WO2024005143A1

WO2024005143A1 - 演算処理装置、演算処理システム、演算処理方法、及び演算処理プログラム

Info

Publication number: WO2024005143A1
Application number: PCT/JP2023/024185
Authority: WO
Inventors: 真啓小塚; 智也川西; 健司大平
Original assignee: セーラ・ネットワークス株式会社
Priority date: 2022-06-29
Filing date: 2023-06-29
Publication date: 2024-01-04
Also published as: JP7412835B1

Abstract

ハイパバイザが信頼できないシステムにおいても、セキュアな演算処理環境を提供すること。本発明の１つの実施形態に係る演算処理装置は、外部からセキュアプログラムを取得可能な演算処理装置であって、ＣＰＵ、入出力装置及び記憶装置を少なくとも含むハードウェアと、前記ハードウェアを管理するハイパバイザと、前記ハイパバイザにより仮想的な演算処理環境を提供された１つ以上の仮想演算処理装置と、を少なくとも備え、前記仮想演算処理装置が、ゲストＯＳと、メモリと、を少なくとも有し、前記ハードウェアが前記仮想演算処理装置のみから利用できる形で、外部から仮想演算処理装置毎に前記メモリにブートローダを転送し、前記ブートローダが、前記セキュアプログラムを取得し、前記仮想演算処理装置において、当該セキュアプログラムを起動することを特徴とする。

Description

演算処理装置、演算処理システム、演算処理方法、及び演算処理プログラム

　本発明は、演算処理装置、演算処理システム、演算処理方法、及び演算処理プログラムに関する。

　従来、ハイパバイザを用いて複数の仮想計算機を動作させる計算機システムが知られている。特許文献１には、クライアントから利用される仮想計算機に割り当てられている記憶空間に格納された全てのコード群をスキャンできる計算機システムが開示されている。特許文献１記載の計算機システムでは、クライアントから利用される一般仮想計算機の外部に、クライアントに対して隠蔽される特殊仮想計算機が用意され、特殊仮想計算機が一般仮想計算機に割り当てられている記憶空間から読み出されたコード群をスキャンする。

　また、特許文献２には、ゲストＯＳ上に特別なエージェントを設置することなしに、ゲストＯＳやゲストＯＳ上で動作しているアプリケーションに対してセキュリティポリシの強制を行うことができる仮想計算機システムが開示されている。特許文献２記載の仮想計算機システムでは、仮想計算機システムに適用されるセキュリティポリシがゲストＯＳの種類またはアプリケーションの種類に応じた設定項目の設定値からなる設定項目情報を保持する設定項目情報保持手段、ゲストＯＳが実行する命令および物理デバイスの出力を監視して、設定項目情報保持手段の設定項目に設定されている設定値または変更されようとしている設定値を検出する設定検出手段、及び、設定検出手段によって検出された設定値と設定項目情報で示される設定値とが相違するとき、設定項目の設定対象であるゲストＯＳまたはアプリケーションに、設定項目情報で示される設定値を適用させる設定適用手段をハイパバイザが備えている。

特開２０１０－０５５３１８号公報国際公開第２００９／０８１５３０号

　上記特許文献１に記載の仮想計算機システムでは、スキャナが、一般仮想計算機の記憶空間からコード群を読み出すアシストと、読み出されたコード群をスキャンするエンジンとで構成され、エンジンが、特殊仮想計算機で実行され、アシストが、ハイパバイザで実行される。このため、一般仮想計算機の記憶空間にあるコード群がハイパバイザにより管理されるため、一般仮想計算機の利用者にとって、ハイパバイザが信頼できるシステムであることが前提であればセキュア環境が維持されるが、一般的なネットワーク上において、全ての仮想計算機システムにおけるハイパバイザが信頼できるとは限らないため、セキュア環境を維持することは困難である。

　上記特許文献２に記載の仮想計算機システムでは、ハイパバイザが設定検出手段によって検出された設定値と設定項目情報で示される設定値とが相違するとき、設定項目の設定対象であるゲストＯＳまたはアプリケーションに、設定項目情報で示される設定値を適用させる設定適用手段を備えており、ゲストＯＳやゲストＯＳ上で動作しているアプリケーションに対してセキュリティポリシの強制を行うことができるものであるが、ハイパバイザが信頼できるシステムであることが前提となる。ところが、上述のとおり、一般的なネットワーク上において、全ての仮想計算機システムにおけるハイパバイザが信頼できるとは限らないため、ゲストＯＳ利用者にとって、セキュア環境を維持することは困難である。

　そこで、本発明の目的は、ハイパバイザが信頼できないシステムにおいても、演算処理装置、演算処理システム、演算処理方法、又は演算処理プログラムをセキュアに演算処理できる環境を提供することにある。

　本発明の上記目的は、以下の構成によって達成できる。すなわち、本発明の第１の態様の演算処理装置は、外部からセキュアプログラムを取得可能な演算処理装置であって、ＣＰＵ、入出力装置及び記憶装置を少なくとも含むハードウェアと、前記ハードウェアを管理するハイパバイザと、前記ハイパバイザにより仮想的な演算処理環境を提供された１つ以上の仮想演算処理装置と、を少なくとも備え、前記仮想演算処理装置が、ゲストＯＳと、メモリと、を少なくとも有し、前記ハードウェアが前記仮想演算処理装置のみから利用できる形で、外部から仮想演算処理装置毎に前記メモリにブートローダを転送し、前記ブートローダが、前記仮想演算処理装置において、前記セキュアプログラムを起動することを特徴とする。

　本発明の第２の態様の演算処理装置は、第１の態様の演算処理装置において、前記ブートローダが、前記ゲストＯＳ、前記セキュアプログラム、又はセキュアハイパバイザの少なくともいずれか１つを取得することを特徴とする。

　本発明の第３の態様の演算処理装置は、第２の態様の演算処理装置において、前記ゲストＯＳが、前記ブートローダによって取得され、起動されたものであることを特徴とする。

　本発明の第４の態様の演算処理装置は、第３の態様の演算処理装置において、前記ゲストＯＳが、前記セキュアプログラムを取得することを特徴とする。

　本発明の第５の態様の演算処理装置は、第４の態様の演算処理装置において、前記ゲストＯＳが、前記セキュアプログラムとしてセキュアハイパバイザを取得することを特徴とする。

