このドキュメントでは、Confidential Computing の概要と、安全なデータ コラボレーション、AI モデルのトレーニング、フェデレーション ラーニングに Confidential Computing を使用する方法について説明します。このドキュメントでは、Google Cloud の Confidential Computing サービスと、さまざまなユースケースのアーキテクチャ リファレンスについても説明します。
このドキュメントは、テクノロジー エグゼクティブが金融サービスや医療など、さまざまな業界における生成 AI と応用 AI を使用した Confidential Computing のビジネス上の可能性を理解するのに役立ちます。
Confidential Computing とは
従来のデータ セキュリティ対策は、暗号化による保存データと転送中データの保護を中心としていました。Confidential Computing は、使用中のデータの脆弱性に対処することで、新しい保護レイヤを追加します。このテクノロジーにより、機密情報が処理中も機密性の高い状態を維持できるため、データ セキュリティの重要なギャップを埋めることができます。
Confidential Computing 環境では、ハードウェアベースの高信頼実行環境(TEE)を使用して、使用中のデータを保護します。TEE は、プロセッサ内の安全な領域で、内部に読み込まれたコードとデータの機密性と完全性を保護します。TEE は機密性の高いオペレーションのための安全な部屋として機能し、システムが侵害された場合でもデータのリスクを軽減します。Confidential Computing を使用すると、処理中にメモリ内のデータを暗号化したままにできます。
たとえば、データ分析と ML に Confidential Computing を使用すると、次のことを実現できます。
- プライバシーの強化: 基盤となるインフラストラクチャや計算に関与する当事者にデータを公開することなく、機密性の高いデータセット(医療記録や財務データなど)で分析を実行します。
- 安全なコラボレーション: 個々のデータを互いに開示することなく、複数のグループの結合データセットで機械学習モデルを共同でトレーニングしたり、分析を実行したりします。機密コンピューティングは信頼を育み、特に医療や金融などの分野で、より堅牢で一般化可能なモデルの開発を可能にします。
- データ セキュリティの向上: データ侵害や不正アクセスのリスクを軽減し、一般データ保護規則(GDPR)や医療保険の相互運用性と説明責任に関する法律(HIPAA)などのデータ保護規制を遵守します。
- 信頼性と透明性の向上: 計算が意図したデータに対して安全な環境で実行されることを検証可能な証拠を提供し、関係者の信頼を高めます。
機密コンピューティング環境の仕組み
コンフィデンシャル コンピューティング環境には次のプロパティがあります。
- ランタイム暗号化: プロセッサは、すべての Confidential Computing 環境データをメモリ内で暗号化された状態に保ちます。メモリから直接コンフィデンシャル コンピューティング環境のデータを読み取ろうとするシステム コンポーネントまたはハードウェア攻撃者は、暗号化されたデータしか確認できません。同様に、暗号化により、メモリへの直接アクセスによる Confidential Computing 環境データの変更を防ぐことができます。
- 分離: プロセッサは、Confidential Computing 環境へのソフトウェアベースのアクセスをブロックします。オペレーティング システムや他のアプリケーションは、特定のインターフェースを介してのみ、機密コンピューティング環境と通信できます。
証明書: Confidential Computing のコンテキストでは、証明書は Confidential Computing 環境の信頼性を検証します。構成証明を使用すると、TEE インスタンスを認証できるため、ユーザーは Confidential Computing がデータを保護している証拠を確認できます。
構成証明プロセスでは、TEE をサポートする CPU チップが、インスタンスの測定値の暗号署名付きレポート(構成証明レポート)を生成します。測定結果は、構成証明サービスに送信されます。プロセス分離の構成証明は、アプリケーションを認証します。VM 分離の構成証明は、VM、VM の起動に使用される仮想ファームウェア、またはその両方を認証します。
データ ライフサイクルのセキュリティ: Confidential Computing は、使用中のデータに対してハードウェアベースの保護を提供する安全な処理環境を構築します。
Confidential Computing テクノロジー
