インテル® ソフトウェア・ガード・エクステンションズ (インテル® SGX) について
最近では、データがストレージ内に格納されている場合、またはネットワークを介して送信される際に、セキュリティー・ソリューションにより暗号化されます。しかし、メモリー内でデータが処理されている段階においては未だに脆弱なままです。共通脆弱性識別子 (CVE) データベース1の例を見ると、現在 11,000 件以上の潜在的な脆弱性が存在し、34% においてその影響が緩和されていません。インテル® SGX は、システムのオペレーティング・システム (OS) および仮想マシン (VM) のソフトウェア・レイヤーをバイパスすることにより、このような種類の攻撃の多くに対応できる保護機能を大幅に強化し、データ・セキュリティーを増強して、より機密性の高いコンピューティングのニーズに対応します。これは、暗号化を活用してメモリーへのアクセス方法を変更できるハードウェア・ベースのセキュリティー・ソリューションを提供し、保護されたメモリーのエンクレーブを提供して、アプリケーションとそのデータを実行できるようになります。インテル® SGX では、実行中にアプリケーションとハードウェアの検証を要求することも可能です。
サイドチャネル攻撃とは? 注意すべき点は?
サイドチャネル攻撃は、消費電流、電磁波、待機時間などの情報をプロセッサーから直接抜き取ることで、データの使用パターンを間接的に推測するというものです。これらの攻撃は非常に複雑で実行が困難であり、物理単位、ネットワークおよびシステム単位といったさまざまなレベルで、企業のデータセンターのデータ漏洩につながる場合があります。
ハッカーは通常、最も阻止能力が低い攻撃経路を利用します。最近では、攻撃経路の大半がソフトウェアの攻撃です。インテル® SGX はサイドチャネル攻撃の保護に特化したものではありませんが、コードとデータを隔離する機能を提供し、攻撃者に対する防御レベルを大幅に高めます。インテルは、顧客やリサーチ・コミュニティーと連携し、サイドチャネルの潜在的なリスクを特定し、その影響を緩和できるよう引き続き尽力していきます。サイドチャネルの脆弱性は存在しますが、インテル® SGX は、保護機能を強化する追加レイヤーを提供できるという点で、貴重なツールであることに変わりありません。
インテル® SGX は信頼できますか?
インテル® SGX は、十分な検証、研究および導入を重ねたハードウェア支援型データセンター向けの Trusted Execution Environment (TEE) であり、システム内の攻撃対象領域を最小限に抑えています。データ・プライバシーおよびセキュリティーに関する厳しい要件がある場合、インテル® SGX は明らかな戦略的優位性を提供します。
また、インテル® SGX によって保護されている顧客のメリットとして、無数のより一般的なソフトウェア・ベースの攻撃を防御できるだけでなく、インテル® SGX の認証メカニズムにより、アプリケーションが侵害されていないこと、実行中のプロセッサーに最新のセキュリティー・アップデートが適用されていることの検証も要求できるという点があります。
インテル® SGX は、数千にも及ぶ既知および未知の脅威2 からの保護を提供します。その脅威の多くには、インテル® SGX 以外には未だに緩和方法がありません。コードおよびデータについては、インテル® SGX を使用せずに保護するよりも、飛躍的に保護性が向上することに変わりありません。