目次
企業のデータを安全に保管し利用するために、近年秘密計算技術が重要視されています。この技術を利用すると、保有するデータを安全に利用することができるため、導入を進める企業が増えてきています。
本記事では、秘密計算技術の一つであるTEEについて、その仕組みやメリット・デメリット、代表的な実装、最新動向などを解説します。TEEの仕組みを理解したい、あるいは業務への導入を検討されている方はぜひ参考にしてください。
TEE (Trusted Execution Environment) とは、ハードウェア方式とも呼ばれる秘密計算技術の一つです。CPUなどのハードウェアを信頼の基点として、ホスト環境から隔離された安全な実行環境を提供します。
代表的な実装としては、Intel SGX、Intel TDX、AMD SEV-SNP、Arm TrustZone、AWS Nitro Enclavesなどが挙げられます。具体的な実装はベンダによって異なりますが、一般的にTEEは以下の3つの機能を備えています。
ここでは、TEEの用途や他の方式との違い、メリット・デメリットについて解説します。
TEEは、機械学習やデータ分析などで利用されることが多く、医療画像など機密性の高いデータを用いた機械学習や、複数の企業が保有するデータの統合分析などで活用されています。
※データ活用に利用される暗号化についての解説記事はこちらをご参照ください。
他の秘密計算方式と比較したTEEの最大のメリットは、オーバーヘッドが小さい点です。秘密分散方式 (MPC) のように物理的にメモリを分散させるのではなく、CPUによって論理的にメモリを隔離する仕組みであるため、隔離領域内では平文のまま計算が行われ、通常の実行環境と比べてもパフォーマンスの低下を抑えることができます。
※MPCについての解説記事はこちらをご参照ください。
また、TEEはパブリッククラウド環境との親和性が高い技術です。自社でハードウェアを管理できないクラウド環境においても、TEEのハードウェアベースの隔離によってクラウドプロバイダーを含む第三者からデータを保護しながら処理を行えます。また、Remote Attestationによって、実際に意図したアプリケーションが動作しており改ざんされていないことを遠隔から検証することができます。この考え方はコンフィデンシャルコンピューティング (Confidential Computing) と呼ばれ、AWS・Azure・GCPなどの主要クラウドでサービスとして提供されています (詳細は後述) 。
一方でTEEにはいくつかのデメリットもあります。
サイドチャネル攻撃のリスク: 投機的実行やキャッシュタイミングを悪用したソフトウェア的なサイドチャネル攻撃は、同一ホスト上から実行できる場合があります。また、物理アクセスが可能な攻撃者による攻撃も研究されています。2025年の研究TEE.failでは、DDR5メモリバスにインターポーザーを取り付けることでTDX・SEV-SNPからattestation keyを抽出できることが示されました (TEE.fail)。IntelとAMDはいずれもこの種の物理攻撃をTEEの想定脅威モデル外としており、対策はデータセンターの物理セキュリティの確保に委ねられています。
ここではTEEの代表的な実装について解説します。
Intel SGXは、プロセス単位でEnclaveと呼ばれる保護領域を生成するTEE実装です。OSやハイパーバイザーが侵害された状態でも、アプリケーションのデータを保護できます。保護対象を特定のプロセスに限定できるため、VM全体を対象とする方式と比べて攻撃対象領域 (アタックサーフェス) を小さく抑えられる点が特徴です。
その反面、既存アプリケーションをSGXに対応させるにはコードの変更が必要になる場合があり、導入ハードルが高いとされています。
Intel TDXは、VM (仮想マシン) 単位でTEE保護を提供するIntelの技術です。VMM (仮想マシンマネージャ) などの特権ソフトウェアからVMを隔離し、Trust Domain (TD) と呼ばれる保護されたVMとして動作させます。
SGXと異なり、TDXはVM全体を保護するため、既存アプリケーションをコード変更なしに移行できる点が大きな特徴です。第4世代Intel Xeon Scalableプロセッサ (Sapphire Rapids、2023年) から製品提供が始まり、2026年3月時点ではAzure (一部リージョン)・Google CloudなどのパブリッククラウドでTDX対応VMが一般提供済みとなるなど、クラウド環境での採用が広がりつつあります。
AMD SEV-SNPは、TDXと同様にVM全体を保護するAMD製のTEE実装です。SNP(Secure Nested Paging)によるメモリ整合性保護機能を備えており、ハイパーバイザーによるメモリの不正な書き換えや再マッピングを防ぐことができます。AMD EPYCプロセッサを中心に主要クラウドプロバイダーへの導入実績が豊富で、VMベースのTEEとしてTDXより先行して普及してきました。
AWS Nitro Enclavesは、AmazonがEC2インスタンス向けに提供する独自のTEE実装です。通常のEC2インスタンスから完全に切り離された隔離環境(エンクレーブ)を生成し、永続ストレージ・インタラクティブアクセス・外部ネットワークを持たない設計により、クラウド管理者からの分離を実現しています。開発者体験の面では、既存のDockerイメージをCLIコマンド一つでEnclave Image File(EIF)に変換して実行できる点が特徴です。
