2026年4月7日、Google CloudのConfidential VM(機密仮想マシン)に、C3Dマシンタイプ + AMD SEVの組み合わせでライブマイグレーションが正式サポート(GA)された。機密データをメモリ上で暗号化し続けたまま、仮想マシンをホスト間で停止なしに移行できるようになった。

この記事でわかること:

  • AMD SEVが機密データ保護に使われる仕組み
  • なぜConfidential VMでライブマイグレーションが難しかったか
  • 今回のGA対象となる構成要件
  • AIワークロードへの実際の影響

Confidential VMとAMD SEVとは

Confidential VM(機密VM)は、処理中のデータをメモリ上で暗号化する仮想マシンです。クラウドでは「保存中(at rest)」と「転送中(in transit)」のデータは暗号化されることが多いですが、「使用中(in use)」のデータはメモリ上でプレーンテキストのまま処理されるのが一般的です。Confidential VMはこのギャップを埋め、ハイパーバイザーやクラウド事業者からもデータを保護します。

Google CloudはConfidential VMを3つの技術で提供しています。AMD SEV(Secure Encrypted Virtualization)はAMD Secure Processorによるハードウェアベースのメモリ暗号化で、通常のVMとのパフォーマンス差がほぼゼロという特徴があります。AMD SEV-SNPはSEVを拡張し、ハイパーバイザーベースの攻撃も防ぐより強固な技術です。Intel TDXはIntelのハードウェア拡張によってVMをトラストドメインとして分離します。

今回GAとなったライブマイグレーションはAMD SEVに関するもので、AMD SEV-SNPやIntel TDXは現時点で対象外です。

ライブマイグレーションがConfidential VMで難しかった理由

通常のVMでは、Googleのインフラが定期メンテナンス時にVMを別ホストへ自動移行し、ユーザーはダウンタイムをほぼ意識しません。Confidential VMにはこれが使えませんでした。

移行の際にはメモリの内容をホスト間でコピーする必要があります。通常のVMならそのままコピーできますが、Confidential VMのメモリは暗号化されており、移行先ホストで正しく復号・再暗号化するには、AMD EPYCプロセッサのハードウェアが移行プロセス全体に関与しなければなりません。この仕組みの実装と検証に時間がかかっていました。

AMD SEV-SNPおよびIntel TDXのConfidential VMは現在もライブマイグレーション非対応で、メンテナンスイベントの際はVMが停止(TERMINATE)します。24時間稼働の推論サーバーやデータベースにとって、この制約は無視できない運用コストになっていました。

C3D + AMD SEVのライブマイグレーションの仕組みと要件

Confidential VM release notes  |  Google Cloud Documentation
Google Cloud Documentation

移行中のセキュリティを担保するのはAMD EPYCプロセッサのハードウェア機能です。移行元から移行先へメモリページを転送する際、AMD EPYCのハードウェアがページを継続的に暗号化し続けます。鍵管理はAMD Secure Processorが担い、Googleのクラウドオペレーターからも読み取れない状態で移行が完了します。

今回のGA対象となる構成要件は以下の通りです。

  • マシンタイプ:C3DまたはN2D(N2DはAMD EPYC Milanベース、既存サポート)
  • 機密コンピューティング技術:AMD SEV(SEV-SNPは非対応)
  • ライブマイグレーション対応のOSイメージ
  • メンテナンスポリシー:MIGRATEに設定

C3DはAMD EPYCの第4世代(Genoa)プロセッサを搭載した汎用VMシリーズです。第5世代Turin搭載のC4DよりCPUクロックは低いですが、C4Dに比べて既存ユーザーが多く、今回のGA対応によって恩恵を受けられる範囲が広いと言えます。

設定変更は最小限です。既存のC3D + AMD SEV構成でメンテナンスポリシーを「MIGRATE」に変更するだけで有効になります。新規にConfidential VMを作成する場合も同様に、対応OSイメージを選択してMIGRATEポリシーを指定するだけです。

AIワークロードへの影響

機密コンピューティングを必要とする場面は増えています。医療診断モデルへの患者データ入力、金融リスク計算、個人情報を含むRAGパイプラインなど、機密データをAIモデルに直接渡すケースが典型です。GDPRやHIPAAなどの規制準拠の観点から、使用中の暗号化が求められるケースも出てきています。

これまでConfidential VMを選ぶとメンテナンスのたびにサービスが停止し、可用性を確保するためのフェイルオーバー設計やウォームスタンバイが必要でした。C3D + AMD SEVのライブマイグレーション対応により、通常のVMと同じ可用性を維持しながら使用中データの暗号化を適用できます。

また同じ4月、AMD SEV-SNP Confidential VMに関する脆弱性(GCP-2026-021)が発見されパッチが適用されました。Googleが機密コンピューティングのセキュリティメンテナンスを継続的に行っていることを示しています(GCPセキュリティ情報)。

最新世代C4D(第5世代AMD EPYC Turin搭載、2025年6月GA)もAMD SEVをサポートしており、Web配信や推論など高負荷なConfidential VMワークロードを展開する場合は、C4Dへの移行もあわせて検討する価値があります。C4DはC3D比で一般コンピューティングが30%、Webサービングが最大80%高いスループットを持ちます。

C3D + AMD SEVの組み合わせは現時点でGCPにおけるライブマイグレーション対応の唯一のConfidential VM構成です。機密データを扱うAIサービスを本番で運用するなら、無停止メンテナンスと使用中暗号化を同時に実現できるこの選択肢は具体的に検討できるフェーズに入っています。