ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
ソブリンクラウドというデジタル上の資産に対する「主権」に焦点を当てたクラウドサービスに注目が集まっています。本稿では用語と合わせて注目される理由を解説します。
公開日:2024年7月22日
更新日:2024年11月5日
ソブリンクラウドとは、特定の組織がデータを運用して事業を行う際に、自国の法律に準拠してデータ運用を行えるよう支援するクラウド環境を指します。
ソブリンクラウド自体は、新しい技術を指すものというわけではなく、データやシステムの「主権」に主眼を当てたクラウドシステムのコンセプトや概念、運用形態を意味します。
多くの場合、ソブリンクラウドを利用する組織の本拠地が存在する国にデータセンターを置くことや、運用する業者を自国の企業のみに制限することによってデータ主権を保証します。
具体的なユースケースとして、日本の企業が、日本国内にデータセンターを置き、日本企業が運営するソブリンクラウドを活用することによって、外国の法律によって自社の事業が制限されたり、海外の拠点で顧客データが漏洩したりするリスクを回避するケースが考えられます。
本稿ではソブリンクラウドが注目されてきている理由やその重要性、メリット、デメリットなどについて解説します。
ソブリンクラウドで保護される主権
主権という言葉には様々な定義、解釈が存在しますが、デジタル関連の文脈で使われる際には、対象となるデータやシステムに関して「他国に脅かされない制御権」を持つことを意味します。
ソブリンクラウドによって保護される主権として、Googleでは「データ主権」、「ソフトウェア主権」、「運用主権」などを挙げています。ソブリンクラウドはこれらの主権を包括的に保護できるとされており、それぞれ継続的にクラウドを使用していく上でのリスクを低減することが可能です。
・「データ主権」が保護されることにより、海外の法律の変化などによってデータが開示されてしまうリスクを低減できます。
・「ソフトウェア主権」が保護されることにより、特定のクラウド業者のポリシーや方針の変更により可用性が下がるリスクを低減できます。
・「運用主権」が保護されることにより、セキュリティ・クリアランスなどの認証を持たない人物が誤った運用を行うリスクを低減できます。
これらはあくまで一例ですが、こうしたリスクへの対処のニーズが高まってきていることからソブリンクラウドが注目されています。なお本稿内では上記3つの主権を合わせて「システム主権」と呼びます。
なぜソブリンクラウドが注目されているのか
ソブリンクラウドは主にデータやシステムの主権を確保することを目的としていることから、その概念の誕生に世界各国における経済安全保障推進の動きが関連していることは明らかです。
実際に日本においても経済安全保障推進法の柱の一つである、「重要物資の安定的な供給の確保」において、特定重要物資の1つに「クラウドプログラム」が指定されています。
しかし経済安全保障上ソブリンクラウドが重要、と一言に言っても経済安全保障は関連する多数の要素を含むため難解です。そこで本章ではどういった側面でソブリンクラウドの注目度が増しているのか、より細分化し、いくつか例示します。
クラウドサービスの経済への結び付きが強まり、可用性の保護が求められている
経済産業省が「デジタル分野にとどまらず、あらゆる国民生活・産業活動にとって不可欠となっている」と形容するほどにクラウドサービスは現代のビジネス・生活において重要な役割を担っています。
実際にIoT技術の進歩やデジタル化の進展によってサイバー空間とフィジカル空間は以前にも増して融合してきており、サイバー空間上のリスクが国家や国民生活のリスクに直接結びついています。
このことは2021年のコロニアル・パイプライン社へのランサムウェア攻撃によって操業停止に追い込まれ、市民に対する燃料供給が不足したことなどからも自明の点です。
つまり、今やクラウドが何らかの要因で停止し、動かないという事態に陥ることは経済の観点においても大きなリスクとなっているのです。そこでシステム主権があり、セキュリティ面の管理も自ら制御しやすいソブリンクラウドを使用することにより、クラウドやその上で取り扱われるデータの可用性を保護することが期待されています。
