パブリック・クラウド・サービスを利用しながら、移動中、保管中、使用中のデータを完全に自分の管理下に置いていることを確信できるとしたらどうでしょう。これこそがまさに SecuStack の狙いです。SecuStack は、政府機関や規制の厳しい業界にクラウド・コンピューティングのメリットをもたらします。Security Networks AG (ドイツのサイバーセキュリティー大手企業) と Cloud&Heat Technologies GmbH (エネルギー効率の高い、スケーラブルで安全なデータセンター・ソリューションのプロバイダー) から生まれた SecuStack は、これまで厳格なセキュリティー規制やクラウドへの不信感により導入できなかったさまざまな業界にクラウド・コンピューティングをもたらしています。
課題
クラウド・コンピューティングには、魅力的なコスト、運用の効率性、スケーラビリティーのメリットがありますが、一部の業界や政府機関では、セキュリティー上の懸念からクラウド・コンピューティングが幅広く導入されることはありませんでした。ソフトウェア・スタックのトランスペアレント性と、データの完全な管理が実現しなければ、こうした組織にまでクラウド・コンピューティングが広がることはありません。
ソリューション
セキュリティーを強化したクラウド・オペレーティング・システム (OS) を提供することで、SecuStack はオンプレミス、または Infrastructure as a Service (IaaS) による現代的なクラウド・ソリューションの信頼できるホスティングによる運用を実現します。商用ソフトウェアや多くのクラウド・サービス・プロバイダー (CSP) とは違い、ソフトウェア・スタックの機能性はトランスペアレントです。SecuStack には、データの転送とストレージを保護する、トランスペアレントに統合された暗号化メカニズムに加え、OpenStack 環境において処理中のデータ保護を支援するインテル® ソフトウェア・ガード・エクステンションズ (インテル® SGX) エンクレーブが統合されています。
検索結果
セキュリティーにおいて厳格なコンプライアンスを求める組織が、クラウド・コンピューティングによるあらゆるメリットを享受できるようになりました。このメリットには、インフラストラクチャー費用の負担回避、メンテナンス費用の削減、業務の効率化、スケーラビリティー、そして高パフォーマンスを実現するインテル® テクノロジーの最新イノベーションの利用などが含まれます。
クラウドにおけるトランスペアレント性とコントロールの必要性
クラウドは as a Service ビジネスです。通常、CSP は顧客にサービスとアプリケーション・プログラミング・インターフェイス (API) を提供しますが、ソフトウェアやソースコードは提供しません。したがって、クラウドサービスの消費者は、サーバーを実行し、ソフトウェア・スタックをコントロールし、顧客のデータを保護する CSP を信頼する必要があります。クラウド・コンピューティングは、効率性、コスト削減、スケーラビリティー、災害復旧機能など、幅広いメリットを提供できます。1 しかし、保管中、移動中、使用中のデータの完全なトランスペアレント性とコントロールは、多くの政府機関や、公共事業やヘルスケア・プロバイダーなどの非常に規制の厳しい民間企業にとっての懸念事項です。こうした組織においては、長い間このような懸念がクラウドサービス導入への障壁となってきたのです。データへの透明性とコントロールがなければ、こうした組織は外部クラウドサービスの利点をまったく活用できません。また、データ保護を強化すれば、企業はクラウドのリソースを使って、秘密を守りながらデータのコンピューティングを行えるようになります。
クラウドにおけるデジタル主権
SecuStack は、ID 管理、鍵管理、仮想プライベート・ネットワーク (VPN) サービスなどのクリティカルなインフラストラクチャー・サービスを、独立したアプリケーション・エンクレーブの内部で実行できるインテル® SGXを搭載した、インテル® プロセッサーを活用しています。このエンクレーブは、機密性と完全性の保護を強化するハードウェア支援型の機能を備え、高い特権レベルで処理にアクセスされることを防ぎます。認証サービスを通じ、署名検証者はアプリケーション・エンクレーブについて、起動する前にいくつかの検証を受けることができます。これらの機能により、アプリケーションはよりセキュリティーを強化することができます。Scontain の SCONE プラットフォームのおかけで、サービスはインテル® SGX エンクレーブ内で簡単に統合、実行できます。トランスペアレントなランタイム暗号化、機密情報管理、認証などの機能が、簡単に統合できます。インテル® SGX エンクレーブと、オープンソースをベースに強化され、暗号論的に安全なインフラストラクチャー・レイヤーの組み合わせにより、高度な保護が実現します。なぜなら、この組み合わせはアプリケーションとデータのセキュリティーおよび主権、そしてインフラストラクチャー・レイヤーの完全性を向上するために役立つからです。インフラストラクチャーの保護に加え、SecuStack は機密のクラウドネイティブ・アプリケーションもサポートします。アプリケーション・サービスは、例えば Kubernetes クラスターで動作しているインテル® SGX エンクレーブの内部で実行できます (図 1 を参照)。また、SecuStack はインテル® AES New Instructions (インテル® AES-NI) を使用して、SecuStack の暗号化プロセスを高速化します。
図 1.インテル® ソフトウェア・ガード・エクステンションズ (インテル® SGX) を活用することで、SecuStack オペレーティング・システムはクラウドにおける機密コンピューティングを実現。
コラボレーションがクラウド・セキュリティーの向上を後押し
