ソブリンクラウドとは?経済安全保障の観点で注目されるデータ主権についてくわしく解説
近年、クラウドサービスの普及とグローバル化、国際情勢の変化に伴い、データやシステムなどの主権を確保する「ソブリンクラウド」への注目が高まっています。
国家安全保障や経済安全保障の観点から、クラウド上のデータやシステムを自国の管理下に置くことの重要性が認識されているためです。
本記事では、ソブリンクラウドの概念や特徴、世界各国の動向、そのメリットや要件についてくわしく解説します。
ソブリンクラウドとは
ソブリンクラウドとは、「経済安全保障の観点から主権をコントロールできるクラウド環境」とされています。
経済安全保障の観点から主権(ソブリン)をコントロールできるクラウドとして、2021年頃から世界的に注目されています。
確保すべき主権については国際的な定義が定まっておらず、一義的ではないものの、「データ主権」「システム主権」「運用主権」「ソフトウェア主権」などが確保すべき主権として挙げられ、これらの主権のなかから各社の状況に応じて採用する主権を決めている状況です。
ソブリンクラウドが確保する主権
ソブリンクラウドの本質は、国や組織がクラウド環境における「主権」を確保することにあります。主権とは、自らの意思決定と制御権を維持し、外部からの不当な干渉や制約を受けないことを意味します。ソブリンクラウドにおいて確保すべき主権は明確に定まったものがないものの、おもに以下に分類されることが多いため本記事はこちらを定義として記載します。
データ主権
データ主権とは、国や組織がクラウド上に保存されているデータの所有権と管理権を保持することを指します。とくに重要なのは、以下の点です。
- データの所在地の制御: データが物理的にどの国・地域のデータセンターに保存されるかを明確に把握し、指定できること
- データアクセスの透明性: クラウド事業者を含む第三者がデータにアクセスする可能性や条件を明確に理解し、制限できること
- メタデータの管理: 暗号化されたデータ本体だけでなく、クラウド上に作成した仮想サーバーや仮想ネットワークなどの属性情報(メタデータ)についても管理権限を持つこと
データ主権が確保されることで、他国政府の法的要請によるデータ開示リスクや、クラウド事業者による一方的なアクセス制限などから保護されます。とくに機密性の高い国家情報や重要な企業データを扱う場合には、このデータ主権が極めて重要となります。
システム主権
システム主権とは、クラウドを構成するソフトウェアやハードウェア、OSに関する自律性と継続性を確保することを意味します。具体的には以下の要素が挙げられます。
なお、システム主権のうちソフトウェア部分のみに着目することをソフトウェア主権と呼びます。
- ソフトウェアの選択と管理: 使用するソフトウェアの選択権を持ち、とくに海外ベンダーへの過度な依存を避けること
- オープンソースの活用: 可能な限りオープンソースソフトウェア(OSS)を活用することで、特定ベンダーへの依存(ベンダーロックイン)を回避すること
- 技術的持続性: サポート終了やパッチ提供停止、製品販売中止などの事態が発生しても、システムを継続して運用できる体制を整えること
- インフラストラクチャの制御: 物理的なハードウェアやネットワーク、仮想化レイヤーに至るまで、技術的な制御権を確保すること
システム主権を確保することで、国際情勢の変化や特定企業の経営方針変更による技術的な脆弱性やリスクを軽減することができます。
運用主権
運用主権とは、クラウドサービスの運営や管理に関する決定権と透明性を確保することを指します。おもな要素としては以下です。
- 運用体制の自律性: クラウドサービスの運用が自国民や自国企業によっておこなわれること
- サービス継続の保証: 国際関係の悪化などの状況下でも、サービスの継続が保証されること
- 運用の透明性: サービスの運用方法や運用ポリシーが透明で、利用者にとって理解可能であること
- 監査と検証: 第三者による監査や検証が可能であり、運用の適切性を確認できること
運用主権が確保されることで、たとえば国際紛争や制裁などの状況下でも、突然サービスが停止するリスクを回避することができます。ウクライナ情勢下でロシア国内の主要クラウドサービスが停止した事例のように、運用主権が確保されていない場合、いかに優れたシステムであっても利用できなくなる可能性があります。
これら主権は相互に関連しており、総合的に確保されることでソブリンクラウドの真の価値が発揮されます。国や組織が自らの情報資産と情報システムに対する自律性と制御力を維持するためには、データ、システム、運用などから各社の必要に応じた主権の確保が不可欠です。またこれまで説明した主権以外にも各社のニーズに応じてさまざまな主権の考え方がうまれています。