地政学的要因によるクラウド停止リスクが顕在化している
クラウドの重要性が高まっていたとしても、それらが問題なく稼働し続けているのであれば、特にリスクはなくわざわざソブリンクラウドを検討する必要はありません。GoogleやAmazonなど、著名なクラウドサービス事業者はもちろん完全に安全とは言えないものの、高度なセキュリティ対策や冗長性の確保が実施されていることから、可用性が一定量確保されています。
しかし、システムの可用性に影響を及ぼすものはサイバー攻撃などセキュリティ関連分野だけではありません。対外的な国際情勢やサービス提供国における法律の変化なども要因として含まれます。
例えば2022年のウクライナ侵攻の際には米オラクルがロシアにおける全事業を一時停止しました。ここでロシアの特定の組織がオラクルクラウドを日常的に運用していた場合、クラウドの可用性は著しく損なわれることになります。
他にもヨーロッパでは2018年からGDPRが適用されましたが、この法律によってEUに在籍する個人のデータの移送に制限がかかりました。グローバル企業などで、ヨーロッパ圏内にデータセンターを持たないクラウドサービスを利用している場合には、こちらも一時的にクラウドの可用性が損なわれることとなります。
このようにサイバー攻撃を受けた場合以外にも、地政学的側面でシステムの可用性に影響を来すケースがいくつか存在します。そうした際、システムやデータの主権を自国内に保つことのできるソブリンクラウドを使用することで、これらのリスクを低減する効果が期待されています。
機密・極秘情報のデジタル化に伴い、機密性侵害のリスクが高まっている
重要性が高まっているのはデータも同様です。マイナンバー制度の義務化にも見られるように、現実空間の様々な情報をデータ化することは、業務効率の向上や手続きの簡易化といったメリットが存在します。しかし、デジタル化の進展に伴ってデータ化される情報自体、より個人や国家にとって致命的なものが含まれるようになってきました。
例えば、個人で言えば病歴、犯罪歴などの要配慮個人情報などがこれにあたります。こういった情報は流出することで、差別や偏見といった不利益を被る可能性があり、極端な場合には職場や土地を追われることもありえます。また国家の場合でも、防衛に必要な武器等の部品情報が漏洩することで、防衛機能が著しく低下する可能性があります。
その上、データの機密性もクラウド同様、外交関係や海外法の影響を受ける可能性があります。例えば、アメリカで2018年に可決された「Cloud Act」では、米国内に本籍がある企業に対して、アメリカ政府はデータ開示要求が可能となっています。
これはつまり、海外クラウドに日本の重要情報が格納されていた場合でも、クラウド事業者在籍国の法制度によっては、開示される可能性があるということです。こういった背景からデータの機密性が上昇しており、それに伴い侵害されるリスクも向上しています。そのためソブリンクラウドの活用によって国内の重要なデータを安全に管理できるようになることが期待されています。
ソブリンクラウドの発展が国内産業に貢献する可能性がある
経済産業省は、クラウドプログラムに係る安定供給確保を図るための取組方針の中で「基盤的なクラウドサービスについては、国内に事業基盤を有する事業者のシェアは低下傾向にあり、現在の傾向が続けば(中略)国内で自律的に基盤的なクラウドサービスの提供に用いるプログラムを開発する産業基盤を喪失するおそれがある。」と言及しており、クラウドサービスの事業者のシェアを国外の事業者に占められることによる産業の損失が懸念されています。
また、近年デジタル赤字の懸念も叫ばれており、コンピューターサービスの貿易赤字が2030年には8兆円に膨らむという予測も行われています。
これらの背景から産業振興の観点で、国内事業者が展開するクラウドサービスの発展には期待が寄せられています。国内事業者が展開するクラウドは、システム主権を保護するソブリンクラウドのコンセプトと相性が良く、産業振興の観点からも期待されています。
また生成AIの台頭によって、ビッグデータの価値が以前に増して高まったことも関係している可能性があります。生成AIは、良質な大量の学習データにより、その性能を向上できます。
