クラウド内の情報を守る新技術「Haven」、米Microsoftが論文発表

Microsoft研究チームは信頼できないクラウドからアプリケーションを守るためのプロトタイプシステム「Haven」を開発した。

[鈴木聖子，ITmedia]

　米Microsoftの研究チームが、クラウド内の情報を守るための新しいセキュリティ技術を開発し、「Havenを使って信頼できないクラウドからアプリケーションを守る」という論文を発表した。同社が10月8日のブログで紹介した。

　研究チームはクラウド移行に当たっての課題として、「データをクラウドに保存する場合、クラウド事業者だけでなく、その事業者の運営スタッフや、コンピュータの所在地を管轄する司法当局まで信用しなければならない。ここにデータやコンピューティングをクラウドに移す上での大きな抵抗が生じる」と解説する。

　そこで考案した「shielded execution」という技術は、プログラムと関連データの機密性や完全性を、それが運用されているプラットフォーム（クラウド事業者のOSや管理ソフトウェア、ファームウェア）から守ることを目的とする。

Havenのコンポーネントとインタフェース

　研究チームは米Intelが開発した命令セットアーキテクチャ拡張の「Software Guard Extensions（SGX）」と、Microsoftが開発した新しい仮想マシン（VM）コンテナ技術の「Drawbridge」を組み合わせ、プロトタイプシステムの「Haven」を開発。「Azureクラウドで実行されているような任意のWindows Serverアプリケーションを、コードに一切手を加えることなくシールドできることを実証した」と説明する。

　これにより、「クラウド事業者やそのスタッフ、司法当局から完全に守られ、プライバシーを確保した状態で、修正していないアプリケーションを使ってクラウド内でデータの保存と実行ができることが証明された」と述べ、クラウドでもローカルコンピューティングに匹敵する信頼性を確保できるようになると指摘している。

　この研究は、米コロラド州でこのほど開かれたOS設計と実装に関するUSENIXシンポジウムで最優秀論文に選ばれたという。