機密 VM プランの保護範囲

[更新: 2025年12月11日]

機密 VM プランで保護できる範囲について説明いたします。

機密プランで保護できない範囲

機密 VM プランでは、以下のような VM内部の通常のセキュリティ対策が必要な領域 は保護できません。

  • SSH パスワード漏洩などによる VM への直接侵入

  • VM 上のアプリケーションや OS の脆弱性を悪用した攻撃

    • この2点は SEV-SNP による暗号化の対象外であり、通常の Linux と同様の対策が必要です

  • ディスク上に平文で保存された機密データの窃取

    • ディスク暗号化オプションでは、仮想化基盤にて透過的に復号処理が行われるため対策となりません

注意

上記は仮想化ベースの機密コンピューティング技術で解決できないため、お客様側で対策いただく必要があります。

機密 VM プランで保護できる範囲

機密 VM プランは「利用者データの漏洩リスクを低減するための手段を提供する」ものであるため、お客様側でのシステム構成により達成可能なセキュリティレベルが大きく変化します。

以下に達成可能なセキュリティレベルとそれにより利用できるようになる防御機構、当該レベルを運用する場合にお客様側で構築・運用が必要となる事柄の例を示します。

リモートアテステーションを省き、メモリ・レジスタ保護のみを活用する場合

SEV-SNP 対応 OS を機密 VM プランで起動するだけで得られる最低限の保護レベルです。

利用できる防御機構

  • VM に割り当てたメモリ領域の読み出し

  • VM に割り当てたメモリ領域の改ざん・破壊

    • 「改ざん」は外部から意味のあるデータを書き込むことで、攻撃者が意図した何らかの効果を得ることを指します

    • 「破壊」は外部から意味の無いデータを書き込むことで、VM の正常な動作を妨害することを指します

  • VM コンテキストスイッチ直後のレジスタ読み出しによるデータ盗聴

必要な作業

  • SEV-SNP 対応 OS の適切な運用

注意点

OS は通常どおり起動できてしまうため、 SEV-SNP が無効化されている状態でも気づけない可能性があります。 本番利用ではリモートアテステーションによる検証を強く推奨します。

リモートアテステーションによる動作環境の検証を行う場合

外部の「信頼できる検証用サーバ」でアテステーションレポートを検証する構成です。 推奨構成であり、以下のような不正環境を検出できます。

利用できる防御機構

  • 「メモリ・レジスタ保護のみを活用する場合」で利用できる防御機構すべて

  • 以下のようなケースを検出し、機密データの取り扱いを拒否する動作を実装できるようになる

    • SEV-SNP が動作していない環境で OS が起動された

    • SEV-SNP が動作しているが、運用者が想定していない(=攻撃者による干渉を受けた可能性がある)ホストサーバ上で VM が起動している

    • 起動時に使用されたコンポーネント (UEFI ファームウェア / ブートローダー / カーネル / その他ソフトウェア) が改ざんされている

必要な作業

  • 機密 VM 上において稼働する SEV-SNP に対応した OS の適切な運用

  • リモートアテステーション用の検証用サーバの構築・運用

    • これはお客様の手元、あるいは完全に信頼がおける第三者により運用される必要があります

  • 改ざんされていない、真正なコンポーネント (UEFI ファームウェア / ブートローダー / カーネル / その他ソフトウェア) の測定値を取得し、事前に許可リストを作成すること

  • 機密データの適切な取り扱い
    • 機密データは平文でディスク上に置かず、暗号化して配置すること

      • 「暗号化ディスクオプション」などの起動時に自動で復号されてしまうものは不可

    • 機密データの復号鍵はディスク上に置かず、機密 VM 内のメモリ上でのみ取り扱うこと

      • 検証用サーバでアテステーションレポートの検証が完了した後、安全な通信路で供給する等の方法が考えられます

補足、注意事項

  • アテステーションレポートは AMD の鍵で署名されるため、弊社側でも改ざんできません。

  • リモートアテステーションは、外部の信頼できる検証用サーバでアテステーションレポートを検証し、VM が正当なハードウェア上で起動していることを確認する仕組みです。

  • 以下の理由からアテステーションを外部で行う必要がございます。

    • 機密データの鍵を VM と分離して保管する必要がある

    • VM 内に検証処理を置くと改ざんされてしまう恐れがある

  • システムを改ざんされているかどうかを把握するためには「改ざんされていない、真正な状態のシステム構成」を事前に把握しておく必要があります。

  • カーネルやブートローダー、OS 内に含まれるソフトウェアはお客様管理のものとなるため、お客様責任にて測定値を取得し、起動を許可する測定値を事前にご準備いただく必要があります。

  • 起動に必須となるコンポーネントのうち、UEFI ファームウェアについては弊社が提供するものとなります。測定値とUEFI ファームウェアのバイナリファイル、バイナリファイルのビルドに使用したソースコードを提供いたしますので、igvmmeasure 等のユーティリティを用いて測定値が一致することやバイナリファイルの挙動解析等、必要と思われる調査をお客様責任にて行っていただき、起動許可を行うかどうかをご判断ください。

    • 操作方法とファイルのダウンロード先については、こちら でご案内しております。

(非推奨) 機密 VM 内においてアテステーションレポートの確認を行う場合

アテステーションレポートを VM 内部で取得し、同じ VM 内部で検証する構成です。

この方式では、ディスクイメージ改ざんにより検証ロジック自体が書き換えられる恐れがあります。 そのため、アテステーションが無意味化し、実質的に「メモリ・レジスタ保護のみ」と同等のレベルとなります。