NTT DATA

DATA INSIGHT

NTT DATAの「知見」と「先見」を社会へ届けるメディア

キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
キーワードで探す
カテゴリで探す
サービスで探す
業種で探す
トピックで探す
2022.9.28業界トレンド/展望

経済安全保障の観点でも注目を集めるソブリンクラウドとは?

2021年からワールドワイドに注目され始めたソブリンクラウド。本稿では、ソブリンクラウドの各国の動向や求められる要件・ポイントを紹介する。
目次

1.近年注目されているソブリンクラウド

1-1.ソブリンクラウドとは

近年、経済面で国益を確保するための「経済安全保障」に関する政策が主要国で重視されています。これはクラウドについても例外ではなく、「経済安全保障の観点から主権をコントロールできるクラウド=ソブリンクラウド」として注目を集めています。
またGartner®が「2022年:クラウド関連で注目したいトレンド」」としてソブリンクラウドを取り上げています。(※1)

図1:2022年:クラウド関連で注目したいトレンド(※1)

図1:2022年:クラウド関連で注目したいトレンド(※1)

1-2.パブリッククラウドに対する懸念

「経済安全保障」に関する政策が重視されるようになった背景を確認してみたいと思います。

  • (ア) アメリカでのCLOUD ACT法の成立
    アメリカでは2018年3月にCLOUD ACT法が成立しており、米国内に本籍がある企業(GAFAMなど)に対し、米国外に保存されているデータであっても、アメリカ政府はデータ開示要求が可能となっています。
  • (イ) EUでのGDPRの制定
    GDPRでは個人情報をEU域外への持ち出しを厳しく規制しています。それに伴いEU域内で取り扱うデータに対して保存地域や法律の準拠について、今まで以上に配慮する必要が生じました。
  • (ウ)ウクライナ情勢
    ロシアによるウクライナ侵攻に伴い、ロシア国内では主要なクラウドサービス(SAP、AWSなど)の提供が停止されました。
  • (エ)ストックホルムのM365の利用停止
    ストックホルムは、「個人情報の十分な保護が保証されない」、「サービス提供条件が提供者によって変更され利用者として保障されない」などの理由から、M365の利用を停止しました。
  • (オ)クオリティクラウドの推進
    日本では、「国民データの安全保持」と「クラウド技術の保持」という観点からクオリティクラウドの推進を図っています。

図2:クオリティクラウドの推進(※2)

図2:クオリティクラウドの推進(※2)

このようにパブリッククラウド上のサービスが突然使用できなくなる、クラウド上のデータが利用者の意図しないところで開示されるといった懸念が顕在化しています。

(※1)

Gartner プレスリリース "Gartner、2022年に向けて日本企業が注目すべきクラウド・コンピューティングのトレンドを発表"
2021年11月18日 https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20211118
GARTNERは、Gartner Inc.または関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。All rights reserved.

2.各国におけるソブリンクラウドの状況

続いて各国のソブリンクラウドの状況を見ていきたいと思います。

2-1.アメリカ

アメリカ国防総省においては、同省で使用するシステム向けにオープンソースソフトウェア(OSS)の採用を優先する方針を示しています。OSSの採用を優先する方針は開発コストの削減やアジリティを実現するという目的もありますが、ベンダーロックインやサプライチェーンリスクを排除することで、システムの主権を保つ一例となります。
AWS社がサービス提供しているAWS GovCloudは、アメリカ在住のアメリカ市民である従業員によりシステム運用が行われています。これはアメリカ国内法に従う義務があるアメリカ市民のみが運用することでシステム運用の主権を保つ一例となっています。

2-2.EU

アメリカのCLOUD ACT法の制定を、GAFAMといったハイパースケーラーが提供するクラウドサービスを日常的に使用してきたEUはリスクと受け止めました。そこでドイツ主導のもと、2019年にGAIA-X Projectが立ちあがりました。GAIA-X Projectでは「主権の確立とEU独自のデータインフラ構築が最大の目標」と掲げています。
ただEUは、クラウド市場に競争力があり、閉鎖的にならないよう、クラウド調達時の行動規範としてCloud Infrastructure Services Providers in Europe(CIPSE)(※3)も合わせて定義しています。
EUでは主権を「デジタル社会において、国家が独立して経済安全保障を実現するための能力」と定義しています。そのうえで、「データ」「運用(運営)」「ソフトウェア」をソブリンクラウドの重要な主権であるとしています。