　本発明の第６の態様の演算処理システムは、第１態様の演算処理装置において、前記ブートローダの転送と共に、前記ゲストＯＳ、前記セキュアプログラム、又は前記セキュアハイパバイザの少なくともいずれか１つを転送することを特徴とする。

　本発明の第７の態様の演算処理システムは、第５又は第６の態様の演算処理装置において、前記仮想演算処理装置が前記セキュアハイパバイザにより管理され、前記セキュアハイパバイザが、外部の情報提供装置から取得した提供情報に添付された付加情報によって規定された使用条件の範囲内で演算処理が行われるように管理することを特徴とする。

　本発明の第８の態様の演算処理システムは、第１の態様の演算処理装置において、前記セキュアプログラムは、セキュアハイパバイザ、ＯＳ、ゲーム、データサイエンスの処理基盤、ＡＩ、及び、リバースエンジニアリングを防ぎたいような知的財産的価値が含まれるプログラムのいずれか少なくとも１つを含むプログラムであることを特徴とする。

　本発明の第９の態様の演算処理システムは、第１の態様の演算処理装置と、前記演算処理装置を管理する管理サーバと、を少なくとも備えた演算処理システムであって、前記管理サーバが前記仮想演算処理装置に提供する前記セキュアプログラムを管理するセキュアプログラム管理部を少なくとも有することを特徴とする。

　本発明の第１０の態様の演算処理方法は、外部からセキュアプログラムを取得可能な演算処理装置による演算処理方法であって、前記演算処理装置は、ＣＰＵ、入出力装置及び記憶装置を少なくとも含むハードウェアと、前記ハードウェアを管理するハイパバイザと、前記ハイパバイザにより仮想的な演算処理環境を提供された１つ以上の仮想演算処理装置と、を少なくとも備え、前記仮想演算処理装置が、ゲストＯＳと、メモリと、を少なくとも有し、前記ハードウェアが前記仮想演算処理装置のみから利用できる形で、外部から仮想演算処理装置毎に前記メモリにブートローダを転送するステップと、前記ブートローダが、前記仮想演算処理装置において、前記セキュアプログラムを起動するステップと、を含むことを特徴とする。

　本発明の第１１の態様の演算処理方法は、第１０の態様の演算処理方法において、前記セキュアプログラムは、セキュアハイパバイザ、ＯＳ、ゲーム、データサイエンスの処理基盤、ＡＩ、及び、リバースエンジニアリングを防ぎたいような知的財産的価値が含まれるプログラムのいずれか少なくとも１つを含むプログラムであることを特徴とする。

　本発明の第１２の態様の演算処理プログラムは、第１０又は第１１態様の演算処理方法の各ステップをコンピュータにより実行することを特徴とする。

　本発明の実施形態によれば、ハイパバイザが信頼できないシステムにおいても、セキュアな演算処理環境を提供することができる。

情報提供システムの全体ブロック図である。情報提供システムの動作説明図である。仮想演算処理装置の動作説明図である。演算処理装置のブロック図である。セキュアプログラムをダウンロードするフロー図である。

　以下、図面を参照して本発明の実施形態に係る演算処理装置、演算処理システム、演算処理方法、及び演算処理プログラムを説明する。但し、以下に示す実施形態は本発明の技術思想を具体化するための演算処理装置、演算処理システム、演算処理方法、及び演算処理プログラムを例示するものであって、本発明をこれらに特定するものではなく、特許請求の範囲に含まれるその他の実施形態のものにも等しく適用し得るものである。

［第１実施形態］
　本発明の第１実施形態に係る演算処理装置、演算処理システム、演算処理方法、及び演算処理プログラムについて、図１～図５を参照して説明する。まず、図１～図３を用いて、演算処理システムの一例として、セキュアハイパバイザ２４の下で演算処理を行う仮想演算処理装置５０を挙げて説明する。なお、本実施形態では、セキュアプログラム５４として、セキュアハイパバイザ２４を例に挙げて説明するが、本発明はこれに限定されるものではなく、第２実施形態で説明するように、セキュアプログラム５４としては、例えばＯＳ自体、ゲーム等、さまざまなプログラムが含まれる。

　図１は、演算処理システムの全体ブロック図である。演算処理システムは、情報提供装置１０、演算処理装置２０及び管理サーバ３０を備えており、情報提供装置１０、演算処理装置２０及び管理サーバ３０はそれぞれ情報ネットワーク４０により相互に接続されている。情報提供装置１０及び演算処理装置２０は1個以上設けられている。

　図２は、演算処理システムの動作説明図である。情報提供装置１０は、検証データ作成部１１及びデータベース１２を備えている。検証データ作成部１１とデータベース１２とは相互に接続され、検証データ作成部１１を介してデータベース１２の情報は、演算処理装置２０に提供可能とされている。

　検証データ作成部１１は演算処理装置２０のデータ要求部２２からのデータ要求情報に応じて、管理サーバ３０のセキュアプログラム管理部３１から提供された情報提供装置用プログラムに基づくＣＰＵ（図示省略）による演算により、後述のように検証用データ、及び、演算処理検証に用いられる検証用演算結果データを出力する。また、検証データ作成部１１は、同様に、例えば予め入出力手段（図示省略）等により設定され、あるいは、データベース１２に保管されたデータ利用制限情報に基づき、情報提供装置用プログラムに従ったＣＰＵによる演算により、演算処理装置２０に対する権限リストのデータを作成する。さらに、検証データ作成部１１は、情報提供装置用プログラムに従って、データベース１２にアクセスして要求データ、すなわち、実際に演算処理装置２０の演算に用いられるデータを取得する。そして、検証データ作成部１１は、これらのデータを提供情報として、演算処理装置２０のプログラム検証部２３に送信する。