次のテクノロジーにより、Confidential Computing が実現します。
- セキュア エンクレーブ(アプリケーション ベースのコンフィデンシャル コンピューティングとも呼ばれます)
- Confidential VMs と GPU(VM ベースの Confidential Computing とも呼ばれます)
Google Cloud は、Confidential VMs を使用して Confidential Computing を有効にします。詳細については、Google Cloudに Confidential Computing を実装するをご覧ください。
セキュア エンクレーブ
セキュア エンクレーブは、ハードウェア ベースの分離を使用するか、ハイパーバイザをトラステッド コンピューティング ベース(TCB)内に配置して VM 全体を分離することで、オペレーティング システムからコードとデータを分離するコンピューティング環境です。セキュア エンクレーブは、マシンとオペレーティング システムへの物理アクセスまたはルートアクセス権を持つユーザーであっても、セキュア エンクレーブのメモリの内容を把握したり、エンクレーブ内のコードの実行を改ざんしたりできないように設計されています。セキュア エンクレーブの例としては、Intel Software Guard Extension(SGX)があります。
Confidential VMs と confidential GPU
Confidential VM は、ハードウェア ベースのメモリ暗号化を使用してデータとアプリケーションを保護する VM の一種です。Confidential VM は、分離と構成証明を提供してセキュリティを強化します。Confidential VM のコンピューティング テクノロジーには、AMD SEV、AMD SEV-SNP、Intel TDX、Arm CCA、IBM Z、IBM LinuxONE、Nvidia Confidential GPU などがあります。
Confidential GPU は、特にクラウド環境や共有環境で、データの保護とコンピューティングの高速化に役立ちます。ハードウェア ベースの暗号化と分離技術を使用して、GPU で処理中のデータを保護し、クラウド プロバイダや悪意のある行為者でさえ機密情報にアクセスできないようにします。
機密データ分析、AI、フェデレーション ラーニングのユースケース
以降のセクションでは、さまざまな業界の Confidential Computing のユースケースの例を示します。
医療とライフ サイエンス
Confidential Computing を使用すると、患者のプライバシーを保護しながら、組織間で安全にデータを共有して分析できます。Confidential Computing を使用すると、医療機関は共同研究、病気のモデリング、新薬開発、個別化治療計画に参加できます。
次の表に、医療分野でのコンピューティングの用途例を示します。
| ユースケース | 説明 |
|---|---|
病気の予測と早期発見 |
病院は、患者の機密性を維持しながら、医療画像データ(複数の病院または病院の地域にわたる MRI スキャンや CT スキャンなど)からがん性病変を検出するフェデレーション ラーニング モデルをトレーニングします。 |
リアルタイムの患者モニタリング |
医療提供者は、ウェアラブル ヘルス デバイスやモバイル ヘルスアプリから得られたデータを分析し、リアルタイムのモニタリングとアラートに活用します。たとえば、ウェアラブル デバイスは血糖値、身体活動、食生活に関するデータを収集し、血糖値の変動に関するパーソナライズされたおすすめや早期警告を提供します。 |
共同創薬 |
製薬会社は、独自のデータセットでモデルをトレーニングして、新薬開発を加速させ、知的財産を保護しながらコラボレーションを強化します。 |
金融サービス
Confidential Computing を使用すると、金融機関はより安全で復元力のある金融システムを構築できます。
次の表に、金融サービスにおける Confidential Computing の使用例を示します。
| ユースケース | 説明 |
|---|---|
金融犯罪 |
金融機関は、顧客のプライバシーを保護しながら、不審な取引に関する情報を共有することで、マネー ロンダリング防止(AML)や一般的な不正行為モデルの取り組みで連携できます。金融機関は、Confidential Computing を使用してこの共有データを安全に分析し、複雑なマネー ロンダリングのスキームをより効果的に特定して阻止するモデルをトレーニングできます。 |
プライバシー保護型の信用リスク評価 |
