Google Cloudは2020年7月14日(米国時間)、処理中のデータを暗号化する「Confidential Computing」への取り組みを発表した。まず仮想マシンを対象とした「Confidential VM」機能のβ版を提供開始した。
注:「confidential computing」という言葉は一般的に使われているが、Google Cloudはこの分野における同社の新たな取り組みを「Confidential Computing」と呼んでいる。
Confidential VMは、「転送中(in transit)」や「保存中(at rest)」でなく、処理中(in use)」のデータの暗号化を行う機能。第2世代AMD EPYCプロセッサの「Secure Encrypted Virtualization(SEV)」という機能を用いて、仮想マシンの仮想メインメモリにあるデータを暗号化する。つまり、第2世代AMD EPYCを搭載したサーバ上の仮想マシンで使える機能だ。暗号化キーは仮想マシン単位でプロセッサが自動的に発行して管理する。このためGoogle Cloudが知ることはできないという。
Google Cloudは、暗号化による遅延の小ささ、およびチェックボックスにチェックを入れるだけという利用の簡便さを、新機能の特徴に挙げる。
Google Cloudのクラウドセキュリティ担当ゼネラルマネージャー兼バイスプレジデント、スニル・ポッティ(Sunil Potti)氏によると、第2世代AMD EPYCの機能を採用した理由は、アプリケーションを再コンパイルする必要がないことにあるという。
「アプリケーションがGoogle Cloud、その他の場所で既に動いていたとしても、(仮想マシンを動かすことで)適用できる」(ポッティ氏)
だが、サーバCPUのセキュリティ機能を使うだけなら、他のクラウド事業者も同じことが容易にできるのではないか。そう聞くと、ポッティ氏はAMDとGoogle Cloudの数年にわたる協業を指摘した上で、次のように答えた。
「Confidential VMでは、プロビジョニング/ワークフローを大幅にシンプル化している。これが主要な差別化要因になる。(セキュアブートを実現する)『Shielded VM』はデフォルトで適用される機能になった。Confidential VMについても、チェックボックスをチェックするだけという利用のしやすさを生かして、主流にしていきたい」
Confidential VMの次は、コンテナ対応など、多様なワークロードに対応していきたいという。
Copyright © ITmedia, Inc. All Rights Reserved.