Apple PCC vs. 機密コンピューティング：主要なセキュリティの違い

急速に進化するサイバーセキュリティの状況では、新しい頭字語や技術が頻繁に登場し、しばしば混乱を招きます。最近の進歩の中でも、昨年Apple Intelligenceへのプライベートアクセスを可能にするために発表されたAppleのPrivate Cloud Compute（PCC）は、機密コンピューティング（Confidential Computing）と並んで頻繁に議論されています。両技術はクラウド環境でのデータセキュリティを強化し、特殊なハードウェアを活用することを目指していますが、それぞれ異なる脅威モデルに対処し、異なる基本的なアプローチを採用しています。これらの違いを理解することは、セキュリティ技術を評価し、機密性の高いワークロードを保護するための情報に基づいた意思決定を行う組織にとって極めて重要です。

Appleは、デバイス上での処理とユーザープライバシーへの長年のコミットメントを、より大規模な人工知能モデルに拡張するためにPCCを導入しました。これらのモデルが複雑さを増すにつれて、デバイス上での処理は実現性が低くなり、クラウドベースのソリューションが必要となりました。PCCの核心的な考え方は、リモートクラウドリソースを利用する場合でも、デバイス上での処理に匹敵するレベルのプライバシーを達成することです。これは、高度にセキュアなハードウェア・ソフトウェアサプライチェーンで構築された専用ノードを通じて実現されます。これらのノードは、すべてのコードがハードウェアバックアップされたキーによって署名されていることを保証するセキュアブートメカニズムを採用しており、静止データは再起動間でアクセスできないランダム化されたキーで暗号化されます。さらに、ユーザーデータはデバイスから特定のPCCノードへの転送中に暗号化され、攻撃者がトラフィックを侵害されたノードにリダイレクトするのを防ぎます。PCCの重要な機能は、リモートアテステーション機能であり、これによりノードは公開されているソフトウェアを実行していることを暗号的に検証できます。このメカニズムは、Appleだけでなく外部の研究者もPCCノードで実行されているコードの整合性を独立して検証することを可能にし、透明性を促進し、公開検証可能性を通じて信頼を構築します。PCCは主に、ネットワークレベルの攻撃、中間者攻撃シナリオ、およびその透明な検証プロセスを通じてApple自身による潜在的な悪用から防御します。

対照的に、機密コンピューティングは、データがアクティブに処理されている間、つまり「使用中」のデータを保護することに焦点を当てています。これは、ハードウェアバックアップされた信頼実行環境（Trusted Execution Environment, TEE）内で機密性の高いアプリケーションを実行することで実現されます。TEEは中央処理装置（CPU）と並行して動作し、データの整合性、データの機密性、およびコードの整合性に対して堅牢な保証を提供します。実質的に、機密コンピューティングは信頼の境界をソフトウェアからハードウェアへとシフトさせ、他のユーザー、あるいは基盤となるオペレーティングシステムやハイパーバイザーでさえも、TEE内で実行されているアプリケーションのデータを妨害したり読み取ったりできないようにします。PCCと同様に、機密コンピューティングもリモートアテステーションを利用します。ここで、アテステーションは、アプリケーションが実際にTEE内で実行されていることの暗号的証拠を提供します。TEE内のアプリケーションとその環境はハードウェアキーによって署名されており、リモート検証者が期待されるアプリケーションが期待されるセキュアな環境で実行されていることを確認できます。機密コンピューティングの脅威モデルは、特権ソフトウェア攻撃（侵害されたオペレーティングシステムやハイパーバイザーを含む）、共有クラウドインフラストラクチャに固有のマルチテナントリスク、および処理中にクラウドプロバイダー自体が機密データを完全に信頼できないシナリオに特に対処します。

両技術はリモートアテステーションを組み込み、セキュリティのために特殊なハードウェアに依存していますが、その目的は大きく異なります。両者とも、どのデバイスで何が実行されているかをリモートの相手に証明しますが、異なる検証目的を果たし、テクノロジースタックの異なる層で動作します。PCCは、専用のハードウェアサプライチェーンとハードウェアキーを活用してノードの改ざんを防ぎ、インフラストラクチャ自体の整合性を確保します。一方、機密コンピューティングは、ハードウェアTEEを使用してコード実行を分離し、ハードウェア署名キーを使用して分離された環境の整合性を検証します。

根本的な違いは、信頼へのアプローチにあります。PCCは、強化された通信と信頼されたクラウドデバイス環境を提供し、インフラストラクチャとその通信経路における信頼を構築することを目指しています。しかし、信頼されたPCC環境内では、データは復号化され、平文で処理されます。対照的に、機密コンピューティングは、クラウドデバイスとインフラストラクチャが信頼できないままである可能性があるという前提で動作します。処理中であっても暗号化によってデータを保護し、情報が暗号化されたままで、ハードウェア保護されたTEE環境内でのみアクセス可能であることを保証します。簡単に言えば、PCCはクラウドインフラストラクチャにおける信頼を向上させようとする一方で、機密コンピューティングはクラウドインフラストラクチャへの潜在的な不信感にもかかわらずデータを保護することを目指しています。

AppleのPrivate Cloud Computeと機密コンピューティングのどちらを選択するかは、組織の特定の脅威モデル、インフラストラクチャの制約、およびクラウド環境に関する信頼の仮定に大きく依存します。PCCは、クラウドAI処理を活用するAppleデバイスに強力な保護を提供しますが、そのモデルは、Appleが緊密に統合されたハードウェアサプライチェーンとエコシステム全体を制御する独自の能力に依存しており、広範なレプリケーションは困難です。完全に制御できないクラウド環境で機密性の高いワークロードを保護しようとする組織にとって、機密コンピューティングはより広範に適用可能なアプローチを提供します。サードパーティのクラウドプロバイダーや共有インフラストラクチャを利用する場合でも堅牢な保護を提供し、Appleの特定のエコシステムを超えた幅広いユースケースに適しています。