融資機関は、他の金融機関や非金融機関のデータなど、より広範なデータソースを使用して信用リスクを評価できます。Confidential Computing を使用すると、貸し手はデータを不正な第三者に公開することなく、このデータにアクセスして分析できます。これにより、データ プライバシーを維持しながら、クレジット スコアリング モデルの精度を高めることができます。 |
プライバシー保護価格検出 |
金融の世界、特に店頭市場や流動性の低い資産などの分野では、正確な価格設定が不可欠です。機密コンピューティングを使用すると、複数の機関が互いに機密データを公開することなく、正確な価格を共同で計算できます。 |
公共部門
機密コンピューティングにより、政府はデータの制御と主権を維持しながら、より透明性、効率性、有効性の高いサービスを構築できます。
次の表に、公共部門での Confidential Computing の使用例を示します。
| ユースケース | 説明 |
|---|---|
デジタル主権 |
Confidential Computing により、データは処理中であっても常に暗号化されます。これにより、ハイブリッド クラウド、パブリック クラウド、マルチクラウド環境で、外部インフラストラクチャでホストされている場合でもデータを保護しながら、国民のデータを安全にクラウドに移行できます。Confidential Computing は、デジタル主権とデジタル自律性をサポートし、強化します。使用中のデータの追加の制御と保護により、クラウド プロバイダが暗号鍵にアクセスできないようにします。 |
複数機関の機密分析 |
機密コンピューティングにより、複数の政府機関(医療、税務、教育など)間、または異なる地域や国の複数の政府間で、マルチパーティ データ分析が可能になります。Confidential Computing は、信頼境界とデータ プライバシーを保護しながら、データ分析(データ損失防止(DLP)、大規模分析、ポリシー エンジンを使用)と AI のトレーニングとサービングを可能にします。 |
信頼できる AI |
政府データは重要であり、信頼できる方法でプライベート AI モデルのトレーニングに使用して、内部サービスと市民とのやり取りを改善できます。機密コンピューティングにより、信頼できる AI フレームワークが可能になります。機密プロンプトや機密検索拡張生成(RAG)トレーニングにより、市民のデータとモデルのプライバシーとセキュリティを確保できます。 |
サプライ チェーン
Confidential Computing を使用すると、組織はサプライ チェーンと持続可能性を管理し、データのプライバシーを維持しながら共同作業を行い、分析情報を共有できます。
次の表に、サプライ チェーンでの Confidential Computing の使用例を示します。
| ユースケース | 説明 |
|---|---|
需要予測と在庫の最適化 |
機密コンピューティングを使用すると、各企業は独自の販売データと在庫データに基づいて独自の需要予測モデルをトレーニングできます。これらのモデルは安全に集約されてグローバル モデルになり、サプライ チェーン全体の需要パターンをより正確かつ包括的に把握できます。 |
プライバシー保護サプライヤーのリスク評価 |
サプライヤーのリスク評価に関与する各組織(購入者、金融機関、監査人など)は、独自のデータで独自のリスク評価モデルをトレーニングします。これらのモデルを集約して、包括的でプライバシーを保護するサプライヤー リスク プロファイルを作成します。これにより、サプライヤー リスクの早期特定、サプライ チェーンの回復力の向上、サプライヤーの選択と管理における意思決定の改善が可能になります。 |
温室効果ガス排出量の追跡と削減 |
Confidential Computing は、カーボン フットプリントの追跡と削減の取り組みにおけるデータ プライバシーと透明性の課題に取り組むためのソリューションを提供します。機密コンピューティングにより、組織は未加工のデータを公開することなくデータを共有して分析できます。これにより、組織は情報に基づいた意思決定を行い、より持続可能な未来に向けて効果的な行動をとることができます。 |
デジタル広告
デジタル広告は、サードパーティ Cookie から、プライバシー サンドボックスなどのプライバシーに配慮した代替技術へと移行しています。プライバシー サンドボックスは、クロスサイト トラッキングとアプリ トラッキングを制限しながら、重要な広告のユースケースをサポートします。プライバシー サンドボックスは、TEE を使用して、広告会社によるユーザーデータの安全な処理を保証します。
TEEs は、次のデジタル広告のユースケースで使用できます。
- マッチング アルゴリズム: データセット内の対応関係や関係性を検出します。
- 帰属: 効果やイベントを考えられる原因に結び付けること。
- 集計: 生データから要約や統計情報を計算します。