こちらも産業振興的観点で捉えると、サービス内で使用される文章情報や言語情報などのビッグデータは価値ある資産であり、海外の生成AIサービスを利用するほど、価値ある資産が海外に蓄積されてしまい、国内産業の機会損失に繋がる可能性があります。これらの懸念もソブリンクラウド、ソブリンAIといったコンセプトのサービスが国内で発展することで、払しょくできる可能性があることから期待が高まっていると考えられます。
参考図書:日本企業のための経済安全保障 (PHP新書)
なお、ここまで記載してきたソブリンクラウドが注目されている理由については、それぞれの項で記載してきた必要性などが個別に発生してきたわけではなく、社会全体の流れに応じて複雑に作用しあって発生してきています。その為、海外拠点におけるサイバー攻撃被害の増加など、これら以外にもソブリンクラウドの必要性が想起される場面があることや、国や地域、業種などによってもソブリンクラウドへの期待感が異なることに注意してください。
ソブリンクラウドと他のシステム形態を比較
ソブリンクラウドの概念をより具体的に解説する為に本章では、ソブリンクラウドと他のシステム概念を比較します。
オンプレミスシステムとの違い
リスク回避という観点だけで見れば、そもそもインターネット通信を断絶してオンプレミス環境でシステム運用を行う、つまりクラウドをやめることで主権を維持するという方針も選択肢としてあります。
実際に、総務省における機密性分類の検討においては、機密性3(秘密保全の必要が高く、その漏洩が国の安全、利益に損害を与えるおそれのある情報など)に該当する情報はクラウドサービス上への展開を不可と設定しており、いわゆるトップシークレットにあたる情報はクラウドではない領域においてすでに主権を確保していることがわかります。
しかし、ここまで記載してきた通り、多くの日本国民の生活や企業のビジネスがすでにクラウドサービスに大きく依存しているという点を踏まえると、機密性の高い情報であったとしても、オンプレミス環境だけでのデータ運用は実質不可能であり、クラウドの利便性を享受しつつ、主権を確保するという要件が求められます。
また、内閣サイバーセキュリティセンターが公開している「政府機関等の対策基準策定のためのガイドライン」において、重要度の高い情報システムこそ高度なセキュリティ対策が必要ということが述べられています。これは、現在主にクラウドをベースに提供されている高度なセキュリティ対策をシステムに適用しつつも、システムが取り扱う機密性の高い情報を守らなければいけないという、こちらも利便性と主権の両立が必要な状況が示されています。
つまり、ソブリンクラウドとオンプレミスシステムは主権を確保できるという点においては共通しているものの、その機能性や利便性、インターネット接続を要するか否か(場合によっては導入コスト)といった点において違いが生じます。
パブリッククラウドとの違い
パブリッククラウドとソブリンクラウドが完全に異なるかと言えば、そうではありません、冒頭でも述べた通りデータ・ソフトウェア・運用の側面において「他国に脅かされず制御できる」場合には主権が確保されているため、パブリッククラウドでありながらソブリンクラウドであるケース(以下ソブリンパブリッククラウド)も存在します。つまりソブリンクラウドとパブリッククラウドは完全に異なるものではなく、明確な違いとしては主権を要しているかどうかという点のみにとどまります。
一般的なパブリッククラウドとソブリンパブリッククラウドの違いは、データの所在地、セキュリティ対策レベル、外国法の影響有無、運用管理者の国籍、ソフトウェアの言語環境、これらを加味した事業継続性などの点において違いが生じます。ただしこちらについてはあくまで定義上の問題であり、現実にソブリンパブリッククラウドが構築されるかと言えば、かなり限定的なケースであると想定されます。パブリッククラウドという比較的開かれた環境にわざわざ機密性の高いデータを格納することはソブリンクラウドの目的と矛盾するためです。
プライベートクラウドとの違い
特定のクラウドサービス環境上に自組織専用の領域を設けるプライベートクラウドは、組織で制御可能な点が多く、ソブリンクラウドとの親和性が高いクラウド形態と言えます。プライベートクラウドサービスの中にはデータセンターを特定の地域に指定できるサービスが含まれているケースもあり、すでにソブリンクラウドの下地が整っている環境と言えます。実際のところ、ソブリンクラウドのほとんどは、厳密にはプライベートクラウドに該当するものである可能性が高いでしょう。
