STRICTLY CONFIDENTIAL©Acompany Co.,Ltd. 1 STRICTLY CONFIDENTIAL©Acompany Co.,Ltd. Azureで学ぶ Confidential Computing 入門 株式会社 Acompany 平岡 拓海 (@takuuuuu_h__) 行く年、来る年、年忘れセキュリティ 2025 12/12 

Who are you? ● 株式会社Acompany のEng & PdM ○ 名古屋大学発スタートアップ ○ 秘密計算を用いたプロダクト開発を行う ○ Startup World Cup 2025 世界TOP 10 ● 学生時代の研究 ○ 学部：コンパイラ・プロセッサ ○ 修士：差分プライバシー ● 趣味 ○ 海外旅行 ○ 霜降り明星 平岡 拓海 (ヒラオカタクミ ) 2 

©Acompany Co.,Ltd. 3 秘密計算 (Confidential Computing) 概要 

50兆円 3.4兆円 8,500億円 2023 2025 2032 4× CAGR 46.4% For 2 Years 秘密計算（Confidential Computing）の市場規模 Source: Fortune Business Insights, 2032 Forecast 4 

ビックテックを中心に活用が加速 • AppleやMetaなど大手企業がサーバーでのデータ処理に秘密計算を採用 • サービス提供者でもユーザーのデータを見ることができない形でのサービスを提供 Apple Intelligence オンデバイスとサーバーの組み合わせで、シチュエー ションに応じて、ユーザー情報を保護しながら生成AIを 利用 Meta Private Processing WhatsAppのメッセージ情報をサーバーにて生成AIで分 析する際に、メッセージの秘匿性を担保 出典：Apple Intelligence紹介ページ、Engineering at Meta「Building Private Processing for AI tools on WhatsApp」 5 

秘密計算技術（ PETsの代表技術） データを暗号化（秘匿）したままの状態で計算を実行 する技術 従来 秘密 計算 通信 時 保管 時 計算 時 計算 時 通信 時 保管 時 計算 時 暗号化のラストワンマイル ネットワーク ストレージ メモリ （生データ） 外部攻撃者、内部不正者、 受託事業者、クラウド事業者、 Acompany、など 6 

秘密計算には様々な種類が存在 TEE （ハードウェア型） MPC （マルチパーティ計算） HE （準同型暗号） 概要 計算結果 暗号化 データ 保護領域 ハードウェア環境 計算結 果 データ 分割した 断片の み を送信 計算結果 の 断片値を 集計 秘密分散 / 復元 計算結 果 暗号化 データ 暗号化したまま 計算実行 復号 秘密計算の種類 7 

特殊なCPUからの命令しか受け付けない暗号化領域を用意し、データの中身を外部に 知られることなく計算する CPU CPUメモリ Enclave （信頼可能領域） 信頼不可能領域 機密データ 機密データ Enclave 生成 内部の演算は 平文で行われるため高速 EnclaveをCPUが持つ メモリ暗号化エンジンで生成 TEEの概要 8 

比較項目 プロセス型 TEE (部分隔離型) VM型 TEE (全体保護型) 別名 Enclave（エンクレーブ）ベース CVM (Confidential VM) 保護の単位 メモリ内の特定の「区画」のみ VM（OS・メモリ）丸ごと TCB (信頼基盤) 狭い (最小限) ハードウェアと対象コードのみ信頼 広い (比較的大きい) ゲストOSなども信頼に含める必要あり セキュリティ 非常に高い 攻撃対象領域（Attack Surface）が極小 中〜高 OSの脆弱性などがリスクになる可能性がある 導入・実装 難しい (要改修) 専用SDKやドライバを用いたアプリの作り込みが必要 容易 (Lift & Shift) 既存のアプリやOSをそのまま移行して動作可能 主なユースケー ス 鍵管理、生体認証、高セキュリティな特定処理 クラウドへの既存システム移行、 AIモデル保護 代表的な技術 Intel SGX, ARM TrustZone, RISC-V KeyStone Intel TDX, AMD SEV-SNP TEEの種類 9 

TEE内で実行されているソフトウェアが正当なものであり、改ざんされていないことを、リ モートの第三者が検証できるようにする仕組み。以下を検証。 ● TEEのような信頼される環境であるか？ ● 想定したアプリケーションが実行されているか？ Remote Attestation (RA)の概要 10 

