次世代CPUが可能にするITセキュリティ

AMD Ryzen™ PROプロセッサー AMD EPYC™ プロセッサー

2023-12-25更新

  • twitter
  • facebook
  • line

ITへ分散したり多様化してアプローチしたりする利点は明らかです。物理的な場所やモノリシックなアーキテクチャから解き放たれることで、組織や個人はイノベーションを受け入れ、これまで以上のスピードと生産性で仕事をすることができます。

データの大部分は今後、従来の集中型データセンターの外やクラウド内で作成・処理されるようになると考えられます。一方で、エッジ・ネットワーク・サーバーを標的とするランサムウェア攻撃とエンドポイント・デバイスに対する攻撃は、今日組織が直面している最大のセキュリティ課題の2つです。

CIO、そして組織内の他のすべてのリーダーは、リモートおよびエッジの展開がこうした攻撃に対して耐性があることを確信する必要があります。

セキュリティはスタック

現代のIT環境におけるセキュリティは、データ、ソフトウェア、ハードウェアのすべてがセキュリティのレイヤーにアクセスできるフルスタックのアプローチに依存しています。

AMD PROのセキュリティは、スタックのいくつかのレベルにおいて、重要な役割を果たしています:
・AMD Ryzen™ PRO プロセッサは、セキュリティ機能を最優先してゼロから設計された AMD「Zen」 アーキテクチャにより、高度な攻撃にさらされる機会を低減します。
・AMD セキュア・プロセッサ¹は、実行前にコードを検証し、データとアプリケーションの整合性を確保します。デバイス上で実行される不正なソフトウェアやアプリケーションからシステムとデータを保護します。
・AMD メモリー・ガード² は、リアルタイムでフルシステム・メモリを暗号化します。これにより、紛失や盗難に遭ったデバイス(リモート・テクノロジーでは常に存在するリスクでしょう)をデータの脆弱性から保護することができます。
・AMDシャドウ・スタックは通常のプログラム・スタックをハードウェアに保存されたコピーと照合することで、制御フロー攻撃から環境を保護します。
・AMDプラットフォーム・セキュア・ブート³は、AMDシリコン・ルート・オブ・トラストからBIOSまで、切れ目のない信頼ラインを確立することで、ファームウェアへの脅威を防御します。

これらのセキュリティ機能を組み合わせることで、AMDは、デバイスや場所に関係なく、より安全な体験をユーザーに提供することができます。

AMDはさらに、セキュリティへのフルスタック・アプローチを可能にする上で重要な他のベンダーと提携することで、セキュリティの話題をリードしています。例えば、2020年、AMDはマイクロソフトと協業し、 Microsoft Pluton セキュリティ・プロセッサ⁴の開発を支援しました。 Microsoft Pluton は、 Windows 11 PC のCPUに直接統合されたチップ・ツー・クラウドのセキュリティ技術です。これは、暗号化キー、ブート・プロセス、その他のセキュリティ上重要な操作など、重要なシステム・コンポーネントをハードウェア・ベースで保護するように設計されています。

Microsoft Pluton をCPUに直接統合することで、鍵やシステムデータを格納するために、より脆弱な可能性のある Trusted Platform Module を別途用意する必要がなくなり、 Windows PC のセキュリティ機能が強化されます。AMDのようなパートナーと緊密に協力することで、Microsoft は Windows デバイスのための、より合理的で保護されたプラットフォームを構築することができました。

クラウドレベルのセキュリティ

デバイスだけでなく、CIO はデータセンターとクラウドレベルのセキュリティにも取り組む必要があります。ITの分散化は、従業員がアプリケーションやデータにリモートでアクセスできる(つまりクラウドを活用できる)必要があることを意味しますが、一方でこれはサイバー犯罪者にとって新たな攻撃方法を提供することにもつながります。

このような環境のセキュリティ確保に役立つのが、 AMD Infinity Guard⁵ 、 Secure Encrypted Virtualization 、 Secure Memory Encryption などの高度なセキュリティ技術を統合した AMD EPYC™ プロセッサなどの AMD CPU です。

データセンターにおけるこれらのハードウェア・レベルのセキュリティ機能は、クラウドにおけるデータとワークロードを保護するための強力な基盤を提供し、IT意思決定者にクラウド展開におけるより高いセキュリティ耐性を提供するのに役立ちます。