近年注目を集めているのが、GPU向けの機密コンピューティングです。NVIDIAのH100 GPU(Hopperアーキテクチャ)は世界初の機密コンピューティング対応GPUとして、GPUメモリとホストシステム間のハードウェア強制分離を実現しました。続くBlackwellアーキテクチャではTEE-I/O対応による性能向上と保護範囲の拡大が図られ、さらに最新のVera Rubin NVL72ではラック全体を単一のセキュリティドメインとして扱う、ラックスケールの機密コンピューティングへと機能が拡張されています。医療・金融などの機密データを用いたAIモデルの学習・推論にTEEを適用するユースケースで、特に重要性が高まっています。
各TEEの比較表
|
実装 |
保護の粒度 |
特徴 |
|
Intel SGX |
プロセス単位 |
攻撃対象領域が最小。コード変更が必要な場合あり。 |
|
Intel TDX |
VM単位 |
コード変更が不要。 |
|
AMD SEV-SNP |
VM単位 |
メモリ整合性保護。デプロイが容易でクラウドでの導入実績が豊富。 |
|
AWS Nitro Enclaves |
VM単位 (EC2内分離) |
DockerイメージからEIFへの変換が容易。外部ネットワーク・永続ストレージなし。 |
|
NVIDIA CC |
GPU+VM単位 |
GPU上の機密AIワークロードに対応。 |
TEEを基盤とするコンフィデンシャルコンピューティングは、主要クラウドでのサービス提供が進み、AI領域への適用も広がりつつあります。
主要なパブリッククラウドプロバイダーは、いずれもTEEを活用したConfidential VMサービスを提供しています。
Microsoft AzureはAMD SEV-SNPおよびIntel TDXをベースとするConfidential VMを提供しており、AKS (Azure Kubernetes Service) 上でのConfidential Nodesも利用可能です。アテステーションはAzure Attestation Serviceが担います。Intel TDX対応VMとしては第5世代Intel Xeonプロセッサ搭載のDCesv6/ECesv6シリーズが2026年3月時点でWest US・West US 3リージョンにて一般提供されています (Azure Confidential VM options)。
Google CloudはAMD SEV・AMD SEV-SNP・Intel TDXのConfidential VMを提供しており、通常のVM作成画面からチェックボックス一つで有効化できるシンプルな操作性が特徴です。Confidential GKE Nodeによるコンテナ対応も進んでいます。
AWSはNitro Enclavesという独自のアプローチを採用しており、EC2インスタンスから切り離された高い分離性を持つエンクレーブ環境を提供します。また、M6a・C6a・R6aインスタンスタイプではAMD SEV-SNPにも対応しており、VM単位のConfidential Computingも利用可能です (現時点では一部リージョンのみ) (AMD SEV-SNP for Amazon EC2)。
TEEは近年、AIの推論や学習を行う際に、データやモデルを外部から見えない状態で処理する技術、Confidential AIとしても注目されています。
AIの利活用が拡大するにつれ、以下の2つのセキュリティ課題が指摘されています。
TEEは、CPU側でデータとモデルを保護するだけでなく、NVIDIA Hopper/BlackwellアーキテクチャのConfidential Computing機能により、GPU上でも暗号化された状態でのAI推論・学習が可能になっています。CPUのTEEからGPUのセキュア領域にデータが送られる際も、PCIeバス上で暗号化が維持される仕組みです。
Gartnerは2026年のTop Strategic Technology Trendsの一つとしてConfidential Computingを挙げ、「2029年までに、信頼されていないインフラ上での処理の75%以上がConfidential Computingで保護される」と予測しています。
TEE (Trusted Execution Environment) は、ハードウェア上の隔離された安全領域でデータを処理する秘密計算技術です。他の秘密計算方式と比較して処理速度のオーバーヘッドが小さいこと、Remote Attestationによる遠隔からの信頼検証が可能であることが主な利点です。
実装ごとに保護の粒度や導入難易度が異なるため、ユースケースに合わせた選定が重要です。近年はNVIDIA GPUへの対応や、クラウド環境でのVM単位保護 (TDX・SEV-SNP) の整備が進んでおり、TEEを取り巻くエコシステムは引き続き変化していくと見られます。
プライバシーテクノロジーに関心をお持ちの方や、業務でデータを取り扱っており秘密計算技術の活用をご検討されている方は、お気軽に弊社へお問合せください。
参考文献
※本記事に記載されている会社名・製品名・サービス名は、 各社の商標または登録商標です。