　演算処理装置２０は、後述のとおり、１つ以上の仮想演算処理装置５０を備えている。仮想演算処理装置５０は、演算処理プログラム実行部２１、データ要求部２２、プログラム検証部２３を有している。演算処理プログラム実行部２１、データ要求部２２、プログラム検証部２３はいずれもセキュアハイパバイザ２４により管理されている。ここで、セキュアハイパバイザ２４とは、ＯＳ（ここでは仮想演算処理装置５０のゲストＯＳ５１）が管理している資源を排他的に、例えば閲覧をはじめとする他者の利用をそのままでは許さないように管理するプログラム、別の表現では、ＯＳを統制が取れた環境の下で管理するプログラムを意味する。なお、排他的とは、例えば他者に漏洩、改ざんされないような管理を意図している（以下同様）。本実施形態では、後述のセキュアプログラム５４の一例として、セキュアハイパバイザ２４を採用した場合を挙げて説明する。ここで、セキュアプログラム５４とは、セキュアな仮想環境の下において実行されるプログラムである。
　例えばセキュアプログラム管理部３１から提供された演算処理装置用プログラムに基づき、ＯＳが管理している資源を排他的に管理することができる。例えば、後述の図４のような仮想演算処理システムの場合、演算処理装置２０のハードウェア６１を管理するハイパバイザ６０が信頼できないようなシステムにおいても、セキュアハイパバイザ２４を、各仮想演算処理装置５０にインストールしておくことで、管理サーバ３０により統制が取れた環境を維持し、セキュアな仮想演算処理装置５０を提供することができる。

　演算処理プログラム実行部２１からデータ要求部２２に対して、演算処理プログラムが要求するデータを情報提供装置１０に対して要求し、この要求に応じて情報提供装置１０からプログラム検証部２３へ要求データを含む提供情報が送信される。プログラム検証部２３においては、演算処理プログラムが検証され、適正であった場合には、演算処理プログラム実行部２１に要求データが提供される。

　データ要求部２２及びプログラム検証部２３はいずれも、演算処理装置用プログラムに従ってセキュアハイパバイザ２４により管理されており、セキュアなＯＳ環境の中で、データ要求部２２によるデータ要求情報の演算処理や、プログラム検証部２３によるプログラム検証及び演算処理プログラムへの要求データの提供処理等の各種演算処理が仮想演算処理装置５０により実行される。同様に、演算処理プログラム実行部２１における処理も同様に、セキュアなＯＳ（ゲストＯＳ５１）環境の整った仮想演算処理装置５０により実行される。

　情報提供装置１０及び仮想演算処理装置５０は、管理サーバ３０に接続されており、情報提供装置１０の検証データ作成部１１及び仮想演算処理装置５０のセキュアハイパバイザ２４のプログラムは、管理サーバ３０のセキュアプログラム管理部３１から提供され、これらのプログラムはセキュアプログラム管理部３１により管理されている。これにより、演算処理システムは、情報提供プラットフォーム上で統制がとれた環境の中で情報の提供及び情報の利用が行われる。情報提供装置１０と演算処理装置２０との通信を行う際のデータの暗号化、復号及び電子署名のアルゴリズムも、このセキュアプログラム管理部３１により管理されている。

　仮想演算処理装置５０に対して、情報提供装置１０から要求データが提供される手順について説明する。

（１）演算処理プログラム実行部２１からの要求に応じて、データ要求部２２において、演算処理プログラムが必要とする要求データを各情報提供装置１０に対して要求するためのデータ要求情報を作成する。

（２）データ要求部２２から情報提供装置１０の検証データ作成部１１に対して、データ要求情報が送信される。

（３）検証データ作成部１１において、対象とする演算処理プログラムを検証するための検証データを作成する。

（４）検証データ作成部１１から演算処理装置２０のプログラム検証部２３へ、データベース１２に保管されている要求データ及び演算処理プログラムに許容される演算処理の範囲や使用制限の条件を規定した付加情報が含まれる提供情報が送信される。

（５）プログラム検証部２３において、対象とする演算処理プログラムが認証された場合には、演算処理プログラム実行部２１に要求データが提供され、演算処理プログラムによる演算処理が実行される。

　上記（１）のデータ要求情報の作成について詳しく説明する。演算処理プログラム実行部２１で実行される処理対象の演算処理プログラムは、例えば次の演算処理プログラムＰ１のようなRustのプログラムである。演算処理プログラムＰ１は、線形回帰分析の例であり、要求データ（データ群）に対して、最小二乗法（OLS)を用いた線形回帰を行う。

［演算処理プログラムＰ１］

　データ要求情報には、要求データに関する指示である、最小二乗法を用いた線形回帰を行うための要求データの情報に加え、処理対象となる演算プログラムとしての演算処理プログラムＰ１の情報、例えばソースプログラムの情報が含まれる。なお、演算処理プログラムの情報としては、ソースプログラムだけに限られるものではなく、入力に対する出力の関係を特定できる情報、例えば、処理内容が事前に検証され、確認されている専用ハードウェアを直接に接続する、そのようなハードウェアを直列したものに接続する等、演算処理プログラムの処理内容が把握できるものであればどのような情報であってもかまわない。

　上記（２）においては、データ要求部２２から情報提供装置１０の検証データ作成部１１に対して、データ要求情報が送信される。データ要求情報はセキュアプログラム管理部３１で管理されるプロトコルに従って暗号化されることが望ましい。

　上記（３）の検証データ作成部１１における検証データ作成について詳しく説明する。検証データ作成部１１では、データ要求情報が暗号化されている場合には、セキュアプログラム管理部３１で管理されるプロトコルに従って復号される。次に、検証データ作成部１１では、演算処理装置２０において処理対象の演算処理プログラムに許容する演算処理の範囲を規定するための情報を生成する。

　検証データ作成部１１では、データ要求情報に付与された演算処理プログラムの処理内容を解析し、演算処理プログラムが適正であるかどうかを検証するために必要な情報を生成し、提供情報に付加する。このため検証データ作成部１１からプログラム検証部２３に送信される提供情報には、次の情報が含まれている。
（ａ）演算処理装置２０において演算処理プログラムに許容される演算処理の範囲や使用制限の条件を規定した権限情報、例えば権限リスト
（ｂ）検証用データ
（ｃ）演算処理検証に用いられる検証用演算結果データ
（ｄ）要求データ（実際の演算に用いられるデータ）

　上記（４）では、検証データ作成部１１から演算処理装置２０のプログラム検証部２３へ要求データ及び演算処理プログラムに許容される演算処理の範囲を規定した付加情報が含まれる提供情報が送信される。提供情報の中、少なくとも上記（ｂ）（ｃ）及び（ｄ）はセキュアプログラム管理部３１で管理されるプロトコルに従って暗号化されることが望ましい。上記（ａ）も併せて暗号化を行ってもよい。さらに、提供情報に電子署名を付加することにより、より確実に改ざんを防ぐことができる。