ガバメントクラウドとの違い
ガバメントクラウドとソブリンクラウドは、その目的と範囲に違いがあります。
ガバメントクラウド:「政府業務の効率化のためのクラウド」
おもに政府機関の業務効率化やデジタル化を目的としたクラウド基盤です。日本では、デジタル庁が推進する「政府共通クラウド基盤」としてAWS、Google Cloud、Azure、OCI、さくらのクラウドが選定されています。
ソブリンクラウド:「国家主権を守るためのクラウド」
経済安全保障の観点から国家の主権(データ、システム、運用など)を確保することが目的とされているため、必ずしも政府機関のみを対象としたものではありません。重要インフラや戦略的産業など、国家安全保障に関わる幅広い分野でのクラウド利用が想定されています。
つまり、ガバメントクラウドが「政府でも使える安全で効率的なクラウド」という側面が強いのに対し、ソブリンクラウドは「他国からの独立性と自国での完全な決定権を守るためのクラウド」という側面があります。
ISMAPとの関連性
ISMAP(Information system Security Management and Assessment Program:政府情報システムのためのセキュリティ評価制度)は、政府が安全なクラウドサービスを選ぶための認証制度です。
一方、ソブリンクラウドは「自国で管理できるクラウド環境」「他国の法令などの影響を受けないクラウド環境」という考え方です。
両者の違いを簡潔にまとめると以下のようになります。
- ISMAP:日本政府向けのクラウドセキュリティ基準
- ソブリンクラウド:他国・他地域の法令などの影響を受けないクラウドという概念
これらは直接関連するものではありませんが、安全なクラウド環境を目指す点では共通しています。ソブリンクラウドでもデータ主権を確保するために高度なセキュリティは不可欠であり、日本国内ではISMAPの認証取得が安全なソブリンクラウドの重要な指標となっています。
ISMAPについて、くわしくは以下のホワイトペーパーをご覧ください。
進化するクラウドセキュリティ対策~政府認証ISMAPの「さくらのクラウド」で実現するデータ保護~
政府情報システムのためのセキュリティ評価制度(ISMAP)に準拠した「さくらのクラウド」が提供するセキュリティ対策に焦点を当て、企業がどのようにして安心してクラウドサービスを活用できるのか、具体的な実現方法をご紹介します。
ソブリンクラウドが注目される理由
近年、経済安全保障の観点からソブリンクラウドへの注目が世界的に高まっています。その背景には、クラウドの利用拡大に伴う新たなリスクへの懸念があります。ここでは、ソブリンクラウドが注目されているおもな理由について解説します。
クラウドサービスと経済の結びつき
デジタル化の進展により、クラウドサービスは経済活動との結びつきが急速に強まっています。経済産業省も「あらゆる国民生活・産業活動にとって不可欠」と形容するほど、クラウドサービスは現代のビジネスや社会インフラにおいて重要な役割を担っています。
IoT技術の進歩やデジタル変革(DX)の加速により、サイバー空間とフィジカル空間の融合が進み、金融取引、物流管理、製造ライン、公共サービスなど、多くの重要なシステムがクラウドを基盤としています。
また、生成AIの台頭によって、ビッグデータの価値が高まるなか、海外サービスの利用によって価値あるデータ資産が国外に蓄積される懸念も生じています。このような状況から、国産クラウド産業の育成と自立が経済安全保障の観点で重要視されるようになっています。
地政学的リスク
クラウドサービスの可用性を脅かす要因は、サイバー攻撃などのセキュリティ問題だけではありません。国際情勢の変化や各国の法制度の違いなど、地政学的な要因も大きなリスクとなります。
たとえば、ウクライナ侵攻の際には、グローバル企業がロシアでのサービス提供を停止するケースが発生しました。このように国際紛争や外交関係の悪化によって、海外クラウドサービスが突然利用できなくなるリスクが現実のものとなっています。
また、法制度の違いもリスク要因です。
たとえば、欧州のGDPRはEU域外へのデータ移転を厳しく制限しています。法規制の違いにより、北欧の自治体で米国企業のクラウドサービス利用を停止する判断を下すといったケースも生まれています。
このように、地政学的リスクはクラウドサービスの継続的な利用を脅かす重大な要因となっており、ソブリンクラウドはこうした国際情勢や他国の法制度変更による影響を最小化することを目指しています。
