セキュリティ

機密コンピューティング - AWS Nitro Enclaves で処理中のデータを隔離保護する

AWS Nitro Enclaves を使った機密データの隔離処理を解説。暗号化アテステーション、KMS 統合、PII 処理・暗号鍵管理のユースケースを紹介します。

約 2 分で読めます

機密コンピューティングの必要性

従来のセキュリティモデルでは、データの保護は保存時 (at rest) と転送時 (in transit) の暗号化で実現されてきました。しかし、データを処理する際には復号してメモリ上に展開する必要があり、この「処理中のデータ」が攻撃対象になります。OS やハイパーバイザーの脆弱性、メモリダンプ、サイドチャネル攻撃などにより、処理中のデータが漏洩するリスクがあります。Nitro ベースの EC2 インスタンス (C5、M5、R5 以降) で利用可能な AWS Nitro Enclaves は、EC2 インスタンス内に完全に隔離された仮想マシン (Enclave) を作成し、機密データの処理を外部からアクセス不能な環境で実行する機密コンピューティングサービスです。Enclave は Nitro Hypervisor によって親インスタンスから完全に隔離され、ネットワーク接続、永続ストレージ、SSH アクセス、外部からのメモリアクセスが一切ありません。AWS のオペレーターを含む誰もが Enclave 内のデータにアクセスできません。

Enclave の仕組みとアテステーション

Enclave は親 EC2 インスタンスの vCPU (最大で親の半分) とメモリの一部を分割して作成されます。親インスタンスとの通信は vsock (仮想ソケット) のみに限定され、TCP/IP ネットワークは使用できません。アプリケーションは Docker イメージとして Enclave にデプロイし、Nitro CLI で起動します。暗号化アテステーション (Attestation) は Enclave の整合性を検証する仕組みです。Enclave の起動時に、Nitro Hypervisor が Enclave のイメージ (コード、設定) のハッシュ値を含むアテステーションドキュメントを生成します。このドキュメントは AWS Nitro Attestation PKI で署名されており、Enclave が改ざんされていないことを暗号学的に証明します。KMS はアテステーションドキュメントを検証し、特定の Enclave イメージでのみ復号可能な暗号鍵ポリシーを適用できます。

ユースケースと KMS 統合

Nitro Enclaves の主なユースケースは、 PII (個人情報) の処理です。医療データ、金融データ、個人識別情報を Enclave 内で処理し、集計結果のみを親インスタンスに返すことで、生データの漏洩リスクを排除します。暗号鍵の管理では、 CloudHSM の代替として Enclave 内で暗号鍵を生成・使用し、鍵が Enclave 外に出ないようにします。 KMS との統合では、 KMS キーポリシーに Enclave のイメージハッシュ (PCR 値) を条件として設定します。これにより、特定のコードが動作する特定の Enclave でのみ KMS キーを使用でき、親インスタンスが侵害されても KMS キーへのアクセスが不可能になります。マルチパーティ計算では、複数の組織がそれぞれのデータを Enclave に送信し、 Enclave 内で共同計算を実行して結果のみを返すパターンに活用できます。追加料金は不要で、 EC2 インスタンスの料金のみで利用できます。 Nitro Enclaves のベストプラクティスを網羅的に学ぶなら、技術書 (Amazon)を参照してください。

Nitro Enclaves の料金

Nitro Enclaves 自体に追加料金は発生しません。コストは Enclave に割り当てる vCPU とメモリの分だけ、親インスタンスのリソースが減少する点です。例えば m5.2xlarge (8 vCPU、32 GB) で Enclave に 2 vCPU、8 GB を割り当てると、親インスタンスは 6 vCPU、24 GB で動作します。Enclave 用に大きいインスタンスを選択する必要がある場合、そのインスタンス料金の差額が実質的なコストです。KMS との統合で使用する KMS キーの料金 (月額 1 ドル/キー) も発生します。

まとめ - Nitro Enclaves の活用指針

AWS Nitro Enclaves は、処理中のデータを完全に隔離保護する機密コンピューティングサービスです。Nitro Hypervisor による隔離、暗号化アテステーション、KMS 統合による暗号鍵の保護が主な強みです。PII の処理、暗号鍵の管理、マルチパーティ計算など、処理中のデータの保護が規制やセキュリティポリシーで求められるユースケースに適しています。追加料金なしで利用でき、既存の EC2 ワークロードに Enclave を追加する形で導入できます。