　上記（５）のプログラム検証部２３の処理について詳細に説明する。プログラム検証部２３においては、提供情報に含まれている上記（ｂ）及び（ｃ）を用いて、上記（ｂ）の検証用データを用いてデータ処理対象の処理プログラムを実行した場合の結果が、上記（ｃ）の演算処理検証に用いられる検証用演算結果データと一致するかどうかを検証する。

　さらに、上記（ｂ）の検証用データを用いてデータ処理対象の処理プログラムを実行した場合に、処理プログラムが上記（ａ）の権限情報で許される範囲を超えた処理をしていないかどうかが判定される。

　例えば、権限情報としての権限リストに、データ保存に関し、演算結果の保存が許可されているが、要求データ自体の保存は許可されていない場合には、演算処理装置２０が、演算結果を保存することは許可されるが、要求データ自体を別途保存しておくことは許可されない。このため、上記（ｂ）の検証用データを用いてデータ処理対象の処理プログラムを実行した場合に、データ保存が権限リストの範囲にあるかどうかが検証される。

　仮想演算処理装置５０のセキュアハイパバイザ２４は、セキュアプログラム管理部３１により提供されたプログラムにより、常に統制された環境で動作されている。このため、仮想演算処理装置５０のプログラム検証部２３及び演算処理プログラム実行部２１において実行される演算処理プログラムの演算処理はセキュアハイパバイザ２４により常に監視することが可能であり、データの保存、転送、削除等の処理内容は常に把握されている。このために、本実施例の演算処理システムにおいては、上記（ｂ）の検証用データを用いてデータ処理対象の処理プログラムを実行した場合に、データ保存が権限リストの範囲にあるかどうかを適切に検証することが可能である。

　上記（ｂ）の検証用データを用いてプログラム検証部２３にて処理対象の演算処理プログラムを実行した場合の結果が、上記（ｃ）の演算処理検証に用いられる検証用演算結果データと一致し、かつ、上記（ｂ）の検証用データを用いてデータ処理対象の処理プログラムを実行した場合に、処理プログラムが上記（ａ）の権限情報で許される範囲を越えた処理をしていないと判定された場合に、処理対象の演算処理プログラムは適正であると判断され、すなわち、適正な演算処理プログラムとして認証される。

　演算処理プログラムが適正なプログラムとして認証されると、上記（ｄ）の要求データが演算処理プログラムに提供され、演算処理プログラム実行部２１において、演算処理プログラムは要求データを用いて実際の演算を行う。

　図３は、仮想演算処理装置５０の動作説明図である。データ要求部２２、プログラム検証部２３、演算処理プログラム実行部２１、メモリ２５及びそれ以外の入出力装置（図示省略）等は、全てセキュアハイパバイザ２４により管理された環境の中で処理されている。これによりセキュアハイパバイザ２４によりゲストＯＳ５１の全ての動作を管理できる状態、すなわち、ゲストＯＳ５１のセキュアな実行環境を実現することができる。なお、図３の仮想演算処理装置５０の動作説明図は、本実施形態の一例であり、他の様々な構成によって、ＯＳのセキュア化を実現することもできる。

　演算処理プログラム実行部２１において関数２８は、全てのデータ２９を、ライブラリ２７を介して送受している。メモリ２５内には、ライブラリ２７だけがアクセス可能なライブラリ専用領域が仮想的に設けられており、例えば、プログラム検証部２３を介して入手された要求データはメモリ２５内のライブラリ専用領域に格納される。また、例えば図３において、データ２９はメモリ２５内のライブラリ専用領域に記憶されているものである。関数２８は、メモリ２５内のライブラリ専用領域に格納された要求データにアクセスできる。そして、関数２８は、メモリ２５のデータ２９を、ライブラリ２７を経由して受け取る。関数２８は受け取ったデータ２９を用いて、演算処理装置２０のＣＰＵにより関数２８に従って演算を行う。関数２８の演算の終了後、演算処理プログラムによる最終的な演算結果リストだけがユーザに提供され、メモリ２５内のデータ２９の領域にある演算途中に用いられたデータ２９は完全に削除される。データ２９を完全に削除する方法としては、特に限定されるものではないが、例えばデータを全て「０」で埋めること等の適宜の方法を採用可能である。また、関数２８は、演算結果のリストのみをユーザに提供する。

　このように、関数２８は、セキュアハイパバイザ２４の完全な管理のもと、ライブラリ２７を介して全てのデータ２９の送受を行っているため、演算処理装置２０内におけるメモリ２５内のライブラリ専用領域以外の領域に要求データや演算途中のデータ２９を残すことがなく、要求データはライブラリ２７内にのみセキュアハイパバイザ２４が管理可能な状態で格納されている。したがって、セキュアハイパバイザ２４は、情報提供装置１０から受信した権限リストに規定された権限の範囲内で要求データを使用し、ライブラリ２７内で要求データを確実に管理することができる。また、上述のとおり、メモリ２５内のライブラリ専用領域のデータ２９は完全に削除することが可能である。

　ここでは、ＯＳ（ゲストＯＳ５１）をセキュア化する例を説明したが、演算処理プログラム実行部２１の演算で用いられるアプリケーションを仮想化することにより、演算処理装置２０の動作をセキュアハイパバイザ２４により管理することも可能である。この場合には、アプリケーションによる演算が開始された後、アプリケーションにより要求データが呼び出される前に、セキュアハイパバイザ２４が全ての動作を管理する仮想的な環境（以下「セキュア環境」という。）内でアプリケーションを動作させる。次に、アプリケーションから演算結果を出力されると、セキュアハイパバイザ２４は、ユーザに対して演算結果のリストだけを提供すると共に、要求データ及び演算途中のデータ２９を削除した後に、アプリケーションはセキュア環境から演算処理装置２０の通常演算環境での動作に戻される。したがって、アプリケーション仮想化の場合にも、セキュアハイパバイザ２４は、アプリケーションをセキュア環境において管理するため、情報提供装置１０から受信した権限リストに規定された権限の範囲内であることを監視する。すわなち、権限リストの規定に応じて、コンソールへの出力を制限すること、ファイルに書き込むこと、ネットワーク通信を行うこと等を禁止する。また、例えば認証されたＧＰＵを用いることにより、セキュアハイパバイザ２４の管理のもとでユーザに対して演算結果のみを提示することができる。

　ここでは、１つのプログラム毎に認証する例を示したが、本実施例はこれに限定されるものではなく、例えば、複数のプログラムを予め認証しておき、認証済みの複数のプログラムを組み合わせて演算を行うことも可能である。

