目次
はじめに
企業のデータを安全に保管し利用するために、近年秘密計算技術が重要視されています。この技術を利用すると、保有するデータを安全に利用することができるため、導入を進める企業が増えてきています。
本記事では、秘密計算技術の一つであるTEEについて、その仕組みやメリット・デメリット、代表的な実装、最新動向などを解説します。TEEの仕組みを理解したい、あるいは業務への導入を検討されている方はぜひ参考にしてください。
TEE (Trusted Execution Environment) とは
TEE (Trusted Execution Environment) とは、ハードウェア方式とも呼ばれる秘密計算技術の一つです。CPUなどのハードウェアを信頼の基点として、ホスト環境から隔離された安全な実行環境を提供します。
代表的な実装としては、Intel SGX、Intel TDX、AMD SEV-SNP、Arm TrustZone、AWS Nitro Enclavesなどが挙げられます。具体的な実装はベンダによって異なりますが、一般的にTEEは以下の3つの機能を備えています。
- メモリ暗号化: 実行中のデータを外部から読み取られないよう保護します。
- 隔離された実行環境: ホストOSや特権ソフトウェアによる干渉を防ぎます。
- Remote Attestation (リモートアテステーション): 実行環境が正規のハードウェア上で動作しており、想定通りのソフトウェアが改ざんなく実行されていることを、遠隔地の第三者が暗号学的に検証できます。
TEEの用途、他の方式との違い、メリット・デメリット
ここでは、TEEの用途や他の方式との違い、メリット・デメリットについて解説します。
用途
TEEは、機械学習やデータ分析などで利用されることが多く、医療画像など機密性の高いデータを用いた機械学習や、複数の企業が保有するデータの統合分析などで活用されています。
※データ活用に利用される暗号化についての解説記事はこちらをご参照ください。
他の秘密計算方式と比べた時のメリット
他の秘密計算方式と比較したTEEの最大のメリットは、オーバーヘッドが小さい点です。秘密分散方式 (MPC) のように物理的にメモリを分散させるのではなく、CPUによって論理的にメモリを隔離する仕組みであるため、隔離領域内では平文のまま計算が行われ、通常の実行環境と比べてもパフォーマンスの低下を抑えることができます。
※MPCについての解説記事はこちらをご参照ください。
また、TEEはパブリッククラウド環境との親和性が高い技術です。自社でハードウェアを管理できないクラウド環境においても、TEEのハードウェアベースの隔離によってクラウドプロバイダーを含む第三者からデータを保護しながら処理を行えます。また、Remote Attestationによって、実際に意図したアプリケーションが動作しており改ざんされていないことを遠隔から検証することができます。この考え方はコンフィデンシャルコンピューティング (Confidential Computing) と呼ばれ、AWS・Azure・GCPなどの主要クラウドでサービスとして提供されています (詳細は後述) 。
デメリット
一方でTEEにはいくつかのデメリットもあります。
- ハードウェアベンダへの信頼依存: TEEはCPUなどのハードウェアを信頼の起点としているため、セキュリティ保証はベンダのハードウェア・ファームウェアの安全性に依存します。実際にIntel SGXやAMD SEV-SNPでは過去にCVEが報告されており、ファームウェアのアップデートによる継続的な対応が必要です。
-
サイドチャネル攻撃のリスク: 投機的実行やキャッシュタイミングを悪用したソフトウェア的なサイドチャネル攻撃は、同一ホスト上から実行できる場合があります。また、物理アクセスが可能な攻撃者による攻撃も研究されています。2025年の研究TEE.failでは、DDR5メモリバスにインターポーザーを取り付けることでTDX・SEV-SNPからattestation keyを抽出できることが示されました (TEE.fail)。IntelとAMDはいずれもこの種の物理攻撃をTEEの想定脅威モデル外としており、対策はデータセンターの物理セキュリティの確保に委ねられています。
TEEの代表的な実装
ここではTEEの代表的な実装について解説します。
Intel SGX
Intel SGXは、プロセス単位でEnclaveと呼ばれる保護領域を生成するTEE実装です。OSやハイパーバイザーが侵害された状態でも、アプリケーションのデータを保護できます。保護対象を特定のプロセスに限定できるため、VM全体を対象とする方式と比べて攻撃対象領域 (アタックサーフェス) を小さく抑えられる点が特徴です。
その反面、既存アプリケーションをSGXに対応させるにはコードの変更が必要になる場合があり、導入ハードルが高いとされています。
Intel TDX
Intel TDXは、VM (仮想マシン) 単位でTEE保護を提供するIntelの技術です。VMM (仮想マシンマネージャ) などの特権ソフトウェアからVMを隔離し、Trust Domain (TD) と呼ばれる保護されたVMとして動作させます。
