Google、データを暗号化したまま処理する仮想マシン「Confidential VM」発表。Google Cloud Next '20:OnAir

2020年7月15日

Googleは、Google Cloud上でデータを暗号化したまま処理する「Confidential VM」をオンラインイベント「Google Cloud Next '20:OnAir」で発表しました。

We’re now offering the ability to encrypt data in use—while it’s being processed. Confidential VMs, the first product in our Confidential Computing portfolio, is now in beta. Learn more at #GoogleCloudNext '20: OnAir → https://t.co/dF1Nrl648u pic.twitter.com/RAFAMxuUaL
— Google Cloud Platform (@GCPcloud) July 14, 2020

これは「Confidential Computing」と呼ばれる、つねに暗号化した処理を提供することにより高度なセキュリティを実現する一連のクラウドサービスの第一弾として提供されるもの。

これまでセキュアな仮想マシンを実現するための手段として、「Shielded VM」によりマルウェアなどが仕掛けられる心配のないセキュアなブートとイメージの保証や、外部に対して高度な分離機能を備えることでデータを盗まれないようにする、などがありました。

Confidential VMはShielded VMを用いつつ、さらに仮想マシン内部でデータを暗号化したまま処理することにより、さらに一段高度なセキュリティを実現するもの。そのために第二世代AMD EPYC CPUの技術を活用していると、次のように説明されています。下記は「Introducing Google Cloud Confidential Computing with Confidential VMs」からの引用です。

Confidential VMs leverage the Secure Encrypted Virtualization (SEV) feature of 2nd Gen AMD EPYC™ CPUs. Your data will stay encrypted while it is used, indexed, queried, or trained on. Encryption keys are generated in hardware, per VM, and not exportable.

Confidential VMは、第2世代AMD EPYC CPUのSecure Encrypted Virtualization（SEV）機能の活用により実現されました。データは暗号化されたまま処理され、インデックスが作成され、クエリが実行され、学習されます。暗号化キーは仮想マシンごとにハードウェア内で生成され、エクスポートできません。

通常のVMからConfidential VMへの移行は、設定画面でチェックボックスをチェックするだけで簡単に行えるとのこと。

GoogleはConfidential VMを用いたConfidential Computingはゲームチェンジャーであり、データセットの機密性を損なうことなく組織同士が協力できるようになると次のような例を挙げて指摘しています。

—imagine, for example, being able to more quickly build vaccines and cure diseases as a result of this secure collaboration.

例えば、このセキュアなコラボレーションの結果、より迅速にワクチンを製造したり、病気を治療したりすることができるようになることが考えられます。