その為こちらも完全に異なるものではなく、明確な違いとしてはシステム主権を要しているかどうかという点のみにとどまります。実際にEUではアメリカのOracle社が提供するプライベートクラウド技術を採用して、EU専用のソブリンクラウドサービスを構築しています。これによりOracle社のソフトウェアの機能を活かしつつ、主権確保を実現しています。またドイツでもGoogle Cloudの技術がソブリンクラウドとして採用されています。
ガバメントクラウドとの違い
ガバメントクラウドは、国内においては単にデジタル庁が調達する政府共通のクラウドサービスの利用環境を指しており、特にクラウドのコンセプトなどを指す言葉ではありません。その為ソブリンクラウドであろうとなかろうと、政府共通で利用しているものであればガバメントクラウドと呼ばれることとなります。ただし、ガバメントクラウドは政府が主導して利用するものであることから、ソブリンクラウドのコンセプトと相性がいいと言えるでしょう。なお、現時点でどの程度ガバメントクラウドに関する主権を政府が議論しているかは不明なので、今後の動向次第でこれらの関連性が明らかになっていくと思われます。
国内の法人組織はソブリンクラウドを使用するべきか?
ビジネスの継続性を高めたい組織においては、自組織で取り扱うデータおよびクラウドシステムに関して、まずは棚卸を行うことが推奨されます。その上で、データの機密性、完全性、可用性それぞれの観点での重要性を定義し、その重要性に応じて取り扱うクラウドシステムのリスク分析を行います。
海外クラウドを使用している場合には、リスク分析に際してシステム停止やデータ漏洩のリスクとして、クラウド提供元のデータ関連の法律規制や、サービス提供国との外交関係悪化といった要因を含めることで、万が一の際の対応を早めることができます。国際情勢などに応じて情報が強制的にアクセスされたり、サービス停止が起こるリスクが大きい場合には、何らかの形でシステムの冗長性を確保しておくことや、ソブリンクラウドを導入し機密性を高めることが推奨されます。
特に、金融、医療、公的機関の業界でビジネスを行う組織においては、経済安全保障や個人情報保護の観点でシステムやデータのCIA向上を検討することが推奨されます。
なお、ソブリンクラウドを選定する際には、重要なデータを読み込ませること見越して、高度なセキュリティ対策が施されていることを確認することも重要です。トレンドマイクロが提供する「Trend Vision One – Sovereign and Private Cloud」は、データ主権に対応したセキュリティソリューションです。メタデータを含むすべてのデータを主権領域内または指定された場所内に保持するよう制御することを通して、ユーザのシステムおよびデータ主権を保護します。
データの主権を確保するという意味においては、EU諸国のように自国以外のクラウドサービスベンダを採用することも選択肢の一つです。官公庁など国の重要機関とビジネスを行う組織においては、ソブリンクラウドへの対応が求められる可能性があり、現時点から情報収集を行っておくことが重要です。
関連記事:
・Trend Micro Achieves Google Cloud Ready - Regulated & Sovereignty Solutions Designation
・経済安全保障推進法をサイバーセキュリティ視点でとらえる~企業が備えるべきポイントを解説~
・セキュリティ・クリアランスとは?なぜ日本で必要性が高まっているのか?
・海外拠点におけるサプライチェーンリスク
・クラウドサービスのリスク審査はなぜ疲弊するのか?~実態と業務のヒント~
Security GO新着記事
ダークパターンとは?企業にとってのリスクを解説
(2024年11月20日)
PPAPだけじゃない?セキュリティリスクにつながりかねない商習慣3選
(2024年11月20日)
病院でランサムウェア被害が起きたらどうする?ボードゲームでシミュレーション
(2024年11月19日)