SGXと異なり、TDXはVM全体を保護するため、既存アプリケーションをコード変更なしに移行できる点が大きな特徴です。第4世代Intel Xeon Scalableプロセッサ (Sapphire Rapids、2023年) から製品提供が始まり、2026年3月時点ではAzure (一部リージョン)・Google CloudなどのパブリッククラウドでTDX対応VMが一般提供済みとなるなど、クラウド環境での採用が広がりつつあります。
AMD SEV-SNP
AMD SEV-SNPは、TDXと同様にVM全体を保護するAMD製のTEE実装です。SNP(Secure Nested Paging)によるメモリ整合性保護機能を備えており、ハイパーバイザーによるメモリの不正な書き換えや再マッピングを防ぐことができます。AMD EPYCプロセッサを中心に主要クラウドプロバイダーへの導入実績が豊富で、VMベースのTEEとしてTDXより先行して普及してきました。
AWS Nitro Enclaves
AWS Nitro Enclavesは、AmazonがEC2インスタンス向けに提供する独自のTEE実装です。通常のEC2インスタンスから完全に切り離された隔離環境(エンクレーブ)を生成し、永続ストレージ・インタラクティブアクセス・外部ネットワークを持たない設計により、クラウド管理者からの分離を実現しています。開発者体験の面では、既存のDockerイメージをCLIコマンド一つでEnclave Image File(EIF)に変換して実行できる点が特徴です。
NVIDIA Confidential Computing
近年注目を集めているのが、GPU向けの機密コンピューティングです。NVIDIAのH100 GPU(Hopperアーキテクチャ)は世界初の機密コンピューティング対応GPUとして、GPUメモリとホストシステム間のハードウェア強制分離を実現しました。続くBlackwellアーキテクチャではTEE-I/O対応による性能向上と保護範囲の拡大が図られ、さらに最新のVera Rubin NVL72ではラック全体を単一のセキュリティドメインとして扱う、ラックスケールの機密コンピューティングへと機能が拡張されています。医療・金融などの機密データを用いたAIモデルの学習・推論にTEEを適用するユースケースで、特に重要性が高まっています。
各TEEの比較表
|
実装 |
保護の粒度 |
特徴 |
|
Intel SGX |
プロセス単位 |
攻撃対象領域が最小。コード変更が必要な場合あり。 |
|
Intel TDX |
VM単位 |
コード変更が不要。 |
|
AMD SEV-SNP |
VM単位 |
メモリ整合性保護。デプロイが容易でクラウドでの導入実績が豊富。 |
|
AWS Nitro Enclaves |
VM単位 (EC2内分離) |
DockerイメージからEIFへの変換が容易。外部ネットワーク・永続ストレージなし。 |
|
NVIDIA CC |
GPU+VM単位 |
GPU上の機密AIワークロードに対応。 |
TEEを取り巻く最新動向
TEEを基盤とするコンフィデンシャルコンピューティングは、主要クラウドでのサービス提供が進み、AI領域への適用も広がりつつあります。
クラウド大手によるTEEサービスの提供
主要なパブリッククラウドプロバイダーは、いずれもTEEを活用したConfidential VMサービスを提供しています。
-
Microsoft AzureはAMD SEV-SNPおよびIntel TDXをベースとするConfidential VMを提供しており、AKS (Azure Kubernetes Service) 上でのConfidential Nodesも利用可能です。アテステーションはAzure Attestation Serviceが担います。Intel TDX対応VMとしては第5世代Intel Xeonプロセッサ搭載のDCesv6/ECesv6シリーズが2026年3月時点でWest US・West US 3リージョンにて一般提供されています (Azure Confidential VM options)。
-
Google CloudはAMD SEV・AMD SEV-SNP・Intel TDXのConfidential VMを提供しており、通常のVM作成画面からチェックボックス一つで有効化できるシンプルな操作性が特徴です。Confidential GKE Nodeによるコンテナ対応も進んでいます。
-
AWSはNitro Enclavesという独自のアプローチを採用しており、EC2インスタンスから切り離された高い分離性を持つエンクレーブ環境を提供します。また、M6a・C6a・R6aインスタンスタイプではAMD SEV-SNPにも対応しており、VM単位のConfidential Computingも利用可能です (現時点では一部リージョンのみ) (AMD SEV-SNP for Amazon EC2)。
Confidential AIの動向
TEEは近年、AIの推論や学習を行う際に、データやモデルを外部から見えない状態で処理する技術、Confidential AIとしても注目されています。