関連するサービス

AWS Nitro EnclavesEC2 インスタンス内に隔離された実行環境を作成し、機密データを安全に処理するサービスAmazon EC2クラウド上で仮想サーバーを提供するコンピュートサービスAWS KMSデータの暗号化に使う鍵を安全に作成・管理できるマネージド暗号鍵サービス

関連する記事

ハードウェアセキュリティモジュール - AWS CloudHSM による暗号鍵の専有管理AWS CloudHSM を使った暗号鍵の専有管理を解説。KMS との使い分け、FIPS 140-2 Level 3 準拠、TLS オフロード、Oracle TDE 統合など高度なユースケースを紹介します。データプライバシー保護 - Amazon Macie と GuardDuty で実現する機密データの自動検出と脅威防御Amazon Macie による S3 内の機密データ自動検出と、Amazon GuardDuty による脅威インテリジェンスを組み合わせたデータプライバシー保護の実践手法を解説します。個人情報の特定からリアルタイムの脅威検知まで、包括的なセキュリティ対策を紹介します。AWS Nitro Enclaves で実現する機密データ処理 - 隔離環境での暗号化と認証Nitro Enclaves の隔離環境で機密データを処理し、KMS との統合とアテステーションで暗号鍵のアクセスを制御する手法を紹介します。

同じテーマの記事

IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS Certificate Manager で自動化する SSL/TLS 証明書管理 - 発行からローテーションまでACM によるパブリック証明書の無料発行、DNS 検証、自動更新、ALB ・ CloudFront へのデプロイを解説します。AWS Artifact でコンプライアンスレポートを取得 - 監査対応と契約管理SOC・PCI DSS・ISO の監査レポートをオンデマンドで取得し、BAA や GDPR DPA を Organizations 全体に一括適用する手順を紹介します。監査の自動化 - AWS Audit Manager でコンプライアンス証跡を継続的に収集するAWS Audit Manager を使った監査証跡の自動収集を解説。フレームワーク (SOC 2、PCI DSS、GDPR 等) に基づく自動評価、エビデンスの一元管理、監査レポートの生成を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。AWS アカウントのルートユーザーはなぜ危険なのか - 権限分離の設計思想と封印の実践AWS ルートユーザーが IAM では制限できない特権を持つ理由、ルートユーザーでしかできない操作の一覧、MFA の設定方法、Organizations のルートアクセス管理による封印戦略を解説します。証明書管理と HTTPS 化 - AWS Certificate Manager による TLS 証明書の自動運用AWS Certificate Manager (ACM) を使った TLS/SSL 証明書の発行・自動更新・デプロイを解説。CloudFront ・ ALB ・ API Gateway との統合、DNS 検証、プライベート CA の活用まで紹介します。AWS CloudHSM で実現する専用鍵管理 - FIPS 140-2 Level 3 準拠の暗号化専有の HSM インスタンスで FIPS 140-2 Level 3 準拠の鍵管理を実現する。KMS との使い分けと、KMS カスタムキーストアによる両者の統合を紹介します。

内容が近い記事・サービス

AWS Nitro EnclavesEC2 インスタンス内に分離された仮想マシンを作成し、暗号化証明 (Attestation) と KMS 統合により機密データを安全に処理するための機能AWS Nitro Enclaves で実現する機密データ処理 - 隔離環境での暗号化と認証Nitro Enclaves の隔離環境で機密データを処理し、KMS との統合とアテステーションで暗号鍵のアクセスを制御する手法を紹介します。AWS の暗号化とデータ主権 - KMS から Nitro Enclaves までハードウェアレベルの分離を実現AWS KMS、CloudHSM、Nitro Enclaves によるハードウェアレベルの暗号化とデータ主権の確保を解説し、他社クラウドとの設計差異を比較します。Nitro System が変えた EC2 の歴史 - Xen から KVM へ、仮想化オーバーヘッドをゼロに近づけた革命EC2 が Xen ハイパーバイザーから Nitro System に移行した技術的背景、Nitro カード・Nitro ハイパーバイザー・Nitro Enclaves の 3 層構造、ベアメタル並みの性能を実現した設計思想を解説します。