MonetaGo 社は、顧客や企業のデータを保護しながら、重複融資のような不正行為に対抗する能力を金融機関に提供しています。

セキュア・ファイナンスは、銀行がセンシティブな融資データをMonetaGoと共有することを可能にするプラットフォームである。

これは近年まで技術的に可能ではありませんでしたが、 AMD EPYC™ CPU 上の AMD Secure Encryption Virtualization により、グーグルは Google Cloud Confidential Computing ソリューションを立ち上げることができ、包括的なセキュリティで MonetaGo のビジョンの全容を実現することができました。

AMD EPYC™ プロセッサを通じて提供されるパワーとセキュリティのもう1つの例は、Internet Security Research Group(ISRG) によるLet’s Encryptです。同社は世界最大のインターネット・セキュリティ認証局であり、独自のシステムで必要とするセキュリティの性質が極めて高いため、サーバーの提供方法には困難な制限があります。

クラウドや標準的なデータセンターの部屋は使えません。その代わりに、生体認証入退室を備えたデータセンター内に構築された、独自の壁を備えた高セキュリティの特別な部屋が必要になります。同社は最近、以前のサーバーを段階的に廃止し、代わりに AMD EPYC™ システムに置き換える決断を下しました。 AMD EPYC™ システムは、「著しく」性能が高く、2億3,000万ものウェブサイトにサービスを提供できることから選ばれています。

クラウドと分散型世界のセキュリティ

サイバー犯罪者がコアネットワーク外のデバイスやコンピューティング環境を安全性の低い環境として認識し続ける中、分散型ITのリスクは加速する一方で、組織が無視できるものではなくなってきています。しかし、ありがたいことに、エッジ環境の保護に役立つハードウェアとソフトウェアのソリューションがあります。ITチームが分散化を念頭に置いてセキュリティ環境を構築する必要があるだけです。

ハードウェア・レベルのセキュリティとそれを実現するAMDソリューションの詳細については、ここをクリックしてください。

脚注:
¹ AMDセキュア・プロセッサは、AMDが設計した各システムオンチップ(SoC)およびASIC(特定用途向け集積回路)内に統合された専用のオンチップ・セキュリティ・プロセッサです。このプロセッサは、ハードウェアに固定されたルート・オブ・トラストによるセキュア・ブートを可能にし、セキュア・ブート・フローを通じてSoCを初期化し、分離されたTrusted実行環境を確立します。GD-72.
² AMD メモリー・ガードによる完全なシステム・メモリー暗号化は、 AMD Ryzen™ PRO 、AMD Ryzen™ Threadripper™ PRO 、および AMD Athlon PRO プロセッサに搭載されています。OEMによる有効化が必要です。ご購入前にシステム・メーカーにご確認ください。GD-206。
³ AMDプラットフォーム・セキュア・ブート機能を有効にしたOEMは、AMDプラットフォーム・セキュア・ブート対応マザーボードを使用するプラットフォーム上でのみ、自社の暗号署名付きBIOSコードの実行を許可します。プロセッサ内のワンタイム・プログラマブル・ヒューズは、プロセッサをOEMのファームウェア・コード署名キーにバインドします。その時点から、そのプロセッサは、同じコード署名キーを使用するマザーボードでのみ使用できるようになります。GD-192。
⁴ Microsoft Pluton は、 Microsoft が所有し、AMDにライセンス供与されている技術です。Microsoft Pluton は、米国 Microsoft Corporation の米国およびその他の国における登録商標です。詳細はhttps://www.microsoft.com/security/blog/2020/11/17/meet-the-microsoft-pluton-processor-the-security-chip-designed-for-the-future-of-windows-pcs/。 Microsoft Pluton セキュリティ・プロセッサは、OEMによる有効化が必要です。購入前にOEMに確認してください。AMDはサードパーティの主張を検証していません。GD-202。
⁵ AMD Infinity Guard の機能は AMD EPYC™ プロセッサの世代によって異なります。Infinity Guard セキュリティ機能を動作させるには、サーバーOEMおよび/またはクラウド・サービス・プロバイダーが有効にする必要があります。これらの機能のサポートを確認するには、OEMまたはプロバイダーにお問い合わせください。 Infinity Guard の詳細については、https://www.amd.com/en/technologies/infinity-guard。GD-183。

一覧に戻る