　図４は、演算処理装置２０のブロック図である。演算処理装置２０は、１つ以上の仮想演算処理装置５０、ハイパバイザ６０、及びハードウェア６１を備えている。ハイパバイザ６０は演算処理装置２０のハードウェア６１を管理し、仮想演算処理装置５０に対し仮想的な物理環境としての演算処理環境を提供する。ハードウェア６１はＣＰＵ、入出力装置及び記憶装置を少なくとも含む演算処理装置２０のハードウェア資源である。また、演算処理装置２０は、ホストＯＳ６２及び管理者ユーザインターフェイス６３を備えている。なお、演算処理装置２０は、仮想演算処理装置５０用のユーザインターフェイス等も備えているが、図示省略されている。

　仮想演算処理装置５０は、ゲストＯＳ５１、メモリ５２及びセキュアハイパバイザ２４を備えている。また、メモリ５２には、ブートローダ５３及びセキュアプログラム５４が格納されている。ブートローダ５３は、セキュアプログラム５４を取得するためのものであり、セキュアプログラム管理部３１から、ハイパバイザ６０に監視されることなく、すなわち、ハイパバイザ６０に情報の内容を読まれることなく（以下同様）、ハードウェア６１の機能を利用してメモリ５２に転送される。なお、ブートローダ５３は各ゲストＯＳ５１に対して同一の内容とすることができる。ここで、セキュアプログラム５４とは、セキュアな仮想環境の下において実行されるプログラムである。特に限定されるものではないが、本実施形態では、セキュアプログラム５４として、セキュアハイパバイザ２４を採用した場合を例示して説明する。また、メモリ５２は、ハードウェア６１の機能を利用して暗号化されているため、ハイパバイザ６０やホストＯＳ６２、管理者ユーザインターフェイス６３、他の仮想演算処理装置５０はその内容を読み書きすることはできない。

　ゲストＯＳ５１は第１公開鍵により暗号化されており、ブートローダ５３によってセキュアプログラム管理部３１から取得され、第１秘密鍵を用いて復号されて起動される。なお、第１秘密鍵とは、ゲストＯＳを取得するためにブートローダ５３に組み込まれている秘密鍵である。セキュアプログラム５４は第２公開鍵により暗号化されており、ゲストＯＳ５１によってセキュアプログラム管理部３１から取得され、第２秘密鍵によって、復号される。なお、第２秘密鍵とは、セキュアプログラム５４を取得するために、ゲストＯＳ５１に含まれている秘密鍵である。そして、セキュアハイパバイザ２４はセキュアプログラム５４を立ち上げることにより、有効化される。

　セキュアハイパバイザ２４の管理のもと、ゲストＯＳ５１が管理サーバ３０により管理されている情報提供装置１０から情報を取得し、仮想演算処理装置５０においては、事前に承認された情報利用条件の範囲内で、すなわち要求データ及び演算処理プログラムに許容される演算処理の範囲や使用制限の条件を規定した付加情報の範囲内で、演算処理を実行する。

　ここで、演算処理装置２０のＣＰＵを含むハードウェア６１は信頼できる。ここで、信頼できるとは、例えば改ざんや漏洩を起こさないものとして信頼できることを意味する（以下同様）。ただし、演算処理装置２０のハイパバイザ６０は必ずしも信頼できるとは限らないので、本実施形態では、ハイパバイザ６０が信頼できない環境であっても、安全に、セキュアにセキュアハイパバイザ２４を各仮想演算処理装置５０にインストールする手段を提供することができる。

　次に、図５を参照して、仮想演算処理装置５０において、セキュアハイパバイザ２４が有効化されるまでの手順を説明する。図５は、セキュアプログラム５４をダウンロードするフロー図である。仮想演算処理装置５０のセキュアハイパバイザ２４は、セキュアプログラム管理部３１から取得されて有効化されるが、ハイパバイザ６０が信頼できない環境においては、ハイパバイザ６０に読み取られない暗号通信を用いて各ゲストＯＳ５１に対応する仮想演算処理装置５０にインストールする必要がある。

（手順１）管理サーバ３０との手続（Ｓ１）
　管理サーバ３０のセキュアプログラム管理部３１により管理されたセキュア環境において、情報提供装置１０から提供された提供情報が悪用されることがないように管理しながら、演算処理装置２０において提供情報を利用した演算処理を実行して、その演算結果を活用することができるようにする。このために、演算処理装置２０の管理者は、各仮想演算処理装置５０にブートローダ５３及びセキュアハイパバイザ２４をインストールするために、管理者ユーザインターフェイス６３からの入力により、管理サーバ３０に対してハードウェア６１の情報をセキュアプログラム管理部３１に登録する（Ｓ１）。管理者ユーザインターフェイス６３からの登録要求時の通信を暗号通信とした場合には、セキュアプログラム管理部３１がハードウェア６１が真正なものかどうかを判別することができる。例えば、仮想演算処理装置５０毎にメモリ５２を暗号化できる機能を持つＣＰＵ、具体的にはＡＭＤのＳＥＶでは、ハードウェア６１（ＣＰＵ）の公開鍵を登録する。ハードウェア６１を登録するための情報は、管理者ユーザインターフェイス６３から、ハイパバイザ６０、ハードウェア６１を介して、セキュアプログラム管理部３１に送信される。

（手順２）ブートローダ５３の転送（Ｓ２－Ｓ３）
　Ｓ２では、演算処理装置２０の管理者は、管理者ユーザインターフェイス６３から、セキュアプログラム管理部３１に対して、ハイパバイザ６０、ハードウェア６１を介して、ブートローダ５３の転送要求を行う。具体的には、ハイパバイザ６０がハードウェア６１の公開鍵を用いて、ハードウェア６１を介し、セキュアプログラム管理部３１に対して、ブートローダ５３の転送要求を行う。

　Ｓ３では、セキュアプログラム管理部３１は、ハードウェア６１、ハイパバイザ６０を介して、メモリ５２にブートローダ５３を転送する。このとき、ブートローダ５３の転送要求の内容についてはハイパバイザ６０からは読めない形で、ブートローダ５３の転送処理が行われる。この際に、ブートローダ５３の転送情報は、仮想演算処理装置５０のみから利用できる形で、例えば、実行しているハードウェア６１のみが読める形で暗号化されているので、第１秘密鍵を含むプログラムの内容はハイパバイザ６０では読むことができない。このため、ハイパバイザ６０で監視されることなく、セキュアプログラム管理部３１から、ハードウェア６１の機能を利用してブートローダ５３をメモリ５２に転送することができる。また、ここではメモリ５２に転送することを説明したが、本実施形態はこれに限定されるものではなく、例えばハードディスク等に保存しておいても良い。ハードディスク等に保存しておく場合には、仮想演算処理装置５０を起動する度にブートローダ５３の転送を繰り返す必要がなくなる。

