ソブリンクラウド
掲載:2024年09月10日
執筆者:チーフコンサルタント 川﨑 優雅
用語集
クラウドの概念は2000年代後半から本格的に広まり、システムの導入や開発時にクラウドサービスを優先して検討する考え方(クラウドファースト)も当たり前となってきています。そして近年、「資産を社内に持つ必要がない」、「初期導入コストが安価」など、クラウドサービスのメリットが浸透していき、最近では官公庁にまでクラウドサービスの利用が広がっています。
クラウドサービスの利便性が周知される一方で、データ保護やセキュリティへの意識も高まっています。GDPR(EU一般データ保護規則)に代表されるように、個人情報の保管先で地域の制限があるようなプライバシー関係の法規制も各国で続々と制定されています。そのような中で注目されているのがデータ主権(データの法的および規制上の支配権)を重視した「ソブリンクラウド(Sovereign Cloud)」という考え方です。
ソブリンクラウドとは
ソブリンクラウドとは、セキュリティ面での安全性確保に加え、クラウド上のデータを(サービス利用者にとっての)国内で保存・処理することで、他の国や地域の法令等の影響を受けない、データ主権を担保したクラウドサービスを指します。その利用により、データが国境を越えて移動することで生じるプライバシーやセキュリティのリスクを軽減することが可能です。
現時点では、統一されたソブリンクラウドの定義は存在しませんが、主な特徴として4つほど挙げられます。
- 1. 法的準拠:
- 各国のデータ保護法やプライバシー規制に厳密に従うもの
- 2. データのローカライゼーション:
- 該当データが特定の国や地域内に保存され、その地域外に転送されないもの
- 3. セキュリティ:
- 高度なセキュリティプロトコルが実装されており、データの機密性、完全性、可用性が保証されるもの
- 4. ガバナンス:
- データのアクセスを制御したり、クラウド上に作成された仮想サーバーや仮想ネットワークの属性、関連情報等を管理したりすることで厳格なガバナンスを保証するもの
ソブリンクラウドの重要性
ソブリンクラウドの重要性は近年高まりを見せており、ガートナージャパンも「Gartner、2024年に向けて日本企業が注目すべきクラウド・コンピューティングのトレンドを発表」の中で、注目すべきトレンドの1つとしてソブリンクラウドを挙げています。
ソブリンクラウドが重視されているのは、データ主権が注目されているからです。まず背景にあるのは、2018年施行のGDPRをはじめとするデータの越境、移転等の制限等を定める国際的な規制強化があります。そして、ここ最近の地政学的リスクの増大を受けて経済安全保障の観点も加わったことにより、個人情報保護に対してより厳しい対応が求められるようになってきています。
過去には中国企業が運営するECサイトにて日本人ユーザの個人情報が流出する事件や、米国のクラウドサービスにて日本企業の顧客情報が流出する事件が発生していますが、データの自国内運用を規定するソブリンクラウドを利用していれば防げた可能性があります。
世界各国におけるソブリンクラウド推進の動向
そんな注目を集めるソブリンクラウドについて、まずは世界各国の推進動向についてご紹介します。
欧州
欧州では、先ほど例に挙げたGDPRにより個人データの保護を強く規制しています。特に、個人データを欧州域外に転送する場合、第三国の適格性評価や本人の明確な同意などが必要となります。GDPRは、ソブリンクラウドの特徴の1つである「データのローカライゼーション」の後押しとなっています。
また、GDPR以外にもドイツやフランスが主体で立ち上げたGaia-Xというプロジェクトがあり、これはヨーロッパ全体でデータ主権を確保し、欧州の国際競争力を維持・発展させるために、データを管理・活用できるようなクラウドインフラを提供することを目指しています。
米国
大手プラットフォーマー企業を多くもつ米国では、データを米国内でのみ保存すべきだという動きも強まっており、ソブリンクラウドに関連する取り組みとして挙げられます。特にこれら企業が政府向けに提供するサービスはデータ主権が推進されています。
例えば、Amazon Web Service(AWS) GovCloudでは、データ主権の観点で「AWS GovCloud (米国東部) および (米国西部) リージョンは、米国在住の米国市民である従業員により運用されています」とうたっており、セキュリティの観点では、FIPS 140-2、CJIS、ITAR等に準拠しています。他にも、Microsoft Azure Governmentでは、データローカライゼーション機能を提供しており、データの保存場所として、米国国内の複数のリージョンから選択することができます。また、セキュリティの観点では、FedRAMP High、DoD IL5等への厳格なセキュリティ基準準拠を公表しています。
中国
中国では、中国政府がデータ主権を重視し、個人情報保護法 、サイバーセキュリティ法、データセキュリティ法等、代表される法律にデータローカリゼーション要件を導入しており、実際に中国国内の主要なクラウドサービスプロバイダーはこれらの法律に準拠したサービスを提供しています。
日本におけるソブリンクラウド推進の動向
次に、日本の動きについて見てみましょう。
現時点では、海外の大手プラットフォーマーが提供するパブリッククラウドが市場で大きなシェアを占める日本では、ソブリンクラウドへの関心は高まっているものの、完全なデータローカライゼーションは困難です。国内のサービス提供各社はソブリンクラウドの実現に向けてサービス開発・環境の整備を推進しています。
例えば、日立製作所では、以下を掲げています。
- ・データのローカライゼーション:
- 「お客さまのデータは、日立が管理する日本国内のデータセンターに保管され、その運用は日立によって管理されています。」
- ・セキュリティ:
- 「情報セキュリティに関する国際規格であるISMS(ISO/IEC27001)やISO/IEC27017の認証を取得しています。また、2021年6月には、日本国内の政府情報システムのためのセキュリティ制度ISMAP のクラウドサービスリストにも登録されており、第三者機関による定期的な監査により、高いセキュリティレベルを維持しています。」
他にも、NECでは以下を掲げています(概要)。
- ・データのローカライゼーション:
- お客様の要求するセキュリティのレベルに応じ、地政学リスクや他国法の影響を軽減できる日本国内のみで完結するクラウドサービスや現在お客様が使用している主要なクラウドサービスとの連携したサービスを提供していきます。
- ・セキュリティ:
- NECはお客様に安心してクラウドサービスを使用していただくために、客観的な基準としてISMAPやISOなどの第三者機関によるセキュリティ対策の評価を取得します。
さらに、富士通とオラクルが日本市場におけるデータ主権要件に対応するソブリンクラウドの提供に向け戦略的協業発表する動きも出てきており、この協業により、「データ主権ニーズに対応するソブリンクラウドを提供するとともに、お客様の複雑化したシステム運用を最適化し、継続的な安定稼働を支援」することを掲げています。
このように世界中でソブリンクラウドへの取り組みが推進されてきていることが、おわかりいただけたかと思います。個人情報保護の流れが厳格化されるのに加えて、経済安全保障が重視されるようになってきており、データ主権の考え方が注目されてきていることが分かります。個人や企業のデータが国外に保管され、自国の法律が適用できないリスクに対する関心が高まっており、その懸念を解消できるソブリンクラウドは今後標準的に利用されていくことが予想されます。
自組織におけるクラウドサービス導入の選定基準や、既に利用しているクラウドサービスを見直していくことが有効と言えるでしょう。