セキュリティの問題
デジタル化の進展に伴い、クラウド上に保存されるデータの機密性も急速に高まっています。重要な情報がデジタル化されることで業務効率は向上する一方、データ漏洩のリスクも同時に増大しているといえるでしょう。
病歴や犯罪歴などの要配慮個人情報、また国家の防衛関連情報や重要インフラの制御システムなど、流出すれば甚大な被害をもたらす情報がクラウド上で扱われるようになってきました。こうした機密情報をパブリッククラウドで扱う場合、利用者はクラウド事業者のセキュリティ対策に依存せざるを得ない状況です。
総務省の基準では、最高機密レベルの情報はクラウド上での取り扱いが禁止されていますが、デジタル化が進む現状では、高い機密性を持つ情報も適切な対策のもとでクラウド上に置く必要性が日々増しているのが実情です。
ソブリンクラウドは、これらの機密情報を安全に扱うための枠組みとして、データの所在地管理、アクセス権限の厳格な制御、強固な暗号化など、多層的なセキュリティ対策を提供することで、情報保護の新たな選択肢として注目を集めています。
各国のソブリンクラウドの状況
ソブリンクラウドへの取り組みは世界各国で進められていますが、その背景や進捗状況は国や地域によって大きく異なります。ここでは、先進的な取り組みをおこなっているEU、米国、イスラエル、そして日本の状況についてくわしく見ていきましょう。
EU
EUではアメリカのCLOUD ACT法の制定をきっかけに、GAFAMなどのハイパースケーラーが提供するクラウドサービスのリスクを認識し、主権確保の取り組みを進めています。ドイツ主導のもと、2019年に「GAIA-X Project」が立ち上がり、「主権の確立とEU独自のデータインフラ構築」を最大の目標として掲げています。
EUでは主権を「デジタル社会において、国家が独立して経済安全保障を実現するための能力」と定義し、「データ」「運用(運営)」「ソフトウェア」をソブリンクラウドの重要な主権と位置づけています。
加えて、EUではGDPR(EU一般データ保護規則)により個人データの保護を強く規制しており、EU域外へのデータ転送には厳格な条件が設けられています。これを背景に、Oracle社のOCI(Oracle Cloud Infrastructure)を採用した独自のクラウドサービスを構築し、フランクフルトやマドリードにソブリンクラウド専用のリージョンを設けるなどの取り組みも進められています。
アメリカ
アメリカでは、国防総省においてオープンソースソフトウェア(OSS)の採用を優先する方針を示しています。これは開発コスト削減やアジリティの実現だけでなく、ベンダーロックインやサプライチェーンリスクを排除し、システムの主権を保つためでもあります。
AWSが提供するAWS GovCloudは、アメリカ在住のアメリカ国民である従業員によりシステム運用がおこなわれており、アメリカ国内法に従う義務があるアメリカ国民のみが運用することで、システム運用の主権を確保しています。
アメリカではソブリンクラウドに関する特定の法律は存在しませんが、ヘルスケアや金融サービスなどの特定の産業において、連邦および州レベルの法律によってデータを保護する仕組みがあります。また、一部の産業や機関ではデータをアメリカ国内でのみ保存することが法的に要求されており、これがアメリカのソブリンクラウドに関連する取り組みとなっています。
日本
日本では、ハイパースケーラーが提供するクラウドを利用するケースが多数を占めており、ソブリンクラウドが十分に整備されているとは言い難い状況です。現状では、デジタル庁が日本政府の共通クラウド基盤(ガバメントクラウド)としてAWS、Google Cloud、Azure、OCI、さくらのクラウドを選定しています。
2024年6月に閣議決定された「デジタル社会の実現に向けた重点計画」では、「取り扱う情報の機密性等に応じてパブリッククラウドとプライベートクラウドを組み合わせて利用する、いわゆるハイブリッドクラウドの利用を促進する」という方針が示されています。これによって、クラウド利用がより一層加速すると予想されています。また経済安全保障の観点から、「2027年度までに国内に事業基盤を有する事業者が、基盤クラウドを持続的に提供できる体制を構築し、重要なデータを自律的に管理可能なクラウドを確保する」という目標も掲げられています。
金融業界をはじめとする規制業界では、厳格な規制環境下でも業務をおこなうための安全なクラウド環境を構築するために、ソブリンクラウドの活用が進んでいます。今後は官民問わず、国産ソブリンクラウドの必要性と利用が高まっていくことが予想されます。