インテルと同様 secunet も、真のセキュリティーはソフトウェアだけでもハードウェアだけでも実現できないと考えています。真のセキュリティーは、ソフトウェアとハードウェアの機能を組み合わせることにより達成できるのです。何十年にもわたり、インテルはセキュアブートやプロセッサー上の仮想化などのハードウェア・セキュリティー機能を向上させてきました。インテル® SGX には、エンクレーブ、認証、メモリー暗号化、使用中データの保護など、重要なセキュリティー機能が追加されています。SecuStack は、インテルによるこれらすべてのイノベーションを OpenStack のセキュリティー強化バージョンと組み合わせて活用しています。両社は Scontain と協力してきました。これにより、インテル® SGX を活用した SCONE プラットフォームにいくつかのツールが追加されています。これら 3 社間の協力により、検証可能かつ運用可能なクラウド OS が生まれました。この OS により、ついにヘルスケア、バンキング、マルチパーティー計算、機密コンピューティング、およびパブリックセクターのような用途にもクラウド・コンピューティングを利用できるようになったのです。
SecuStack の開発中、当時現れつつあったインテルの新技術を理解できるよう、インテルは SecuStack の開発者に教育資料を提供しました。インテルのエンジニアは機械学習や人工知能 (AI) 用途にエンクレーブ・テクノロジーを使用する方法についての知見を伝え、インテル® SGX に関する質問に答えました。さらにインテルは、ハードウェア製品への早期アクセスや、インテルラボおよびテクノロジーへのリモートアクセスも提供しました。インテルと secunet は、クラウド・コンピューティングのセキュリティーをさらに強化するため、継続的に連携して新しい技術に投資することを楽しみにしています。
「多くのプラットフォーム・プロバイダーは、クラウド・テクノロジーや人工知能 (AI) 機能を提供できます。しかしインテルは、包括的に、安全な方法でクラウドと AI テクノロジーを提供できる唯一の会社です」—secunet Security Networks AG、chief technical officer、Kai Martius
SecuStack の使用事例: 機密マルチパーティー・コンピューティング
SecuStack は、SCONE プラットフォームとインテル® SGX をクラウドの新たなアプリケーションのために使用しています。これらのアプリケーションには、機械学習やマルチパーティー・コンピューティングが含まれます。SecuStack の医療 / ライフサイエンス顧客の一部は、機密連合機械学習アプリケーション用の患者データを転送および処理するための機械学習モデルを保護するために SecuStack を利用しています。クラウド・サービス・プロバイダー (CSP) が信頼できるかどうかは関係ありません。どちらにせよ、トレーニング・データ、コード、そしてモデルは CSP によるアクセスから保護されます。SecuStack は、研究の拡張を行っています。これにより、病気の診断や治療において胸躍るような飛躍的進歩がもたらされるかもしれません。
SecuStack の使用事例: クラウドにおけるビデオデータの匿名化および偽名化
ある SecuStack の顧客は、一般データ保護規則 (GDPR) に準拠しつつ、さまざまなソースからのデータを組み合わせて、人工知能 (AI) モデルの連合学習にセキュリティーが強化されたオペレーティング・システムを利用しています。この顧客は、特にカスタマイズされた安全なクラウド・インフラストラクチャーの完全なライフサイクル管理を提供していることについて、SecuStack を評価しています。インフラストラクチャーの管理は、機械学習の開発を支援するため、SecuStack のパートナーである Cloud&Heat が提供するサービスを通じて、マネージド Kubernetes クラスターにまで拡張できます。顧客にビジネス上のメリットを与えるその他の SecuStack 機能としては、データへのより安全なアクセスと、欧州連合のデータ保護基準を侵害しない、ビデオデータの安全な保存・分析のための、セキュリティーを有効化した仮想プライベート・ネットワーク (VPN) 接続などがあります。
「secunet は、インテルと素晴らしい関係にあります。インテルは、将来的な技術についての情報とエンジニアリング・サポートを提供してくれます。テクノロジーを利用し、堅固なソリューションを構築するには、テクノロジーとその限界を理解することが重要なのです」—secunet Security Networks AG、chief technical officer、n.”—Kai Martius
secunet Security Networks AG に注目
secunet Security Networks AG はドイツのサイバーセキュリティー大手企業です。secunet は 700 人以上の専門家を雇い、政府、ビジネス、そして社会のデジタル主権を強化しています。secunet は製品とコンサルティング・サービス、堅牢なデジタル・インフラストラクチャー、そしてデータ、アプリケーション、デジタル ID のための最高レベルのセキュリティーを組み合わせて提供しています。secunet は、クラウド、産業用 IoT (IIoT)、機械学習、e-ヘルスなど、独自のセキュリティー要件がある分野を専門としています。secunet の顧客には、ドイツ連邦省庁、国家機関、国際機関、およびドイツ株価指数を構成する 20 社以上の企業が含まれます。
ソリューションの構成
- SecuStack クラウド OS
- Scontain SCONE プラットフォーム
- インテル® ソフトウェア・ガード・エクステンションズ (インテル® SGX)
- インテル® AES New Instructions (インテル® AES-NI)
- Cloud&Heat マネージド Kubernetes