Google Cloudに Confidential Computing を実装する
Google Cloud には、Confidential Computing を可能にする次のサービスが含まれています。
- Confidential VM: VM を使用するワークロードで使用中のデータを暗号化できます
- Confidential GKE: コンテナを使用するワークロードで使用中のデータを暗号化できます
- Confidential Dataflow: ストリーミング分析と ML で使用中のデータを暗号化できます
- Confidential Dataproc: データ処理で使用中のデータを暗号化できます
- Confidential Space: 共同データ分析と ML で使用中のデータを暗号化できます
これらのサービスを使用すると、信頼境界を縮小して、機密データにアクセスできるリソースを減らすことができます。たとえば、Confidential Computing を使用しない Google Cloud環境では、信頼境界にはGoogle Cloud インフラストラクチャ(ハードウェア、ハイパーバイザ、ホスト OS)とゲスト OS が含まれます。Confidential Computing(Confidential Space なし)を含む Google Cloud 環境では、信頼境界にはゲスト OS とアプリケーションのみが含まれます。Confidential Space を使用する Google Cloud環境では、信頼境界はアプリケーションとその関連メモリ空間のみです。次の表は、Confidential Computing と Confidential Space によって信頼境界がどのように縮小されるかを示しています。
| 要素 | Confidential Computing を使用せずに信頼境界内 | Confidential Computing を使用している場合の信頼境界内 | Confidential Space を使用する場合の信頼境界内 |
|---|---|---|---|
クラウド スタックと管理者 |
○ |
いいえ |
いいえ |
BIOS とファームウェア |
○ |
いいえ |
いいえ |
ホスト OS とハイパーバイザ |
○ |
いいえ |
いいえ |
VM ゲスト管理者 |
○ |
はい |
いいえ |
VM ゲスト OS |
○ |
○ |
はい、測定済みで証明済みです |
アプリケーション |
○ |
○ |
はい、測定済みで証明済みです |
機密データ |
○ |
はい |
○ |
Confidential Space は、VM 内に安全な領域を作成し、機密性の高いデータとアプリケーションに対して最高レベルの分離と保護を提供します。Confidential Space の主なセキュリティ上のメリットは次のとおりです。
- 多層防御: 既存の Confidential Computing テクノロジーの上にセキュリティ レイヤを追加します。
- 攻撃対象領域の縮小: アプリケーションをゲスト OS の潜在的な脆弱性から分離します。
- 制御の強化: 安全な環境内のアクセスと権限をきめ細かく制御できます。
- 信頼性の向上: データの機密性と完全性の保証が強化されます。
Confidential Space は、特に規制対象の業界や、データ プライバシーが最優先事項となるマルチパーティ コラボレーションを含むシナリオで、機密性の高いワークロードを処理するように設計されています。
機密分析、AI、フェデレーション ラーニングのアーキテクチャ リファレンス
Google Cloud に Confidential Computing を実装して、次のユースケースに対応できます。
- 機密分析
- Confidential AI
- 機密情報を使用したフェデレーション ラーニング
以降のセクションでは、これらのユースケースのアーキテクチャについて詳しく説明します。金融機関や医療機関の例も紹介します。
医療機関向けの機密分析アーキテクチャ
機密分析アーキテクチャは、複数の医療機関(プロバイダ、バイオ医薬品、研究機関など)が連携して医薬品研究を加速する方法を示しています。このアーキテクチャでは、機密コンピューティング技術を使用して、機密のコラボレーション分析を実行するためのデジタル クリーンルームを作成します。
このアーキテクチャには次のような利点があります。
- 分析情報の強化: 共同分析により、医療機関はより広範な分析情報を取得し、新薬開発の市場投入までの時間を短縮できます。
- データ プライバシー: 機密性の高い取引データは暗号化されたままとなり、他の参加者や TEE に公開されることはありません。これにより、機密性が確保されます。
- 規制遵守: このアーキテクチャにより、医療機関はデータを厳密に管理することで、データ保護規制を遵守できます。
