クラウドに預けるデータは“保管”と“転送”だけでなく“計算中”にも盗まれるリスクがあります。そこで注目されるのが、データを暗号化したまま処理できるコンフィデンシャルコンピューティングです。
この記事では Intel SGX と AMD SEV を中心に、仕組みからユースケース、導入時の落とし穴までをわかりやすくまとめました。
コンフィデンシャルコンピューティングとは何か?
コンフィデンシャルコンピューティング(Confidential Computing)は、CPU 内部の Trusted Execution Environment(TEE) という隔離領域でデータを暗号化したまま処理し「保存時(at rest)」「転送時(in transit)」に加えて計算時(in use)を守る技術です。
実際の演算は CPU コアで一時的に復号されますが、その瞬間も外部 OS やハイパーバイザの権限では覗けない構造になっています。クラウド運用者やインフラ管理者をゼロトラストの前提に置けるため、医療・金融などの厳格な法規制下でもパブリッククラウドの活用余地を広げています。
なぜ今注目されるのか:クラウド時代の機密データ保護
Linux Foundation 傘下の Confidential Computing Consortium(CCC) は2019 年 10 月に発足しました。2025 年 7 日現在、Microsoft、AWS、Google など 40 社超が参加し、API 標準化とベンチマーク作成を継続中です。
主要クラウドの展開時期を整理すると、Azure DCsv2(2020/7)、AWS Nitro Enclaves(2020/10 プレビュー、GA 2020/12)、Google Confidential Space(2022/10) と広がっています。
生成 AI や複数企業間の秘密計算など「機密性を保ったままクラウドの演算資源を借りたい」ユースケースが急増し、採用が加速しています。
Intel SGX の仕組みとユースケース
Software Guard Extensions(SGX) は Skylake 世代(2015)で初実装され、現在は Xeon E/Scalable(Ice Lake/Sapphire Rapids) へシフトしています。
アプリの一部をエンクレーブに分離し、CPU が生成する暗号鍵でメモリをリアルタイム暗号化する仕組みですが、注目は EPC(Enclave Page Cache)の拡張です。
- クライアント/組込み SKU:物理上限 128 MB(利用可能 96 MB)。オーバーフロー時はスワップが発生し、2〜30 倍の遅延報告も。
- 第 3・4 世代 Xeon Scalable(Ice/Sapphire):SKU により 8 GB〜512 GB まで拡張設定可。ただし実際に利用可能な容量はサーバ機種やクラウド事業者の仕様によって異なります。Microsoft Azure の DCsv3/DCdsv3 VM では最大 256 GB を割当てた事例が公開されています。
この拡張により大規模データセットの SGX 処理が現実的になりつつありますが、クラウド上で小容量 SKU を選んだ場合は依然としてスワップ遅延のリスクが残る点に注意が必要です。
主なユースケース
- 複数企業の秘密計算プラットフォーム
- 暗号資産取引所のウォレット鍵保護
- AI モデルの IP 共有防止
AMD SEV の仕組みとユースケース
Secure Encrypted Virtualization(SEV) は EPYC プロセッサで仮想マシン全体のメモリを暗号化し、SEV-ES でレジスタ、SEV-SNP でページテーブル検証まで守備範囲を拡張しました。
2022年以降、クラウド環境では基本的にSEV-SNP対応が主流となっています。アプリ改修が不要な点と、物理メモリ全体を保護できるスケールが強みです。
主なユースケース
- マルチテナント SaaS 基盤の分離
- 医療ゲノム解析など大規模メモリ処理
- ライブマイグレーション時のスナップショット盗聴防止
SGX と SEV を比較:どちらを選ぶべき?
| 項目 | Intel SGX | AMD SEV-SNP |
|---|---|---|
| 保護単位 | アプリ領域(エンクレーブ) | 仮想マシン全体 |
| EPC/メモリ制約 | SKU により 128 MB〜512 GB | 物理メモリ全体 |
| 開発工数 | アプリ改修必須 | 改修ほぼ不要 |
| 性能オーバーヘッド | 小〜大(小容量 EPC では 2–30 倍遅延) | 中程度(ページ検証など) |
| 主要クラウド | Azure DCsv2/3 シリーズ(SGX) | AWS EC2 C7a Confidential、Google Cloud SEV-SNP |
AWS Nitro Enclaves は SGX ではなくハイパーバイザ分離型 TEE ですが、Confidential Computing のサービス群として 2020 年 10 月に公開(GA 12 月)されました。
活用時の注意点とベストプラクティス
リモートアテステーションの自動化
SGX は IAS/DCAP、SEV-SNP は VCEK チェーン を用いて TEE の真正性を遠隔検証します。CI/CD に組み込み、証明書取得・確認を自動化すると安全運用と開発スピードを両立できます。
KMS との連携
Nitro Enclaves と AWS Key Management Service、Azure DCsv3 と Azure Key Vault の組み合わせなど、鍵を外部 HSM/KMS に保持し TEE 内にはセッション鍵のみ渡す設計が推奨です。
サイドチャネル耐性の強化
SGX では Foreshadow(2018)や ÆPIC Leak(2022)、SEV-SNP では CVE‑2023‑20569 などが報告されています。最新マイクロコードの適用に加え、キャッシュ分離(CAT/MBM)やメモリアクセス難読化で多層防御しましょう。
責任分界点の明確化
クラウド提供者がハード層までをカバーし、ユーザーは OS 以上を保護する Shared Responsibility Model を前提に、監査ログの範囲やインシデント時の連絡フローを事前合意しておくと安心です。
パスキーとは?FIDO2で始める“本当の”パスワードレス認証徹底ガイド
まとめ:機密コンピューティングの未来
Intel SGX と AMD SEV はアプローチは異なれど、「計算時のデータを第三者に晒さない」という理念を共有します。EPC 拡張で SGX のスケール問題は急速に改善され、SEV-SNP は VM 全体を改修なしに守れる手軽さがあります。生成 AI やクロスドメイン統計解析など、2025 年以降もユースケースは拡大必至です。改修コスト、スケーラビリティ、脆弱性対応状況を踏まえ、最適な TEE を選定しましょう。
ゼロトラストセキュリティ完全ガイド|VPNとの違い・ZTNA導入手順を中小企業向けに徹底解説
参考文献
- Intel Software Guard Extensions Processors(公式)
- Azure Confidential Computing Enclaves(ドキュメント)
- AWS Nitro Enclaves Blog(2020/10 公開)
- Gramine SGX Intro(遅延計測)
- Confidential Computing Consortium(公式)
- ÆPIC Leak(Intel SA‑00657)
