“メモリと仮想マシンを自動で保護”するAMD EPYCのセキュリティ機能：「EPYC」で復活を目指すAMD（後編）

Xeonによってサーバ市場から駆逐されたAMDが、EPYCで復活しようとしている。EPYCが注目されるのはなぜか。Skylake世代のXeonと戦えるのか。

[Daniel Robinson，Computer Weekly]

　前編（Computer Weekly日本語版　8月16日号掲載）では、「EPYC」の実装と基本性能について解説した。EPYCのパフォーマンスについては前編を参照していただくとして、後編ではセキュリティ機能とビジネス展開の展望を紹介する。

Computer Weekly日本語版　9月6日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　9月6日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　9月6日号：乗るしかない この802.11ac Wave 2に

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　既にEPYCを採用した製品の開発を進めているサプライヤーも登場している。その1社がHPEだ。HPEはクラウドプロバイダーやサービスプロバイダーをターゲットにした、EPYCベースのサーバ「Cloudline CL3150」を発表した。このモデルはEPYCにPCIeレーンが多数あることを利用して、1Uラックマウントのシャシーで最大24個のNVMe SSDをサポートする。またHPEによると、IOPSのスループット値は910万を達成するという。

EPYCのセキュリティ機能

　一方で、今やセキュリティはどの組織でも主要な懸案事項となっていることから、EPYCが組み込みの形で提供するセキュリティ機能も、多くの顧客にとって価値あるものでなければならない。こんな事情から開発されたのが「Secure Processor」だ。

　EPYCはARMベースの専用マイクロコントローラーを組み込んでいる。これが暗号化機能のための鍵を生成・管理すると同時に、システム自体の完全性を保証するハードウェア的な「信頼の起点」（root of trust）としても機能する。Secure Processorは、有効なデジタル署名が付与された低レベルのコードのみを実行する。こうした仕組みにより、システム起動時、OSを読み込む前に悪意のあるコードを挿入する攻撃によってシステムが侵害されるのを防ぐ。

　さらに、このチップには「Secure Memory Encryption」（SME）機能も実装されている。SMEは、メモリにデータを書き込む際に自動的にこれを暗号化し、プロセッサに読み込む際に復号する。この処理は各メモリチャネルのハードウェアでサポートしているので、どのアプリケーションもSMEの保護対象となる。また、アプリケーションには完全な透過性がある。

　このアプローチをさらに一歩進めた「Secure Encrypted Virtualization」（SEV）機能も搭載されている。SEVは、サーバ上で稼働している仮想マシン（VM）を独自の暗号鍵で保護するものだ。これによりVMの保護を保証する。ハイパーバイザーへの侵入を防ぐこともできる。

　もっとも、この機能には注意が必要だ。専用ハードウェアを配置しているとはいえ、全てのメモリアクセスで暗号化と復号を実行するのだから、多少のパフォーマンス低下は避けられない。

　この処理によってメモリアクセスの処理時間が7〜8ナノ秒増加するが、パフォーマンスへの影響はわずか1.5％にとどまるとAMDは説明している。ただし、この機能はオプションなので、顧客はこれを利用するかどうかを選択できる。

各社の支持は本物か？

　自社サーバのホストをコロケーションプロバイダーに依頼している企業にとって、EPYCのメモリ暗号化とセキュアブート機能は、システムで改ざん防止策を講じているという安心材料となり、EPYCベースのサーバを採用する決め手になり得る。

　大規模組織の顧客にとって、SMEやSEVはEPYCの価値を実感しやすい機能だ。さらに、クラウドサービスプロバイダーにとっても、重要な価値があることの証明となりそうだ。パブリッククラウドに展開しているワークロードの分離や保護を容易に保証できるからだ。サービスプロバイダー自身も、EPYCに組み込まれたSecure Processorで保護されている各種の暗号鍵にはアクセスできない。

　「マルチテナント環境において、たとえデータセンターの管理者が不正を働いたとしても、VMのユーザーが使用しているデータが侵害されることはないと確信できる」とAMDのシニアバイスプレジデントでエンタープライズ部門の責任者を兼務するフォレスト・ノーロッド氏は主張する。

　451 Researchのリサーチバイスプレジデント、ジョン・アボット氏もこの意見に同意し、次のように話す。「AMDは、仮想化された環境でセキュリティを強化するための機能をEPYCに多数実装した。これは、格段に高いセキュリティを求めているサービスプロバイダーにとっては非常にありがたい」

　総じて、EPYCは印象的だ。同社がかつて失った市場シェアを一部でも取り戻すため、顧客にとって主要な要件を満たすことに注力したことは明らかだ。

　「サーバの世界で、メーカーが顧客のニーズに十分応えきれていない領域をカバーする新製品を開発して復活してくると、市場が活性化する」とアボット氏は指摘する。

　ただし、企業が再びAMDのサーバを購入したくなるほどIntelベースのシステムよりも魅力的かどうかは、現時点ではまだ分からない。

　「EPYCは、顧客やそのパートナー企業から見て、有利な点がすぐに分かるほど十分な柔軟性を備えていなければならない。長い不振から浮上するには、これは不可欠だ」とアボット氏は付け加える。

　ただ、AMDは既にDellから強力なサポートを得ている様子だ。Dellが2017年中盤に発売した「Dell EMC PowerEdge 14G」シリーズの一部に、EPYCを搭載したモデルがある。他方Supermicro（Super Micro Computer）も、「BigTwin」にEPYCベースのシステムを加えた。2Uシャシーに4ノードを格納する高密度エンクロージャーのモデルだ。

　2017年6月中旬に開催されたEPYCの発表イベントで、EPYCはVMの統合を一層促進するものだとして、VMwareはAMD製品のサポートを表明した。Microsoftも、グローバルに展開しているクラウドプロバイダーとしては初めて、EPYCベースのインフラサービスを提供する計画があることを発表した。ただし多くの場合、結局は価格が問題になるかもしれない。現時点で分かっているのは、EPYCチップの種類とそれぞれの最低価格だけだ。

　32コアチップは3400ドルから、24コアチップは1850ドルから、16コアチップは650ドルからという価格が設定されている。エントリーレベルの8コアチップもある。「一部のソフトウェアはコア数に応じたライセンス体系になっているため」AMDはこれをサポートしており、価格は475ドルだ。

　「TCO（総所有コスト）の面で、ワット性能（performance per watt）と性能価格比は重要な要因となる。とにかく消費電力は重要だ」と、AMDのシニアバイスプレジデントでCTO（最高技術責任者）を兼任するマーク・ペイパーマスター氏は語る。

　「データセンターについては、ごまかしは一切利かない。アプリケーションを稼働させ、処理を完了させるのに必要な費用に注意を払えば、それが製品の成功度、すなわち評価につながる」

別冊Computer Weekly　DNSセキュリティ入門（転載フリー版）（転載フリー版）も公開中！

ドメインネームシステム（DNS）は、インターネットのあらゆる場面で利用される。その結果、DNSを狙う脅威の件数が急増中だ。改めて、DNSの守りを強化する必要に迫られている。

• 別冊Computer Weekly　DNSセキュリティ入門（転載フリー版）

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。