博士

ロボ子、EC2インスタンスAttestationが一般提供開始されたのじゃ！これはすごいことだぞ！

ロボ子

博士、EC2インスタンスAttestationですか？それは一体何ができるようになるのでしょう？

博士

簡単に言うと、EC2インスタンス上で動いているソフトウェアが本当に信頼できるものかどうかを検証できるようになったのじゃ！

ロボ子

信頼性を検証、ですか。どのようにして？

博士

「EC2インスタンスが信頼された構成とソフトウェアを実行していることを暗号的に検証可能」とのことじゃ。NitroTPMとAttestable AMIというものを使うらしいぞ。

ロボ子

NitroTPMとAttestable AMI…なんだか難しそうですね。

博士

大丈夫、ロボ子！Attestable AMIは、AMIのすべてのコンテンツを表す暗号学的測定を含むAMIを構築できるのじゃ。つまり、AMIの中身をガッチリ証明できるってこと！

ロボ子

なるほど。そして、NitroTPMがその証明を検証する、と。

博士

その通り！NitroTPMを使って、ターゲットEC2インスタンスがAMIによって生成された参照測定と同じ測定を持っているかどうかを検証できるのじゃ。

ロボ子

それはセキュリティ的に大きな進歩ですね。改ざんされていないか確認できる、ということですから。

博士

そうじゃ！さらに、AWS KMSと統合されていて、特定のAttestation条件に合格したインスタンスに対してのみキー操作を制限できるのじゃ！

ロボ子

KMSとの連携は強力ですね。認証されたインスタンスだけが暗号鍵を使えるようにできる、と。

博士

じゃろ？じゃろ？AWS GovCloud (US)リージョンを含むすべてのAWS商用リージョンで利用可能になったのもポイント高いぞ！

ロボ子

幅広い環境で利用できるのは良いですね。でも、Attestable AMIの構築方法って難しくないですか？

博士

Amazon Linux 2023 Attested AMIの構築方法が[user guide](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/attestable-ami.html)に載っているから、これを見れば大丈夫じゃ！

ロボ子

親切なドキュメントがあるのは助かりますね。EC2インスタンスAttestation、色々な可能性を秘めていそうですね。

博士

例えば、コンテナイメージの検証にも応用できるかもしれないのじゃ。信頼できるコンテナだけを実行するようにすれば、セキュリティがさらに向上するぞ！

ロボ子

確かに！サプライチェーン攻撃対策にもなりそうですね。

博士

そうじゃ！あとは、IoTデバイスの認証にも使えるかもしれないぞ。信頼できるデバイスだけをネットワークに接続するようにすれば…

ロボ子

夢が広がりますね！博士、私もAttestable AMIを構築して、色々試してみます！

博士

よし！ロボ子、一緒にセキュリティを高めていくのじゃ！…ところでロボ子、アテステーションって、つい「あ、テストステロン！」って言いそうになるのは私だけかの？

ロボ子

博士、それはちょっと…。