安全なフェデレーテッドラーニングプラットフォームを立ち上げました。
動作の仕組み
Confidential Computing Managerでは、アプリケーションで使用されるすべてのコードと機密データがIntel SGXエンクレーブに格納され、鍵で暗号化されます。起動のたびに、第3世代Intel Xeonスケーラブル・プロセッサーが、プロセッサー内にあらかじめ供給された秘密情報に基づき、エンクレーブ用の新しい一意の暗号鍵をランダムに生成します。鍵はハードウェアのみが使用し、第3世代Intel Xeonスケーラブル・プロセッサーがソフトウェアの支援なしにメモリの暗号化・復号を行います。その結果、アプリケーションは、より高い特権を持つプロセスに関連する脆弱性から保護されます。
さらに、鍵は永続ストレージに保存されず、ランダムアクセスメモリ(RAM)にも存在しないため、エンクレーブは侵害から一層保護されます。
Confidential Computing Managerは、セキュアなエンクレーブ開発プラットフォーム(EDP)を提供することで開発者のニーズにも応えます。このEDPにより、開発者はRustプログラミング言語を用いて、Intel SGXエンクレーブ向けにゼロからコードを書くことができ、設計上、Intel SGX技術のセキュリティ機能を最適に活用できます。
最終的に、Confidential Computing Managerは非常に高い効果を発揮するため、周辺のコンピュートインフラストラクチャが侵害された場合でも、Intel SGXのセキュアエンクレーブは不正アクセスから保護され続けます。つまり、パブリッククラウドやその他のホステッド環境といった信頼できないインフラ上で機密性の高いアプリケーションを実行する場合でも、データは保護されます。このような環境でデータとコードを保護できることにより、企業はパートナーや顧客を含む外部組織との連携を、より安全に進められるようになります。
第3世代Intel Xeonスケーラブル・プロセッサーが牽引するIntel SGXテクノロジー
Intel SGX技術を搭載した第3世代Intel Xeonスケーラブル・プロセッサーは、既存インフラと連携して、ワークロードやサービスの最も機微な部分を強化・保護するための高度なセキュリティ機能を提供します。Intel SGXは、システムの攻撃対象領域を縮小するもう一段の防御層を追加することで、既知かつ現行の多くの脅威からの保護に寄与します。Intel SGXのハードウェアベースのメモリ暗号化は、特定のアプリケーションコードやデータをメモリ内で分離します。機密情報がエンクレーブに分割されるため、より高い特権を持つプロセスを含む外部および内部の脅威の双方から保護されます。Intel SGXでは、データが処理されているとき(使用時)と保存時の双方で鍵も保護され、さらなるセキュリティが確保されます。これほど細粒度の制御と保護を提供するのはIntel SGXだけです。
IntelとFortanix—場所を問わずデータとアプリケーションを保護
データ損失と侵害の防止は、あらゆる業界にとって不可欠です。ハッカーが使用中のデータやクラウドベースのコードを狙い続けるなか、これらの重要なコンピューティング資産をより強力に保護することが極めて重要です。Fortanixは、Confidential Computing ManagerでIntel SGX技術を活用し、データとアプリケーションを最高水準で保護します。データ保護にとどまらず、Confidential Computing Managerはエンクレーブアプリケーションの構築と実行に向けた包括的なソリューションを提供し、アプリケーション開発者を支援します。機密計算環境の整合性を検証し、エンクレーブアプリケーションのライフサイクルを管理することで、Fortanix Confidential Computing Managerは、エッジからクラウドまで、必要なあらゆる場所でアプリケーションを安全に実行できるようにします。