- 信頼とコラボレーション: このアーキテクチャにより、競合する機関間の安全なコラボレーションが可能になり、新薬開発に向けた共同作業が促進されます。
次の図は、このアーキテクチャを示しています。
このアーキテクチャの主なコンポーネントは次のとおりです。
- TEE OLAP 集計サーバー: ML モデルのトレーニングと推論が行われる安全な隔離環境。TEE 内のデータとコードは、基盤となるオペレーティング システムやクラウド プロバイダからの不正アクセスからも保護されます。
- コラボレーション パートナー: 参加している各医療機関には、機関のプライベート データと TEE の仲介役となるローカル環境があります。
- 医療機関固有の暗号化されたデータ: 各医療機関は、電子カルテなどの暗号化された患者の個人情報を保存します。このデータは分析プロセス中も暗号化されたままであり、データ プライバシーが確保されます。データは、個々のプロバイダからの構成証明クレームを検証した後にのみ TEE にリリースされます。
- 分析クライアント: 参加している医療機関は、データに対して機密性の高いクエリを実行して、すぐに分析情報を取得できます。
金融機関向けの Confidential AI アーキテクチャ
このアーキテクチャ パターンは、金融機関が不正行為ラベルを使用して機密性の高い取引データの機密性を保持しながら、不正検出モデルを共同でトレーニングする方法を示しています。このアーキテクチャでは、Confidential Computing 手法を使用して、安全なマルチパーティ ML を実現します。
このアーキテクチャには次のような利点があります。
- 不正行為検出の強化: 共同トレーニングでは、より大規模で多様なデータセットを使用するため、より正確で効果的な不正行為検出モデルが実現します。
- データ プライバシー: 機密性の高い取引データは暗号化されたままとなり、他の参加者や TEE に公開されることはありません。これにより、機密性が確保されます。
- 規制遵守: このアーキテクチャは、金融機関がデータを厳密に管理することで、データ保護規制を遵守するのに役立ちます。
- 信頼とコラボレーション: このアーキテクチャにより、競合する機関間の安全なコラボレーションが可能になり、金融詐欺に対抗するための共同の取り組みが促進されます。
次の図は、このアーキテクチャを示しています。
このアーキテクチャの主なコンポーネントは次のとおりです。
- TEE OLAP 集計サーバー: ML モデルのトレーニングと推論が行われる安全な隔離環境。TEE 内のデータとコードは、基盤となるオペレーティング システムやクラウド プロバイダからの不正アクセスからも保護されます。
- TEE モデルのトレーニング: グローバル不正行為ベースモデルは、ML トレーニングを実行するコンテナとしてパッケージ化されます。TEE 内で、参加しているすべての銀行の暗号化されたデータを使用して、グローバル モデルがさらにトレーニングされます。トレーニング プロセスでは、フェデレーション ラーニングや安全なマルチパーティ計算などの手法を使用して、元データが公開されないようにします。
- コラボレーター パートナー: 参加する各金融機関には、機関のプライベート データと TEE の間の仲介役となるローカル環境があります。
- 銀行固有の暗号化されたデータ: 各銀行は、不正行為データラベルを含む、非公開の暗号化された取引データを保有します。このデータはすべてのプロセスで暗号化されたままであり、データ プライバシーが確保されます。データは、個々の銀行からの構成証明クレームを検証した後にのみ TEE にリリースされます。
- モデル リポジトリ: 共同トレーニングの出発点となる事前トレーニング済みの不正行為検出モデル。
- グローバルなトレーニング済み不正行為モデルとウェイト(緑色の線で示されています): 改良された不正行為検出モデルとその学習済みのウェイトは、安全に参加銀行に共有されます。その後、各金融機関は、この強化されたモデルをローカルにデプロイし、自社の取引における不正行為検出に利用できます。
金融機関向けの機密情報保護フェデレーション ラーニング アーキテクチャ
フェデレーション ラーニングは、厳格なデータ プライバシーとデータ主権を重視するお客様向けの高度なソリューションです。機密情報を含むフェデレーション ラーニング アーキテクチャは、AI アプリケーションでデータを安全かつスケーラブルで効率的に使用する方法を提供します。このアーキテクチャでは、データを 1 か所に集約するのではなく、データが保存されている場所にモデルを配置するため、データ漏洩に関連するリスクを軽減できます。
