Azure Managed Service Column ＜Azure運用コラム＞Microsoft Azure Attestationとは？構成証明ソリューション

複数のプラットフォームに対応したセキュリティアプローチ

クラウドサービスの活用が拡大する中で、実際に利用するアプリケーションだけでなく、その実行環境のセキュリティにも留意しなければなりません。

Microsoft Azure Attestation はプラットフォームの信頼性とその内部で実行されるバイナリの整合性を検証するためのソリューションです。本記事では Microsoft Azure Attestation の概要からメリット、ワークフローまで詳しく解説します。

1. Microsoft Azure Attestationとは

Microsoft Azure Attestation とは、 Azure が提供するセキュリティソリューションの 1 つで、プラットフォームの信頼性とその内部で実行されるバイナリの整合性を検証するサービスです。プラットフォームとやりとりをする前にセキュリティの状況を確認できるため、クラウドベースのアプリケーションやデバイスの安全性を確保します。

Attestation （アテステーション＝構成証明）にはリモートアテステーションとローカルアテステーションの 2 種類があり、 Microsoft Azure Attestation はリモートアテステーションを採用しています。そのためクラウドコンピューティングなどの分散環境においてもコンポーネントの信頼性を検証することが可能です。

Microsoft Azure Attestation は無料で提供されており、 Azure ユーザーであれば追加料金なしで利用できます。

Azure Confidential Computing とは

Microsoft Azure Attestation は、 Azure Confidential Computing の取り組みの 1 つです。

Azure Confidential Computing とは、クラウド上でのコンフィデンシャルコンピューティングサービスです。クラウド環境でのデータの機密性を確保し、信頼性のある実行環境を提供することが目的としています。 Azure Confidential Computing は、次のようなセキュリティ技術を活用します。

TEE （ Trusted Execution Environment ）

承認されたアプリケーション・ソフトウェアだけが実行できる環境です。 TEE 内のデータは保護されており、外部からは閲覧・変更ができません。

TPM （ Trusted Platform Module ）

セキュリティに関する機能を備えた半導体部品（チップ）です。改ざんを防ぐ複数のセキュリティメカニズムを搭載しています。また、データの暗号化・復号や鍵ペアの生成などもできます。

Azure Confidential Computing はこれらのセキュリティ技術を組み合わせ、クラウド環境のセキュリティを強化します。

＜コンフィデンシャルコンピューティング＞

図版出典：Microsoft公式サイト

Microsoft Azure Attestation が必要な理由

Microsoft Azure Attestation は、上記の TEE や TPM のプラットフォームの構成証明をサポートします。これは TEE や TPM そのものの完全性を担保するために必要です。

つまり、 Microsoft Azure Attestation は、 Azure Confidential Computing のシナリオを実現するために欠かせないソリューションであると言えます。

2. Microsoft Azure Attestation のメリット

Microsoft Azure Attestation を利用するメリットについて解説します。

構成証明をシンプルに実現できる

Microsoft Azure Attestationを活用することで、複雑な設定は必要なく簡単に構成証明ができます。すべての Azure AD （ Azure Active Directory ）ユーザーは、利用中の Azure リージョンで既定の構成証明サービスプロパイダーにアクセスが可能です。

複数のプラットフォームを検証できる

Microsoft Azure Attestationは、複数のプラットフォームに対応しています。具体的には次のようなものがあります。

• Intel® Software Guard Extensions （ SGX ）
• 仮想化ベースのセキュリティ （ VBS ）
• Open Enclave （ OE ）
• AMD SEV-SNP

異なるテクノロジーを使用しているプラットフォームを統合的に検証できるため、統一したセキュリティアプローチを実現できます。

カスタムポリシーを適用できる

既定のポリシーだけでなく、ユーザーが独自に定義したカスタムポリシーを適用することもできます。特定のセキュリティ要件や業界規制に適合するように構成証明をカスタマイズすることが可能です。

3. Azure Archive Storageのワークフロー

Microsoft Azure Attestation が構成証明を行うワークフローを Intel® Software Guard Extensions （ SGX ）を例に紹介します。

1.　クライアントがエンクレーブ（ Intel® Software Guard Extensions ・ SGX ）から、信頼性に関するエビデンス（＝エンクレーブ環境に関する情報・エンクレーブ内で実行されるクライアントライブラリの情報）を取得します。

2.　クライアントは Microsoft Azure Attestation にエビデンスを送信します。

3.　Microsoft Azure Attestation はポリシーに従って検証を行います。成功した場合は構成証明トークンをクライアントに返し、失敗した場合はエラーを返します。

4.　クライアントは証明書利用者に構成証明トークンを送信します。証明書利用者は構成証明トークンの署名を検証することでエンクレーブの信頼性を検証します。

＜Intel® Software Guard Extensions (SGX) エンクレーブ検証ワークフロー＞

図版出典：Microsoft公式サイト

4. まとめ

Microsoft Azure Attestation とは、プラットフォームの信頼性とバイナリの整合性を検証するサービスです。Microsoft Azure Attestation を活用することで Azure Confidential Computing のシナリオを実現できます。

Azure ユーザーであれば無料で利用でき、クラウドベースのアプリケーションやデバイスの安全性を確保するために有効なので、ぜひ積極的に活用してみてください。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Tag： Microsoft Azure Attestation

• 

  Azure Archive Storageとは？データ保持コストの最適化

• 

  ハイブリッドクラウド環境で注目されているAvere vFXT for Azureについて解説します！