インテル® ソフトウェア・ガード・エクステンションズ (インテル® SGX) について

最近では、データがストレージ内に格納されている場合、またはネットワークを介して送信される際に、セキュリティー・ソリューションにより暗号化されます。しかし、メモリー内でデータが処理されている段階においては未だに脆弱なままです。共通脆弱性識別子 (CVE) データベース1の例を見ると、現在 11,000 件以上の潜在的な脆弱性が存在し、34% においてその影響が緩和されていません。システムのオペレーティング・システム (OS) および仮想マシン (VM) のソフトウェア・レイヤーをバイパスすることにより、インテル® SGX は、このような種類の攻撃の多くに対応できる保護機能を大幅に強化し、データ・セキュリティーを増強して、より機密性の高いコンピューティングのニーズに対応します。これにより、暗号化を活用してメモリーへのアクセス方法を変更できるハードウェア支援型のセキュリティー・ソリューションが実現し、保護されたメモリーを追加するエンクレーブを作成して、アプリケーションとそのデータを実行できるようになります。インテル® SGX では、実行中にアプリケーションとハードウェアの検証を要求することも可能です。

サイドチャネル攻撃とは? 注意すべき点は?

サイドチャネル攻撃は、消費電流、電磁波、待機時間などの情報をプロセッサーから直接抜き取ることで、データの使用パターンを間接的に推測するというものです。これらの攻撃は非常に複雑で実行が困難であり、物理単位、ネットワークおよびシステム単位といったさまざまなレベルで、企業のデータセンターのデータ漏洩につながる場合があります。

ハッカーは通常、最も阻止能力が低い攻撃経路を利用します。最近では、攻撃経路の大半がソフトウェアの攻撃です。インテル® SGX はサイドチャネル攻撃の保護に特化したものではありませんが、コードとデータを隔離する機能を提供し、攻撃者に対する防御レベルを大幅に高めます。インテルは、顧客やリサーチ・コミュニティーと連携し、サイドチャネルの潜在的なリスクを特定し、その影響を緩和できるよう引き続き尽力していきます。確かにサイドチャネルの脆弱性は存在しますが、保護機能を強化する追加レイヤーを提供できるという点で、インテル® SGX が貴重なツールであることに変わりありません。

インテル® SGX は信頼できるのか?

インテル® SGX は、十分な検証、研究および開発を重ねたハードウェア支援型データセンター向けの Trusted Execution Environment (TEE) であり、システム内の攻撃対象領域を最小限に抑えています。データ・プライバシーおよびセキュリティーに関する厳しい要件がある場合、インテル® SGX は明らかな戦略的優位性を提供します。

また、顧客がインテル® SGX による保護を活用するメリットとして、発生頻度が高い無数のソフトウェア・ベースの攻撃から防御できるだけでなく、インテル® SGX の認証メカニズムにより、アプリケーションが侵害されていないこと、実行中のプロセッサーに最新のセキュリティー・アップデートが適用されていることの検証も要求できるという点があります。

インテル® SGX は、数千にも及ぶ既知および未知の脅威2 から保護しますが、その脅威の大半が未だに緩和されていません。コードやデータについては、インテル® SGX を使用せずに保護するよりも、飛躍的に保護性が向上することに変わりありません。

暗号化されたデータを超えて暗号化されたコンピューティングへの移行

インテル SGX が攻撃対象領域を減らすことにより、防御のもう 1 つの層を追加する方法をご覧ください。

インフォグラフィックをダウンロードする

通知および免責事項3

よくある質問 (FAQ)

よくある質問

インテル® SGX は、攻撃対象領域を削減することにより、別の防御層を追加します。インテル® SGX は、データの処理中であっても、悪意のあるソフトウェアや特権エスカレーションによる攻撃からコードとデータを保護することができます。開発者は、プロセッサー / メモリーのドメイン内で、Trusted Execution Environment (TEE) を直接構築することができます。

サイドチャネル攻撃は、消費電流、電磁波、待機時間などプロセッサーから外部情報を収集し、データの活動状況や値を推測することを目的としています。4

ハッカーは通常、最も阻止能力が低い攻撃経路を利用します。最近では、攻撃経路の大半がソフトウェアの攻撃です。インテル® SGX はサイドチャネル攻撃からの保護に特化したものではありませんが、コードとデータを隔離する機能を提供し、攻撃者に対する防御レベルを高めます。

セキュリティーの脆弱性に対するインテル® SGX の取り組み:

  • コラボレーション: 機密コンピューティング・コンソーシアムの設立者としての役割をはじめとして、研究者およびパートナーと継続的に提携することにより、脆弱性を迅速に特定し、影響を緩和することができます。
  • 強化されたセキュリティー: インテル® SGX は、攻撃に対する継続的な強化を行えるよう、定期的に更新される設計になっています。
  • 検証: インテル® SGX を使用すれば、アプリケーションに検証を要求し、修正済みの妥協のないシステムで実行されていることを確認できます。

免責事項

2インテル® SGX はほとんどの OS レイヤーの脅威に対して脆弱ではなく、現在データベースには 140,000 件以上の脅威が存在します。https://cve.mitre.org.
42020年8月現在、インテル® SGX は数百もの研究論文に引用されています。