（手順３）メモリ５２の暗号化（Ｓ４－Ｓ５）
　Ｓ４では、管理者ユーザインターフェイス６３から、ハイパバイザ６０を介して、ハードウェア６１に仮想演算処理装置５０の起動要求を行う。

　Ｓ５では、ハイパバイザ６０からの指令により、ハードウェア６１がメモリ５２の暗号化を行う。ハイパバイザ６０はメモリ５２を仮想演算処理装置５０毎に暗号化されるようにハードウェア６１に指示する。すると、ハードウェア６１はメモリ５２を仮想演算処理装置５０毎に暗号化する。例えば、ＡＭＤのＳＥＶでは、仮想演算処理装置５０毎に自動的に異なる暗号鍵を用いてメモリ５２が暗号化される。このとき、ハイパバイザ６０はメモリ５２を暗号化する指令について、暗号化に用いられる暗号鍵を読むことができない。なお、ここではＳ２からＳ５までのフローを説明したが、本実施形態はこのフローに限定されるものではなく、例えばＳ２におけるブートローダ５３の転送要求及びＳ３におけるブートローダ５３の転送については、Ｓ５におけるメモリ５２の暗号化の後に行ってもよいし、すでにハードディスク等にブートローダ５３が格納されている場合には、仮想演算処理装置５０の起動のたびにブートローダ５３を再度読み込む必要はない。

（手順４）ブートローダ５３の各メモリ５２への展開（Ｓ６）
　Ｓ４において、管理者ユーザインターフェイス６３から、ハイパバイザ６０を介して、ハードウェア６１に仮想演算処理装置５０の起動要求が行われると、Ｓ５の後に、Ｓ６では、ハードウェア６１は、ブートローダ５３をメモリ５２毎に展開する。このとき、ハイパバイザ６０は、メモリ５２毎に展開される第１秘密鍵を含むブートローダ５３のプログラムを読むことはできない。

　Ｓ３では、ブートローダ５３は、ハードウェア６１の機能を利用してメモリ５２に転送されると共に、Ｓ６では、ブートローダ５３は、ハードウェア６１の機能を利用して各メモリ５２に展開される。この際に、仮想演算処理装置５０の起動要求により転送される情報は仮想演算処理装置５０のみから利用できる形で、例えば、実行しているハードウェア６１のみが読むことができる形で暗号化されているので、第１秘密鍵が含まれるプログラムの内容はハイパバイザ６０では読むことができない。このため、ハイパバイザ６０で監視されることなく、セキュアプログラム管理部３１から、ハードウェア６１の機能を利用してブートローダ５３をメモリ５２に転送し、各メモリ５２に展開することができる。例えば、このブートローダ５３の各メモリ５２への転送及び展開には、ハードウェア６１のＣＰＵが有している、ある仮想演算処理装置５０の実行状態を保存し、別の仮想演算処理装置５０の下で実行できるようにするマイグレーション（Migration）機能を利用することができる。このMigration機能を用いれば、メモリ５２が暗号化されている仮想演算処理装置５０の場合でも、別の仮想演算処理装置５０のメモリ５２にその内容を展開することができる。

　例えば、ＣＰＵがＡＭＤ社のＳＥＶである場合には、Migration機能をサポートしており、演算処理装置２０の管理者は、ハイパバイザ６０に監視されることなく、ＳＥＶの機能として、ブートローダ５３をメモリ５２に転送すると共に、仮想演算処理装置５０毎に各メモリ５２にブートローダ５３を展開することができる。ＳＥＶのMigration機能においては、ブートローダ５３は、転送時にはハードウェア６１毎に暗号化されており、また、ブートローダ５３の仮想演算処理装置５０毎に暗号化されたメモリイメージをつくることができ、演算処理装置２０内の全ての仮想演算処理装置５０に対して、同一のメモリ５２の内容を仮想演算処理装置５０毎に暗号化された形で展開することができる。

　また、Ｓ６において、ハードウェア６１はメモリ５２に展開されたブートローダ５３を仮想演算処理装置５０毎に立ち上げる。

（手順４）ゲストＯＳ５１の立上げ（Ｓ７－Ｓ８）
　Ｓ７では、ブートローダ５３が、セキュアプログラム管理部３１に対して、ゲストＯＳ５１立上げ要求を送信する。ゲストＯＳ５１立上げ要求は、ブートローダ５３からハードウェア６１を介して、セキュアプログラム管理部３１に送信される。Ｓ８では、このゲストＯＳ５１立上げ要求を受け取ると、セキュアプログラム管理部３１はメモリ５２へゲストＯＳ５１を転送する。ゲストＯＳ５１は、セキュアプログラム管理部３１から、ハードウェア６１を介して、メモリ５２に送信される。このとき、ブートローダ５３は第１秘密鍵を用いて、仮想演算処理装置５０毎にゲストＯＳ５１を立ち上げる。すなわち、セキュアプログラム管理部３１がメモリ５２にゲストＯＳ５１を転送する際の暗号通信は、第１公開鍵によって暗号化されており、第１秘密鍵がないと復号できないため、ハイパパイザから監視されることはない。この暗号通信には、例えば、TLS1.3を用いることができる。

（手順５）セキュアプログラム５４の取得（Ｓ９－Ｓ１０）
　ゲストＯＳ５１は第２秘密鍵を用いた暗号通信によりセキュアプログラム管理部３１からセキュアプログラム５４を取得し、メモリ５２に格納する。Ｓ９にて、ゲストＯＳ５１は、セキュアプログラム５４の取得要求を、ハードウェア６１を介して、セキュアプログラム管理部３１に送信する。セキュアプログラム５４の取得要求を受け取ると、セキュアプログラム管理部３１は、Ｓ１０にて、セキュアプログラム５４をハードウェア６１を介して、メモリ５２に送信する。このセキュアプログラム５４を転送する際の暗号通信は、第２公開鍵によって暗号化されており、また、暗号化されたメモリ５２にセキュアプログラム５４が格納されるため、仮想演算処理装置５０はハイパバイザ６０により監視されることなく、セキュアプログラム５４を取得することができる。この暗号通信には、例えば、TLS1.3を用いることができる。

