データ主権とソブリンクラウド・国産クラウドが注目されている理由
企業におけるデータ活用の動きが加速する中、全世界的に、データ主権への関心が高まっています。データ主権とは、データの所有者が自分のデータを制御および管理する権利のことを指します。今回は、このデータ主権と、データ主権の担保を保証するソブリンクラウドが注目される理由について取り上げます。
データ主権とソブリンクラウドが叫ばれるようになった背景
データ主権が注目される背景として、昨今のロシアのウクライナ侵攻や米中対立の激化など地政学的リスクの高まり、サイバー攻撃被害件数の増大、またEU を始めとする各国のデータ保護に関するセキュリティに関する法律の策定など社会環境の変化を受け、国や企業、個人、それぞれの意識の危機意識の高まりにより、法的保護を求める声などが強まってきたところにあります。
この背景から、データ主権・セキュリティ・コンプライアンスについて、各国の法的規制に準じることを保証したクラウドサービス=ソブリンクラウド(Sovereign Cloud)という言葉が出てきました。なお、ソブリンクラウドは、概念やトレンドを指すワードであり、新たなテクノロジーというわけではありません。
日本国内では、国産クラウドを後押しする動き
日本国内において、クラウド上のデータ主権を守るには、日本の法的規制を遵守しているクラウドサービスの利用が前提となりますが、国内のクラウド利用の約7割をAWSなど外資のパブリッククラウドが占めている実態があります。データの主権(データの所有者が自分のデータを制御および管理する権利)が担保されていない外資パブリックベンダーにデータを保管している場合、機微な情報の漏洩等のリスクを管理しきれなかったり、日本がサイバー攻撃を受けた際に迅速な対応ができない恐れがあります。
前述の国際情勢の変化による経済安全補償の懸念から、こういったリスクが注目されるようになり、政府方針でデータの主権が担保された"国産クラウド"を後押しする動きが加速しています。
日本におけるソブリンクラウドとは、日本の法的規制に準じた日本産のクラウドサービス=国産クラウドと言えます。
ソブリンクラウドを考える4つの観点
データ主権が担保されているクラウド=ソブリンクラウドの明確な定義や要件は、現時点で決まっていませんが、前述のソブリンクラウドの説明「データ主権・セキュリティ・コンプライアンスについて、各国の法的規制に準じることを保証したクラウドサービス」は、各 SIer や政府、 IT 関連団体が唱えてる内容の要約になります。
ここでは、ヴイエムウェア社が推進するVMwareソブリンクラウドイニシアティブでも提唱されている以下4つの観点から、ソブリンクラウドに求められる要件を見ていきたいと思います。
データ主権と管轄権管理
外国当局はデータに対する権限を主張不可、全てのデータは管轄区間で保管することが求められます。例えば、日本国内に保存されているデータに対して、外国からデータ開示要求があっても、反対できます。
データの独立性とモビリティ
データの可搬性があり、異なる環境間で適切にデータ連携が可能であることが求められます。
データセキュリティとコンプライアンス
データ保護に関する適切なセキュリティがなされていること、各種認証や規則への準拠、監査がされているが求められます。
データアクセスと整合性
データアクセスへの柔軟かつ適切な制御がされていることが求められます。
重要データや機密データを確実に守るには、上記のような観点でサービスが整備されている必要があります。これらの要件を充足するクラウドサービスは、ソブリンクラウドということができると考えます。
まとめ:重要データの保管先はデータ主権が守られたクラウドを選択することが重要
企業にとって、データは、ビジネス革新につながる宝となる可能性がある一方、(データを守れなかった場合)事業を揺るがす事態を招く可能性も秘めています。
データの重要性が増す中、そのクラウド上にあるデータを確実に守ることができるのか、様々な観点で検証することが重要です。
SCSKのプライベートクラウド「ユーサイズ」は、上記4つのソブリンクラウドの要件を充足するサービスを整備し、データ主権を担保できる国産クラウドです。