Azureで学ぶ Confidential Computing 入門

STRICTLY CONFIDENTIAL©Acompany Co.,Ltd. 1 STRICTLY CONFIDENTIAL©Acompany Co.,Ltd. Azureで学ぶ Confidential Computing
入門株式会社 Acompany 平岡拓海 (@takuuuuu_h__) 行く年、来る年、年忘れセキュリティ 2025 12/12

Who are you? • 株式会社Acompany のEng & PdM ◦ 名古屋大学発スタートアップ
◦ 秘密計算を用いたプロダクト開発を行う ◦ Startup World Cup 2025 世界TOP 10 • 学生時代の研究 ◦ 学部：コンパイラ・プロセッサ ◦ 修士：差分プライバシー • 趣味 ◦ 海外旅行 ◦ 霜降り明星平岡拓海 (ヒラオカタクミ ) 2

©Acompany Co.,Ltd. 3 秘密計算 (Confidential Computing) 概要

50兆円 3.4兆円 8,500億円 2023 2025 2032 4× CAGR 46.4% For
2 Years 秘密計算（Confidential Computing）の市場規模 Source: Fortune Business Insights, 2032 Forecast 4

ビックテックを中心に活用が加速 • AppleやMetaなど大手企業がサーバーでのデータ処理に秘密計算を採用 • サービス提供者でもユーザーのデータを見ることができない形でのサービスを提供 Apple Intelligence オンデバイスとサーバーの組み合わせで、シチュエーションに応じて、ユーザー情報を保護しながら生成AIを利用
Meta Private Processing WhatsAppのメッセージ情報をサーバーにて生成AIで分析する際に、メッセージの秘匿性を担保出典：Apple Intelligence紹介ページ、Engineering at Meta「Building Private Processing for AI tools on WhatsApp」 5

秘密計算技術（ PETsの代表技術）データを暗号化（秘匿）したままの状態で計算を実行する技術従来秘密計算通信時保管
時計算時計算時通信時保管時計算時暗号化のラストワンマイルネットワークストレージメモリ（生データ）外部攻撃者、内部不正者、受託事業者、クラウド事業者、 Acompany、など 6

秘密計算には様々な種類が存在 TEE （ハードウェア型） MPC （マルチパーティ計算） HE （準同型暗号）概要計算結果暗号化
データ保護領域ハードウェア環境計算結果データ分割した断片のみを送信計算結果の断片値を集計秘密分散 / 復元計算結果暗号化データ暗号化したまま計算実行復号秘密計算の種類 7

特殊なCPUからの命令しか受け付けない暗号化領域を用意し、データの中身を外部に知られることなく計算する CPU CPUメモリ Enclave （信頼可能領域）信頼不可能領域機密データ機密データ Enclave
生成内部の演算は平文で行われるため高速 EnclaveをCPUが持つメモリ暗号化エンジンで生成 TEEの概要 8

比較項目プロセス型 TEE (部分隔離型) VM型 TEE (全体保護型) 別名 Enclave（エンクレーブ）ベース CVM
(Confidential VM) 保護の単位メモリ内の特定の「区画」のみ VM（OS・メモリ）丸ごと TCB (信頼基盤) 狭い (最小限) ハードウェアと対象コードのみ信頼広い (比較的大きい) ゲストOSなども信頼に含める必要ありセキュリティ非常に高い攻撃対象領域（Attack Surface）が極小中〜高 OSの脆弱性などがリスクになる可能性がある導入・実装難しい (要改修) 専用SDKやドライバを用いたアプリの作り込みが必要容易 (Lift & Shift) 既存のアプリやOSをそのまま移行して動作可能主なユースケース鍵管理、生体認証、高セキュリティな特定処理クラウドへの既存システム移行、 AIモデル保護代表的な技術 Intel SGX, ARM TrustZone, RISC-V KeyStone Intel TDX, AMD SEV-SNP TEEの種類 9