（手順６）セキュアハイパバイザ２４の起動（Ｓ１１－Ｓ１２）
　Ｓ１１にて、ゲストＯＳ５１は、手順５で取得されてメモリ５２に保存されているセキュアプログラム５４を起動し、Ｓ１２ではセキュアハイパバイザ２４が実行され、これにより、仮想演算処理装置５０において、セキュアハイパバイザ２４が有効化される。図４は、セキュアハイパバイザ２４が有効となっている場合のブロック図である。ゲストＯＳ５１は、セキュアハイパバイザ２４による管理のもと、秘密鍵を用いた暗号通信により、管理サーバ３０により管理されている情報提供装置１０から提供情報を取得し、付加情報によって規定された使用条件の範囲内で演算処理を行う。なお、図４には省略されているが、仮想演算処理装置５０には、図２で説明したように、演算処理プログラム実行部２１、データ要求部２２及びプログラム検証部２３が設けられており、セキュアハイパバイザ２４により管理された状態で、提供情報の取得及び演算処理が行われる。

　以上の手順によって、仮想演算処理装置５０にセキュアハイパバイザ２４がインストールされる。ハードウェア６１のＣＰＵの持つMigration機能や暗号化機能を用いて、信頼性のないハイパバイザ６０を備える演算処理装置２０であっても、各仮想演算処理装置５０においてセキュアハイパバイザ２４によるセキュアな環境を構築することができる。暗号化には公開鍵暗号方式が用いられているため、パスワード管理などの煩わしさを解消することができる。公開鍵および秘密鍵は、セキュアプログラム管理部３１において自由に設定可能である。

　暗合通信には例えばTLS1.3通信を用いることができる。二方向の認証ができる通信である。管理サーバ３０側が秘密鍵を持つ場合には、公開鍵が広く公開されている中で、管理サーバ３０自身が真正な管理サーバであることを保証する。一方、ゲストＯＳ５１側が秘密鍵を持つ場合には、ゲストＯＳ５１自身が真正なＯＳであることを保証する。このため、公開鍵暗号方式を使わない場合と比べて、ワンタイムパスワードの配信等、パスワード管理を省略することができる。

　また、本実施形態においては、第１秘密鍵の暗号の壁の中で、さらに第２秘密鍵を保持しているため、信頼性が高い仮想演算処理装置５０を提供できる。すなわち、ブートローダ５３がゲストＯＳ５１を立ち上げる際に、セキュアプログラム管理部３１からメモリ５２に転送されるゲストＯＳ５１は第２秘密鍵を含んだ形で、第１公開鍵により暗号化されていて、第１秘密鍵がないと復号できない。そして、ゲストＯＳ５１がセキュアプログラム５４をダウンロードする際に、第２公開鍵により暗号化された通信が利用され、第２秘密鍵がなければ復号できない。ブートローダ５３を転送する時点で第１秘密鍵が仮想演算処理装置５０に配信されており、この第１秘密鍵は暗号化されたメモリ５２の中で保護される。

　上記手順２において、Ｓ２及びＳ３では、セキュアプログラム管理部３１がメモリ５２にブートローダ５３を転送するものとして説明したが、本実施形態はこの手順に限定されるものではなく、例えば、ブートローダ５３を転送と共に、ゲストＯＳ５１、セキュアプログラム５４、又はセキュアハイパバイザ２４の少なくともいずれか１つを転送するようにしてもよい。そして、このようなプログラムの転送の際にも同様に、ハイパバイザ６０に監視されることがないため、ハイパバイザ６０が信頼できない環境であっても、各仮想演算処理装置５０に安全に各プログラム（ブートローダ５３、ゲストＯＳ５１、セキュアプログラム５４、及びセキュアハイパバイザ２４等）をメモリ５２に転送することが可能である。また、ブートリーダ５３の転送と共に他のプログラムを同時に転送した場合には、その後の手順は必ずしも上記手順３～６に限定されるものではなく、プログラムの転送の際にハイパバイザ６０に監視されることがない限りにおいては、任意の手順とすることができる。

［第２実施形態］
　本発明の第２実施形態に係る演算処理装置、演算処理システム、演算処理方法、及び演算処理プログラムについて説明する。第１実施形態では、セキュアプログラム５４がセキュアハイパバイザ２４である例を説明したが、本実施形態では、セキュアプログラム５４がセキュアハイパバイザ２４以外の例について説明する。本実施形態のように、仮想環境のもとでは、セキュアプログラム５４として、ＯＳ自体、ゲーム、データサイエンスの処理基盤、ＡＩ、リバースエンジニアリングを防ぎたいような知的財産的価値が含まれるプログラム等、他にも様々なプログラムを利用することができる。例えば、データサイエンスの処理基盤としては、データ収集、データ蓄積、データ加工、及びデータ分析等が含まれる。ＡＩの例としては、機械学習等が挙げられる。また、リバースエンジニアリングを防ぎたいような知的財産的価値が含まれるプログラムとは、プログラムに使用されているアルゴリズムに発明が含まれているもの、プログラムで使用するデータ構造に発明や著作権が含まれているもの、プログラムで使用するデータに営業秘密ないし不正競争法で保護される情報が含まれているもの、機械学習の学習済みモデルや学習データが含まれているもの等であり、プログラム自体又は当該プログラムが使用するデータに、発明、著作権、営業秘密、不正競争防止法で保護される情報等が含まれているプログラムを意味する。いずれのセキュアプログラム５４をメモリ５２に転送する際にも、第１実施形態と同様に、ハイパバイザ６０に監視されることがない。そのため、ハイパバイザ６０が信頼できない環境であっても、各仮想演算処理装置５０に安全にセキュアプログラム５４をメモリ５２に転送することが可能である。

　セキュアプログラム５４がＯＳ自体である場合には、第１実施形態におけるＳ１～Ｓ８と同様の手順で、ＯＳを立ち上げることが可能である。また、セキュアプログラム５４がゲーム、データサイエンスの処理基盤、ＡＩ、リバースエンジニアリングを防ぎたいような知的財産的価値が含まれるプログラム等である場合には、第１実施形態におけるＳ１～Ｓ１０と同様の手順で、メモリ５２にセキュアプログラム５４の転送を行うことができる。

