「ソブリンクラウド」とは何か？ 企業に求められる「データ主権」を実現するには

ソブリンクラウドとは何か？

　ソブリンクラウドとは、第三国にあるクラウドプロバイダーや政府などの干渉から組織の有するデータを保護し、組織のデータに対する主権などの『デジタル主権』を確保するための概念を指す。

　組織の主権（Sovereignty）を確保するため、クラウドの提供する各種機能を組み合わせて実現され、組織が求める主権を担保することができるサービスとして提供されることもある。


　ソブリンクラウドは、特定のクラウドサービスやクラウドの特定の機能を指す言葉ではない点がポイントだ。複数のベンダーから「Sovereign Cloud（ソブリンクラウド）」という名称でサービス化されているものが出ているが、共通認識として同じサービスを指しているものではない。

　「クラウド上でのデータ主権を確保するためのサービス」を各社が推進しているため、機能比較の際には注意が必要となる。

なぜソブリンクラウドは注目されているのか

　そもそもなぜ「ソブリンクラウド」が実現するような、「組織の有するデータに対する主権」が求められているのか。

　デジタルサービスは、我々の生活に必要不可欠な存在である。民間企業だけでなく、官公庁もガバメントクラウドとしてクラウド利用を推進している。しかし、パブリッククラウド利用においては海外資本の干渉と法令準拠がその利用の足かせになる場合がある。

　ソブリンクラウドを理解する上で重要である「デジタル主権」と、欧州の動向についても触れておこう。欧州では2005年ごろからデジタル主権が主張されるようになった。デジタル時代においても欧州自身がAIを含む技術を開発・保有して研究を促進することや、個人データ保護とデータ規制を徹底することなどを目的としてデジタル主権を推し進める政策を打ち出している。

　このように、デジタル時代において欧州や日本など米国以外の地域や組織が、AIなどの最新技術を研究・開発し、個人情報を保護し、データ規制に準拠するため、ソブリンクラウドが注目を浴びているのである。

ソブリンクラウドの市場とは

　International Data Corporation（IDC）のレポートでは、アジア太平洋地域（Asia/Pacific excluding Japan）では、日本を除く2024年にソブリンクラウドの需要が34.3％成長すると予測し、市場規模は2027年には367億ドルに達すると予想している。

　レポートの予測の通り、アジア圏においてもソブリンクラウドの需要は拡大を続けるとみられる。クラウド上においても主権を確保したいというニーズは、欧州だけのものでないことがデータから見て取れる。

ソブリンクラウドを推進する上で理解したい「主権の確保」
　ソブリンクラウドを推進する上で知っておきたいのが『主権の確保』だ。『主権の確保』とは、組織がクラウド上のデータや運用、クラウドを構成するソフトウェアについて管理の責任を有するということである。

　主権を確保したいニーズは組織によって複数あるが、第一に想定されるのは「法令遵守」である。

　たとえば、GDPR（General Data Protection Regulation）は、個人データの処理や第三国への移転に関する規定を含んでいる。日本国内においても、改正個人情報保護法などでデータ移転には移転先所在国の名称を明示することが必要とされる。このようなデータ処理やデータ移転に関する法令に準拠するため、特定国や地域内にデータを保管したいニーズが考えられる。

　次に、組織の機密データ管理におけるパブリッククラウド利用が想定される。

　たとえば、国際競争上重要な機密データなどを管理するため、自国内にデータを置き、データを他者にはアクセスできないようにしたいというニーズが考えられる。オンプレミスで管理するという方法もあるが、オンプレミスでは、コストパフォーマンスや可用性、事業継続において対応が難しい場合がある。このような用途としてパブリッククラウドを活用することを考える場合に、主権を確保するニーズが考えられる。

　これらの主権を確保する目的から、ソブリンクラウドの重要性が増加しているのである。

パブリッククラウドの現状
　現在のパブリッククラウドは、メガクラウド3社（AWSやAzure、Google Cloud）による寡占状態にある。

　synergyによる調査では、アマゾンやマイクロソフト、グーグルの上位3社による世界シェアは67％を占めるという調査結果が報告されている。

　これらのクラウドプロバイダーはいずれも米国企業であり、「海外データ合法的使用明確化法」（Clarifying Lawful Overseas Use of Data Act: CLOUD Act）など米国法令の管理下にある。

　プライベートクラウドでは自社のデータセンターなどで実現されていた主権の確保が、海外のパブリッククラウド利用では難しくなってしまった。しかし、だからといってこれらのクラウドを利用しないという選択は現実的ではない。パブリッククラウドを利用しつつ主権を確保するために、ソブリンクラウドが求められているのである。


『デジタル主権』とは何か？
　日本大百科全書によると、『主権』とは『国家がもつとされる最高権力。国家はこの権力をもつことによって、対内的には国民に対して国の法律また国の命令や決定に服従することを要求でき、対外的には国家の独立性を主張し外国からの干渉を排除できる。［田中 浩］』とされている。

　ソブリンクラウドで扱う『主権』は、一般的には『デジタル主権』を指している。デジタル主権は、これらのデジタル空間上でも主権の有する独立性や、外国からの干渉などを排除するために掲げられたスローガンとなる。

　デジタル主権は、さらに『データ主権』『運用主権』『ソフトウェア主権』の3つの主権から成り立っている。

　ソブリンクラウドを利用する上では、これらの主権が確保されているか確認することが重要である。

　それぞれの主権について、以下で詳細を示す。


　データ主権は、組織によるデータ管理である。これは、データの存在する場所や、データに対するアクセス、暗号管理などをクラウドに依存せず、顧客が管理することであり、クラウド運用者であっても制限の対象とする。

　運用主権は、組織によるクラウド運用者の管理である。これは、クラウドを管理する人員を自国民や自国法令に基づく運用者に制限するなど、自国法令の下、運用を可能とする。

　ソフトウェア主権は、組織によるソフトウェアの管理である。これは、一般に利用するソフトウェアでなく、クラウドを構成するソフトウェアを管理し、特定事業者のクラウドに『クラウドロックイン』することを防ぐことである。これらの実現については、以下の項目で示す。

【次ページ】ソブリンクラウドが扱う2つの主権