昨年の5月にGoogleは、コンフィデンシャルコンピューティング(confidential computing, 機密計算)のためのオープンソースのフレームワークAsyloを導入した。クラウドの大手ベンダーの多くが歓迎しているこのテクニックは、システムのそのほかの…たぶん信頼性が低い…部分から隔離された、信頼性の高い実行環境をセットアップする。ワークロードとそれらのデータも信頼性の高い特別な領域に置かれるので、ネットワークやオペレーティングシステムの脆弱性に対するさらなる保護層が加わる。
とくに新しいコンセプトではないが、Googleによると、実際に採用することはきわめて困難だった。Google CloudのエンジニアリングディレクターJason GarmsとシニアプロダクトマネージャーNelly Porterが、今日のブログ記事で述べている: “このような利点にもかかわらず、この新興技術の採用は(1)特定のハードウェアへの依存、(2)複雑で難しい、(3)コンフィデンシャルコンピューティングの環境で使えるアプリケーション開発ツールがない、などにより阻まれていた”。そしてAsyloフレームワークの約束は、これらの言葉からも分かるように、コンフィデンシャルコンピューティングを容易にすることだ。
Asyloを使うと、これらの隔離された領域(enclave(s))で動くアプリケーションを容易に作れて、IntelのSGXなどさまざまなハードウェア/ソフトウェアベースのセキュリティバックエンドを使えるようになる。アプリケーションが移植されてAsyloをサポートするようになると、そのコードはAsyloがサポートする他のどんな隔離領域でも動く。
ただし現状では、コンフィデンシャルコンピューティングを取り巻く技術や実践の多くが流動的だ。Googleによると、まず、Asylo APIを使ってアプリケーションを作り、さまざまな隔離領域で動かすための、確立したデザインパターンがない。またハードウェアも、メーカーによって仕様が一定でないので、ハードウェアのレベルでの技術の相互運用性が保証されない。
“業界と協力して、コンフィデンシャルコンピューティングのアプリケーションをサポートするもっと透明で相互運用性のあるサービスを作っていきたい。そしてそれによって、(正しい互換性の)証明文書の検査や、複数の隔離領域間の通信プロトコル、複数の隔離領域にまたがる連邦的アイデンティティシステムなどを、分かりやすいものにしていきたい”、とGarmsとPorterは書いている。
そしてそのためにGoogleは今日(米国時間2/6)、Confidential Computing Challenge(C3)〔一種の懸賞企画〕というものを立ち上げた。それは、デベロッパーがコンフィデンシャルコンピューティングの新しいユースケースを作れるようにし、また、その技術を前進させていくことが目的だ。このチャレンジに入賞したら、賞金15000ドルと、Google Cloud Platformの使用クレジット5000ドルぶんがもらえる。賞品としてハードウェアもあるが、機種等は不明だ(PixelbookやPixelスマートフォンじゃないかな)。
また、Asyloのツールを使ってアプリケーションを作るやり方を学べるハンズオンラボが、3つ用意される。それらは、Googleのブログにあるコードを利用するなら、最初の1か月は無料だ。