©Acompany Co.,Ltd. 11 Confidential Computing 利用例 

生成AI・他社データ連携といった、高い信頼性が求められる場合に有益 生成AI×機密データの安全な利用 事業者間の機密データを安全に連携 ✔ 利用者の入力データを外部LLMに見せない ✔ 機密な箇所を自動で抽出してマスキング など 非・秘密計算 秘密計算 マスキング 突合・分析 秘密計算 統計データ ✔ お互いのデータを開示せずに分析を行う ✔ 顧客データを突合する際のプライバシー保護 秘密計算の利用シーン 12 

©Acompany Co.,Ltd. 13 Azure Confidential Computing 

● VM (Intel SGX/AMD SEV-SNP/Intel TDX) ● GPU VM (NCC) ● コンテナ (Azure Container Instances) ● Database Server (Azure SQL Database, SQL ServerのAlways Encrypted機 能の一部) ● HSM (Azure Key Vault) ● … Azureが提供する CCサービス CC = Confidential Computing 14 

● VM (Intel SGX/AMD SEV-SNP/Intel TDX) ● GPU VM (NCC) ● コンテナ (Azure Container Instances) ● Database Server (Azure SQL Database, SQL ServerのAlways Encrypted機 能の一部) ● HSM (Azure Key Vault) ● … Azureが提供する CCサービス CC = Confidential Computing 15 

● 仮想マシンを管理したり、より高度なサービスを採用したりせずに、 Azureで最も 高速かつ簡単に LinuxまたはWindowsコンテナを実行する方法 ● 対応する他のクラウドサービス ○ AWS Fargate ○ GCP Cloud Run ACI (Azure Container Instances) 16 Container-Group アプリケーションコンテナ サイドカーコンテナ デプロイ 

1. 標準コンテナ: ● 最も一般的で基本的なACIの利用形態 ● WebアプリケーションやAPIのホスティングで使用される 2. 機密コンテナ (Confidential Containers) ● TEE(AMD SEV-SNPなど)上でコンテナを動かす ● 機密性の高いデータ処理 (AIモデルの保護を含む ) 3. スポットコンテナ ● 中断されるリスクを受け入れて安くコンテナを実行可能 ● バッチ処理・CI/CD処理 ACI がサポートするコンテナ 17 

具体的にポリシーで制御する項目 ● どの VM イメージ/ブートローダ/ファームウェアを使うか ● どのモジュール/ドライバがロードできるか ● コンテナの実行許可設定、マウント、ネットワーク、環境変数 など ● 起動時点からの設定の整合性要件 CCE (Confidential Compute Enforcement) Policy クライアントが想定する CC環境であるかをポリシーで縛ることが可能。 18 

Attestationフローの全体像 Phase 1 準備 CCE Policy定義 & ハッシュ化 Phase 2 デプロイ UVM起動 & HostData埋め込み Phase 3 検証 MAAによる レポート検証 コンテナ起動時に実行される。 19 

CCE Policyの定義 利用者が az confcom 等で許可するイメージ やコマンドを定義し、ポリシーを作成 ハッシュ化 作成したポリシー文字列の SHA-256 ハッ シュ値を計算 1. 準備 20 

VM起動時の埋め込み ● Azure 基盤が UVM 起動時にポリシー ハッシュを AMD プロセッサへ渡す ● プロセッサはこれを HostData として ハードウェア内に不変状態で保持 レポート作成 コンテナ内の要求に応じ、ハードウェアが HostData と Measurement (UVMハッシュ) を含む署名付きレポートを生成 2. デプロイ レポート作成依頼 コンテナ HostData Measurement Attestation Report AMD CPU 21 

リモート検証 MAA等が「Measurement (正規のAzure基 盤か)」と「HostData (期待したポリシーか)」 の両方を検証 判定 両方が一致していれば「正規の基盤上で、 改竄されていないコンテナが動いている」と 判定 （一致しなければコンテナ起動失敗！） 3. 検証 検証（MAAなど） Measurement 正規のAzure基盤か HostData 期待したポリシーか ✅ ❌ コンテナ起動成功！ コンテナ起動失敗！ 一致 不一致 22 

©Acompany Co.,Ltd. 23 まとめ 

● Confidential Computingは今とても熱い技術分野 ● CCを搭載したプロダクトも増えてきている ● Azureはクラウドベンダーの中で最もCCサービスが充実している ● （今日はCCに入門していただいたと思うので来年はより技術詳細を深掘ろうと思っ ています！） まとめ 24 

Confidential Computingで未来を作っていく方、絶賛採用中！ https://recruit.acompany.tech/career/category/all エンジニア、リサーチャー、 Biz、話聞いてみたいだけの方、お気軽に！！ 25