AIの利活用が拡大するにつれ、以下の2つのセキュリティ課題が指摘されています。
- 学習データ・推論データの保護: 医療データや金融データなど、AIモデルの学習や推論に使用される機密データが、クラウド上で処理中に漏洩するリスク
- モデルの知的財産保護: 莫大な投資をかけて開発した独自モデルの重みやアーキテクチャが、推論サービスの提供過程で流出するリスク
TEEは、CPU側でデータとモデルを保護するだけでなく、NVIDIA Hopper/BlackwellアーキテクチャのConfidential Computing機能により、GPU上でも暗号化された状態でのAI推論・学習が可能になっています。CPUのTEEからGPUのセキュア領域にデータが送られる際も、PCIeバス上で暗号化が維持される仕組みです。
Gartnerは2026年のTop Strategic Technology Trendsの一つとしてConfidential Computingを挙げ、「2029年までに、信頼されていないインフラ上での処理の75%以上がConfidential Computingで保護される」と予測しています。
まとめ
TEE (Trusted Execution Environment) は、ハードウェア上の隔離された安全領域でデータを処理する秘密計算技術です。他の秘密計算方式と比較して処理速度のオーバーヘッドが小さいこと、Remote Attestationによる遠隔からの信頼検証が可能であることが主な利点です。
実装ごとに保護の粒度や導入難易度が異なるため、ユースケースに合わせた選定が重要です。近年はNVIDIA GPUへの対応や、クラウド環境でのVM単位保護 (TDX・SEV-SNP) の整備が進んでおり、TEEを取り巻くエコシステムは引き続き変化していくと見られます。
プライバシーテクノロジーに関心をお持ちの方や、業務でデータを取り扱っており秘密計算技術の活用をご検討されている方は、お気軽に弊社へお問合せください。
参考文献
- 経済産業省, "秘密計算技術の活用," pp.2–3, https://www.meti.go.jp/
- 岡田光弘 他, "信頼できる実行環境 TEE を用いた暗号マルチマップにおけるデータ量秘匿可能な挿入法," pp.2–3
- 独立行政法人情報処理推進機構 (IPA), "TEE(Trusted Execution Environment)とそれに関する研究開発動向," pp.4–9, pp.14–18, p.27
- 三園真宙, "Trusted Execution Environmentの実装とそれを支える技術," pp.1–2, pp.4–5
- Jalen Chuang et al., "TEE.fail: Breaking Trusted Execution Environments via DDR5 Memory Bus Interposition," IEEE S&P 2026, https://tee.fail/
- Masanori Misono et al., "An Experimental Evaluation of TEE Technology: Benchmarking Transparent Approaches based on SGX, SEV, and TDX," 2025, https://arxiv.org/abs/2408.00443
- NVIDIA, "AI Security with Confidential Computing," https://www.nvidia.com/en-us/data-center/solutions/confidential-computing/
- Gartner, "Top Strategic Technology Trends for 2026," Gene Alvarez et al., October 2025
- Microsoft, "Azure Confidential VM options," https://learn.microsoft.com/en-us/azure/confidential-computing/virtual-machine-options
- AWS, "AMD SEV-SNP for Amazon EC2," https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sev-snp.html
- Google Cloud, "Confidential VM overview," https://cloud.google.com/confidential-computing/confidential-vm/docs/confidential-vm-overview
- Confidential Computing Consortium, The Linux Foundation, https://confidentialcomputing.io/
※本記事に記載されている会社名・製品名・サービス名は、 各社の商標または登録商標です。