  • (ア)イギリス
    自国の企業がクラウドサービスを運営することで、主権をコントールできるように努めています。多数あるクラウドプロバイダーの代表がUKCloudです。UKCloudは2011年にクラウドサービスを提供開始しています。つまりイギリスでは10年以上前から主権を意識しサービス提供していることとなります。
  • (イ)ドイツ
    T-Systemsクラウドサービスを提供しています。イギリスの事例との大きな違いはT-SystemsはGoogle Cloudから技術提供を受けている点となります。ただしGoogle Cloudは技術提供にとどまり、システム運営はT-Systemsが行っています。またソフトウェアについてもOSSを使用しています。そうすることでT-Systemsでの主権のコントロールを実現しています。
  • (ウ)フランス
    ThalesがT-Systemsと同じくGoogle Cloudから技術提供を受けてソブリンクラウドのサービス提供することを2021年に発表しています。

ここで取り上げたEU各国の主権への取り組みを整理すると以下の通りとなります。

図3:欧州各国における「主権」確保への取り組み

図3:欧州各国における「主権」確保への取り組み

2-3.日本

最後に日本の動向も確認したいと思います。
日本ではハイパースケーラーが提供するクラウドを利用するケースが多数を占めていて、ソブリンクラウドが整備されているとは言い難い状況です。その中でデジタル庁は日本政府の共通クラウド基盤(ガバメントクラウド)としてAWSとGoogle Cloudを選定したと発表しました。(※4)
また同じくデジタル庁が発表した「デジタル社会の実現に向けた重点計画(案)」の中で、「取り扱う情報の機密性等に応じてパブリッククラウドとプライベートクラウドを組み合わせて利用する、いわゆるハイブリッドクラウドの利用を促進する」と書かれています。これは機密性の高い情報を取り扱えるクラウドとしてソブリンクラウドやクオリティクラウドが求められているとも言えます。(※5)

3.NTTデータの考えるソブリンクラウドに求められる主権

アメリカやEUの事例のとおり、自身の「主権」をどのようにコントールするか、という点について検討および施策を講じています。

  • (ア)データ主権
    クラウド上に保存されているデータは暗号化されていますので、クラウドプロバイダーがどのようなデータなのかを確認は出来ないものと思われます。ただしメタ情報(※6)についてはクラウドプロバイダーがアクセスできるため、利用者にクラウドに対するアクセスなどを制限することも可能となります。メタ情報を含めたすべてのデータをコントールできることを「データ主権」と呼んでいます。
  • (イ)システム主権
    アメリカの事例にあるOSSの優先採用が該当します。海外製のソフトウェアを使用することで、パッチが提供されない、新規にソフトウェアの購入が出来なくなるといった可能性があります。そこでOSSを採用し、このようなリスクの軽減を図ることを「ソフトウェア主権」と呼んでいます。
    ただし海外製の製品という意味ではソフトウェアだけではなく、ハードウェアやOSに関しても同じことが言えるため、ここでは「システム主権」と整理しています。
  • (ウ)運用(運営)主権
    ウクライナ情勢でも記載したとおり、クラウドサービスへのアクセスが制限された場合、直ちにシステム停止の状態に陥ります。クラウドプロバイダーが自国民(自国企業)であることがリスクの軽減につながります。このように運用(運営)の透明性に関することを「運用(運営)主権」と呼んでいます。

図4:ソブリンクラウドにおけるコントロールすべき「主権」

図4:ソブリンクラウドにおけるコントロールすべき「主権」

(※6)

クラウド上に作成した仮想サーバ、仮想ネットワークなどの属性や関連情報を管理するための情報

4.おわりに

近年注目を集めているソブリンクラウドについてみてきました。ソブリンクラウドサービスの提供は欧米が大きく先行しており、日本は遅れをとっていると言わざるを得ない状況です。NTTデータとしては、ソブリンクラウドを日本においても普及させることが非常に重要ととらえています。そこで普及に向け官庁やITベンダーと連携して検討を進めており、今後は日本でもソブリンクラウドのニーズが加速していくものと思われます。

お問い合わせ