TEE内で実行されているソフトウェアが正当なものであり、改ざんされていないことを、リモートの第三者が検証できるようにする仕組み。以下を検証。 • TEEのような信頼される環境であるか？ • 想定したアプリケーションが実行されているか？ Remote Attestation (RA)の概要 10

©Acompany Co.,Ltd. 11 Confidential Computing 利用例

生成AI・他社データ連携といった、高い信頼性が求められる場合に有益生成AI×機密データの安全な利用事業者間の機密データを安全に連携 ✔ 利用者の入力データを外部LLMに見せない ✔ 機密な箇所を自動で抽出してマスキングなど非・秘密計算秘密計算
マスキング突合・分析秘密計算統計データ ✔ お互いのデータを開示せずに分析を行う ✔ 顧客データを突合する際のプライバシー保護秘密計算の利用シーン 12

©Acompany Co.,Ltd. 13 Azure Confidential Computing

• VM (Intel SGX/AMD SEV-SNP/Intel TDX) • GPU VM (NCC)
• コンテナ (Azure Container Instances) • Database Server (Azure SQL Database, SQL ServerのAlways Encrypted機能の一部) • HSM (Azure Key Vault) • … Azureが提供する CCサービス CC = Confidential Computing 14

• VM (Intel SGX/AMD SEV-SNP/Intel TDX) • GPU VM (NCC)
• コンテナ (Azure Container Instances) • Database Server (Azure SQL Database, SQL ServerのAlways Encrypted機能の一部) • HSM (Azure Key Vault) • … Azureが提供する CCサービス CC = Confidential Computing 15

• 仮想マシンを管理したり、より高度なサービスを採用したりせずに、 Azureで最も高速かつ簡単に LinuxまたはWindowsコンテナを実行する方法 • 対応する他のクラウドサービス ◦ AWS Fargate
◦ GCP Cloud Run ACI (Azure Container Instances) 16 Container-Group アプリケーションコンテナサイドカーコンテナデプロイ

1. 標準コンテナ: • 最も一般的で基本的なACIの利用形態 • WebアプリケーションやAPIのホスティングで使用される 2. 機密コンテナ (Confidential Containers)
• TEE(AMD SEV-SNPなど)上でコンテナを動かす • 機密性の高いデータ処理 (AIモデルの保護を含む ) 3. スポットコンテナ • 中断されるリスクを受け入れて安くコンテナを実行可能 • バッチ処理・CI/CD処理 ACI がサポートするコンテナ 17

具体的にポリシーで制御する項目 • どの VM イメージ/ブートローダ/ファームウェアを使うか • どのモジュール/ドライバがロードできるか • コンテナの実行許可設定、マウント、ネットワーク、環境変数など
• 起動時点からの設定の整合性要件 CCE (Confidential Compute Enforcement) Policy クライアントが想定する CC環境であるかをポリシーで縛ることが可能。 18

Attestationフローの全体像 Phase 1 準備 CCE Policy定義 & ハッシュ化 Phase 2
デプロイ UVM起動 & HostData埋め込み Phase 3 検証 MAAによるレポート検証コンテナ起動時に実行される。 19

CCE Policyの定義利用者が az confcom 等で許可するイメージやコマンドを定義し、ポリシーを作成ハッシュ化作成したポリシー文字列の SHA-256
ハッシュ値を計算 1. 準備 20

VM起動時の埋め込み • Azure 基盤が UVM 起動時にポリシーハッシュを AMD プロセッサへ渡す •
プロセッサはこれを HostData としてハードウェア内に不変状態で保持レポート作成コンテナ内の要求に応じ、ハードウェアが HostData と Measurement (UVMハッシュ) を含む署名付きレポートを生成 2. デプロイレポート作成依頼コンテナ HostData Measurement Attestation Report AMD CPU 21

リモート検証 MAA等が「Measurement (正規のAzure基盤か)」と「HostData (期待したポリシーか)」の両方を検証判定両方が一致していれば「正規の基盤上で、改竄されていないコンテナが動いている」と判定
（一致しなければコンテナ起動失敗！） 3. 検証検証（MAAなど） Measurement 正規のAzure基盤か HostData 期待したポリシーか ✅ ❌ コンテナ起動成功！コンテナ起動失敗！一致不一致 22