このアーキテクチャ パターンは、複数の金融機関が不正行為ラベルを含む機密性の高い取引データの機密性を保持しながら、不正行為検出モデルを共同でトレーニングする方法を示しています。このプラットフォームでは、フェデレーション ラーニングと Confidential Computing 技術を使用して、トレーニング データを移動させることなく安全なマルチパーティ ML を実現します。
このアーキテクチャには次のような利点があります。
- データ プライバシーとセキュリティの強化: フェデレーション ラーニングでは、機密データが各サイトに残るようにすることで、データ プライバシーとデータ ローカリティを実現します。また、金融機関は、準同型暗号化や差分プライバシー フィルタなどのプライバシー保護技術を使用して、転送されたデータ(モデルの重みなど)をさらに保護できます。
- 精度と多様性の向上: さまざまなクライアントのさまざまなデータソースでトレーニングすることで、金融機関は異種データセットをより適切に表現する、堅牢で汎用性の高いグローバル モデルを開発できます。
- スケーラビリティとネットワーク効率: エッジでトレーニングを実行できるため、機関はフェデレーション ラーニングをグローバルにスケーリングできます。また、機関はデータセット全体ではなくモデルの重みを転送するだけで済むため、ネットワーク リソースを効率的に使用できます。
次の図は、このアーキテクチャを示しています。
このアーキテクチャの主なコンポーネントは次のとおりです。
- TEE クラスタ内の連携サーバー: 安全で隔離された環境内で、フェデレーション ラーニング サーバーが、最初に初期モデルをフェデレーション ラーニング クライアントに送信し、複数のクライアントの協力を調整します。クライアントはローカルのデータセットでトレーニングを実行し、モデルの更新内容をフェデレーション ラーニング サーバーに送信します。このデータが集計されてグローバルモデルが形成されます。
- フェデレーション ラーニング モデル リポジトリ: フェデレーション ラーニングの出発点となる事前トレーニング済みの不正行為検出モデル。
- ローカル アプリケーション推論エンジン: タスクを実行し、ローカル データセットを使用してローカルで計算と学習を行い、結果を安全な集計のためにフェデレーション ラーニング サーバーに送信するアプリケーション。
- ローカルの非公開データ: 各銀行は、不正行為データラベルを含む、非公開の暗号化された取引データを保有します。このデータはすべてのプロセスで暗号化されたままであり、データ プライバシーが確保されます。
- 安全な集約プロトコル(青い点線で示されています): モデルをトレーニングするために、フェデレーション ラーニング サーバーが個々の銀行の更新にアクセスする必要はありません。銀行またはサイトのランダムなサブセットから取得した更新ベクトルの要素ごとの加重平均のみが必要です。安全な集約プロトコルを使用してこれらの加重平均を計算することで、サーバーは、このランダムに選択されたサブセット内の 1 つ以上の銀行が特定の単語を書き込んだことのみを学習し、どの銀行が書き込んだかは学習しないようにします。これにより、フェデレーション ラーニング プロセスの各参加者のプライバシーが保護されます。
- グローバルな不正行為のトレーニング済みモデルと集計されたウェイト(緑色の線で示されています): 改良された不正行為検出モデルとその学習済みのウェイトは、安全に参加銀行に共有されます。その後、各金融機関は、この強化されたモデルをローカルにデプロイし、自社の取引における不正行為検出に利用できます。
次のステップ
Confidential AI: Intel seeks to overcome AI's data protection problem を読む。
Confidential Computing の現在と未来をお読みください。
Keith Moyer(Google)による機密コンピューティングによる安全なマルチパーティ コラボレーションの実現 | OC3(YouTube)をご覧ください。
Confidential Computing の新機能をご覧ください。(YouTube)
環境に Confidential Computing と Confidential Space を実装する。
Google Cloud での Confidential Computing の基本をご覧ください。
プライバシーを強化した生成 AI を有効にする方法をご確認ください。
寄稿者
- Arun Santhanagopalan | テクノロジー / インキュベーション担当責任者、 Google Cloud
- Pablo Rodriguez | CTO オフィス テクニカル ディレクター
- Vineet Dave | テクノロジー / インキュベーション担当責任者、 Google Cloud