　また、第１実施形態においては、手順４において、Ｓ７では、ブートローダ５３が、セキュアプログラム管理部３１に対して、ゲストＯＳ５１立上げ要求を送信し、まずゲストＯＳ５１が、セキュアプログラム管理部３１から、ハードウェア６１を介して、メモリ５２に送信されるものとして説明したが、本実施形態はこの手順に限定されるものではなく、ブートローダ５３は、ゲストＯＳ５１、セキュアプログラム５４、又はセキュアハイパバイザ２４の少なくともいずれか１つを取得するものであればよい。このため、例えばブートローダ５３が、ゲストＯＳ５１の転送と同時に、あるいは、ゲストＯＳ５１の転送に替えて、セキュアプログラム５４、又はセキュアハイパバイザ２４の転送を行うようにするようにしてもよい。すなわち、第１実施形態ではゲストＯＳ５１の立ち上げ後にセキュアプログラム５４を転送するものとして説明したが、必ずしもゲストＯＳ５１の立ち上げや、その手順が必須であるものではなく、ブートローダ５３は、任意のセキュアプログラム５４の転送を行うことができ、このセキュアプログラム５４の転送の際には、実施形態１と同様にハイパバイザ６０に監視されることがない。そのため、ハイパバイザ６０が信頼できない環境であっても、各仮想演算処理装置５０に安全にセキュアプログラム５４をメモリ５２に転送することが可能である。

　以上、本発明のいくつかの実施形態について説明したが、これらの実施形態における本発明の技術思想を具体化するための演算処理装置、演算処理システム、演算処理方法、及び演算処理プログラムを例示するものであって、本発明をこれらに特定するものではなく、その他の実施形態のものにも等しく適用し得るものであり、また、これらの実施形態の一部を省略、追加、変更することや、各実施形態の態様を組み合わせることが可能である。

１０…情報提供装置
１１…検証データ作成部
１２…データベース
２０…演算処理装置
２１…演算処理プログラム実行部
２２…データ要求部
２３…プログラム検証部
２４…セキュアハイパバイザ
２５…メモリ
２７…ライブラリ
２８…関数
２９…データ
３０…管理サーバ
３１…セキュアプログラム管理部
４０…情報ネットワーク
５０…仮想演算処理装置
５１…ゲストＯＳ
５２…メモリ
５３…ブートローダ
５４…セキュアプログラム
６０…ハイパバイザ
６１…ハードウェア
６２…ホストＯＳ
６３…管理者ユーザインターフェイス

Claims

　外部からセキュアプログラムを取得可能な演算処理装置であって、
　ＣＰＵ、入出力装置及び記憶装置を少なくとも含むハードウェアと、前記ハードウェアを管理するハイパバイザと、前記ハイパバイザにより仮想的な演算処理環境を提供された１つ以上の仮想演算処理装置と、を少なくとも備え、
　前記仮想演算処理装置が、ゲストＯＳと、メモリと、を少なくとも有し、
　前記ハードウェアが前記仮想演算処理装置のみから利用できる形で、外部から仮想演算処理装置毎に前記メモリにブートローダを転送し、
　前記ブートローダが、前記仮想演算処理装置において、前記セキュアプログラムを起動することを特徴とする演算処理装置。
　前記ブートローダが、前記ゲストＯＳ、前記セキュアプログラム、又はセキュアハイパバイザの少なくともいずれか１つを取得することを特徴とする請求項１に記載の演算処理装置。
　前記ゲストＯＳが、前記ブートローダによって取得され、起動されたものであることを特徴とする請求項２に記載の演算処理装置。
　前記ゲストＯＳが、前記セキュアプログラムを取得することを特徴とする請求項３に記転送載の演算処理装置。
　前記ゲストＯＳが、前記セキュアプログラムとしてセキュアハイパバイザを取得することを特徴とする請求項４に記載の演算処理装置。
　前記ブートローダの転送と共に、前記ゲストＯＳ、前記セキュアプログラム、又は前記セキュアハイパバイザの少なくともいずれか１つを転送することを特徴とする請求項１に記載の演算処理装置。
　前記仮想演算処理装置が前記セキュアハイパバイザにより管理され、
　前記セキュアハイパバイザが、外部の情報提供装置から取得した提供情報に添付された付加情報によって規定された使用条件の範囲内で演算処理が行われるように管理することを特徴とする請求項５又は６に記載の演算処理装置。
　前記セキュアプログラムは、セキュアハイパバイザ、ＯＳ、ゲーム、データサイエンスの処理基盤、ＡＩ、及び、リバースエンジニアリングを防ぎたいような知的財産的価値が含まれるプログラムのいずれか少なくとも１つを含むプログラムであることを特徴とする請求項１に記載の演算処理装置。
　請求項１記載の演算処理装置と、前記演算処理装置を管理する管理サーバと、を少なくとも備えた演算処理システムであって、
　前記管理サーバが前記仮想演算処理装置に提供する前記セキュアプログラムを管理するセキュアプログラム管理部を少なくとも有することを特徴とする演算処理システム。
　外部からセキュアプログラムを取得可能な演算処理装置による演算処理方法であって、
　前記演算処理装置は、ＣＰＵ、入出力装置及び記憶装置を少なくとも含むハードウェアと、前記ハードウェアを管理するハイパバイザと、前記ハイパバイザにより仮想的な演算処理環境を提供された１つ以上の仮想演算処理装置と、を少なくとも備え、
　前記仮想演算処理装置が、ゲストＯＳと、メモリと、を少なくとも有し、
　前記ハードウェアが前記仮想演算処理装置のみから利用できる形で、外部から仮想演算処理装置毎に前記メモリにブートローダを転送するステップと、
　前記ブートローダが、前記仮想演算処理装置において、前記セキュアプログラムを起動するステップと、
を含むことを特徴とする演算処理方法。
　前記セキュアプログラムは、セキュアハイパバイザ、ＯＳ、ゲーム、データサイエンスの処理基盤、ＡＩ、及び、リバースエンジニアリングを防ぎたいような知的財産的価値が含まれるプログラムのいずれか少なくとも１つを含むプログラムであることを特徴とする請求項１０に記載の演算処理方法。
　請求項１０又は１１に記載の演算処理方法の各ステップをコンピュータにより実行することを特徴とする演算処理プログラム。