[市場動向]
NTTデータグループ、計算途上のデータを暗号化して守るサーバー仮想化基盤を開発
2024年6月27日(木)日川 佳三(IT Leaders編集部)
NTTデータグループは2024年6月27日、計算途上のデータを暗号化する機構を備えた仮想サーバーの実現方式の確立について発表した。(1)メインメモリー上のデータを暗号化してCPU内部で復号するTrusted Execution Environment(TEE)、(2)仮想サーバーの起動ディスクの暗号化、(3)仮想サーバーの構成検証・改竄検知の3つを組み合わせている。今後、NTTデータのクラウドサービス「OpenCanvas」などにおいて2025年度中のサービス提供を目指す。
NTTデータグループは、計算途上のデータを暗号化する機構を備えた仮想サーバーの実現方式の確立について発表した。以下の3つの機能を組み合わせている(図1)。
(1)メインメモリー上のデータを暗号化してCPU内部で復号する
Trusted Execution Environment(TEE)
(2)仮想サーバーの起動ディスクの暗号化
(3)仮想サーバーの構成検証・改竄検知
拡大画像表示
これらのセキュリティ機能を備えたサーバー仮想化基盤を構築することで、仮想サーバーを、これまでよりも安全に運用できるようにする。具体的な実装として、2025年度中にNTTデータのクラウドサービス「OpenCanvas」などでのサービス提供を目指す。
(1)Trusted Execution Environment(TEE)は、仮想サーバーのメインメモリー上にある計算途上データを暗号化する技術。CPUに読み込んでから復号して利用する。これにより、サーバー仮想化ソフトウェア(ハイパーバイザ)などの物理サーバーで稼働するソフトウェアによるデータの読み取りや改竄を防ぐ。
(2)仮想サーバーの起動ディスク(ストレージ)に保管したデータも暗号化する。従来のディスク暗号化/復号処理では、一時的にデータが暗号化されていない状態が発生してしまう。今回確立した方式では、仮想サーバー内部でデータの暗号化/復号処理を実行し、仮想サーバー外部ではデータを暗号化したままの状態を保つ。
(3)仮想サーバーの実行環境とソフトウェアを検証し、正しい構成か/改竄されていないかを調べる。仮想サーバーを起動する際、これらを確認したうえで、機密データの復号に必要な鍵情報を仮想サーバーに渡す。この仕組みにより、データ暗号化の設定漏れや第三者によるソフトウェアの改竄による機密データの漏洩を防ぐ。