さくらインターネットの取り組み
さくらインターネットは、日本の独立系クラウド事業者として、ソブリンクラウドの実現に向けた積極的な取り組みを進めています。さくらインターネットのソブリンクラウドへの取り組みは、単なるデータの国内保存にとどまらず、多角的な視点から主権確保を目指しています。
4つの主権の確保
さくらインターネットでは、3つの主権(データ主権、システム主権、運用主権)に加え、独自の視点から「技術主権」を加えた4つの主権の確保に取り組んでいます。
「データ主権」の確保
国内に複数のデータセンターを保有・運営し、顧客データが国内でのみ処理・保存される仕組みを徹底しています。また、日本の法律に基づいたデータアクセス管理体制を構築するとともに、バックアップやディザスタリカバリもすべて国内で完結させる取り組みをおこなっています。
「システム主権」の強化
特定ベンダーに依存しないシステム設計を基本方針として採用し、オープンソースソフトウェアを積極的に活用・改良しています。さらに、ハードウェアについてもマルチベンダー戦略を取り入れることで依存度を最小化し、外部環境の変化に影響されにくい柔軟なシステム基盤を構築しています。
「運用主権」の実現
クラウドサービスの運用とサポートをすべて国内の自社社員が担当する体制を整え、運用ポリシーや手順も自社で定義・管理しています。これにより、国際情勢や外国企業の方針変更に左右されない自律的な運用が可能となり、顧客向けの監視・運用状況の可視化によって透明性も確保しています。
「技術主権」の推進
クラウド基盤技術の研究開発に継続的に投資し、自社エンジニアによるコア技術の国産化を進めています。国内の大学や研究機関との共同研究も積極的に実施し、とくに仮想化技術やコンテナ技術などの基幹技術における自立性向上に注力しています。
これらの取り組みを組み合わせることで、さくらインターネットは総合的な「デジタル主権」を実現し、真に自律的で信頼性の高い国産ソブリンクラウドの提供を目指しています。
国産クラウドならではのメリット
さくらインターネットの国産ソブリンクラウドには、主権確保以外にも独自のメリットがあります。
為替リスクのない価格設定
サービスの価格設定やコストモデルが国内で制御されるため、為替変動の影響を受けにくく、安定した料金体系を維持できます。海外ベンダーで見られる突然の価格改定リスクも大幅に低減されます。
サービス継続の確実性
サービスの継続可否の最終決定権が日本国内にあるため、国際情勢や海外企業の経営判断に左右されず、長期にわたる安定したサービス提供が可能です。
国内法制度への適合性
日本の法制度や規制に完全に準拠したサービス設計により、コンプライアンス面での懸念が少なく、国内企業や公共機関が安心して利用できる環境を提供しています。
これらのメリットは、とくに長期的なIT戦略を構築する企業や、安定性を重視する公共機関にとって大きな価値を持ちます。
セキュリティと信頼性の確保
さくらインターネットは、ISMAP(政府情報システムのためのセキュリティ評価制度)の認証を取得しています。これにより、政府機関や地方自治体をはじめとする公共セクターに対しても、高い安全性と信頼性を備えたクラウドサービスを提供することが可能になっています。
ISMAPの厳格な基準を満たすことで、ソブリンクラウドに求められるセキュリティ要件を十分に満たし、データ主権の根幹となるデータ保護機能を強化しています。政府の調達基準に適合したクラウドサービスとして、公共性の高い情報システムにも安心して採用いただける環境を整えています。
まとめ
本記事では、経済安全保障の観点から注目を集めているソブリンクラウドについて解説してきました。ソブリンクラウドは、データ主権、システム主権、運用主権を確保し、国家や組織のデジタル資産を外国の影響から守るための重要な枠組みとされています。
さくらインターネットでは、3つの基本的な主権に加え、独自の「技術主権」も含めた4つの主権確保に取り組み、ISMAPの認証も取得して、安全で信頼性の高い国産ソブリンクラウドの提供を目指しています。
今後、デジタル社会の発展とともに、データとシステムの主権確保はますます重要性を増していくでしょう。とくに重要インフラに関わる分野では、ソブリンクラウドの採用が進み、デジタル時代の経済安全保障の要となることが期待されます。
ガバメントクラウドを詳しく知りたい方へ
日本政府が進めている肝いりプロジェクト「ガバメントクラウド」。その戦略を成功に導くために必要な、「本当の意味でのクラウドサービス活用」を実現するにはどうすればいいのか。国内クラウドベンダーの経営視点で考えます。