• Confidential Computingは今とても熱い技術分野 • CCを搭載したプロダクトも増えてきている • Azureはクラウドベンダーの中で最もCCサービスが充実している • （今日はCCに入門していただいたと思うので来年はより技術詳細を深掘ろうと思っています！）
まとめ 24

Confidential Computingで未来を作っていく方、絶賛採用中！ https://recruit.acompany.tech/career/category/all エンジニア、リサーチャー、 Biz、話聞いてみたいだけの方、お気軽に！！ 25

Azureで学ぶ Confidential Computing 入門

Azureで学ぶ Confidential Computing 入門

Takumi Hiraoka

Featured

Transcript

STRICTLY CONFIDENTIAL©Acompany Co.,Ltd. 1 STRICTLY CONFIDENTIAL©Acompany Co.,Ltd. Azureで学ぶ Confidential Computing

Who are you? • 株式会社Acompany のEng & PdM ◦ 名古屋大学発スタートアップ

©Acompany Co.,Ltd. 3 秘密計算 (Confidential Computing) 概要

50兆円 3.4兆円 8,500億円 2023 2025 2032 4× CAGR 46.4% For

秘密計算技術（ PETsの代表技術）データを暗号化（秘匿）したままの状態で計算を実行する技術従来秘密計算通信時保管

秘密計算には様々な種類が存在 TEE （ハードウェア型） MPC （マルチパーティ計算） HE （準同型暗号）概要計算結果暗号化

特殊なCPUからの命令しか受け付けない暗号化領域を用意し、データの中身を外部に知られることなく計算する CPU CPUメモリ Enclave （信頼可能領域）信頼不可能領域機密データ機密データ Enclave

比較項目プロセス型 TEE (部分隔離型) VM型 TEE (全体保護型) 別名 Enclave（エンクレーブ）ベース CVM

©Acompany Co.,Ltd. 11 Confidential Computing 利用例

©Acompany Co.,Ltd. 13 Azure Confidential Computing

• VM (Intel SGX/AMD SEV-SNP/Intel TDX) • GPU VM (NCC)

• VM (Intel SGX/AMD SEV-SNP/Intel TDX) • GPU VM (NCC)

• 仮想マシンを管理したり、より高度なサービスを採用したりせずに、 Azureで最も高速かつ簡単に LinuxまたはWindowsコンテナを実行する方法 • 対応する他のクラウドサービス ◦ AWS Fargate

1. 標準コンテナ: • 最も一般的で基本的なACIの利用形態 • WebアプリケーションやAPIのホスティングで使用される 2. 機密コンテナ (Confidential Containers)

具体的にポリシーで制御する項目 • どの VM イメージ/ブートローダ/ファームウェアを使うか • どのモジュール/ドライバがロードできるか • コンテナの実行許可設定、マウント、ネットワーク、環境変数など

Attestationフローの全体像 Phase 1 準備 CCE Policy定義 & ハッシュ化 Phase 2

CCE Policyの定義利用者が az confcom 等で許可するイメージやコマンドを定義し、ポリシーを作成ハッシュ化作成したポリシー文字列の SHA-256

VM起動時の埋め込み • Azure 基盤が UVM 起動時にポリシーハッシュを AMD プロセッサへ渡す •

リモート検証 MAA等が「Measurement (正規のAzure基盤か)」と「HostData (期待したポリシーか)」の両方を検証判定両方が一致していれば「正規の基盤上で、改竄されていないコンテナが動いている」と判定

©Acompany Co.,Ltd. 23 まとめ

Confidential Computingで未来を作っていく方、絶賛採用中！ https://recruit.acompany.tech/career/category/all エンジニア、リサーチャー、 Biz、話聞いてみたいだけの方、お気軽に！！ 25