データ主権を確保する「ソブリンクラウド」とは?

2023年9月1日掲載

データ主権を確保する「ソブリンクラウド」とは?

セキュリティがより一層重要視されるクラウドですが、近年ソブリンクラウド(Sovereign Cloud)という考え方が話題となっているのはご存知でしょうか。

本稿では、ソブリンクラウドの基本情報について解説します。

目次

ソブリンクラウドとは?

ソブリンクラウドとは、規格として明確に定められているものではありませんが、自国内の事業者が運営し、セキュリティ面での安全性確保に加え、クラウド上のデータが国内に保存・処理されることで、他の国や地域の法令等の影響を受けないクラウドサービスを指します。

主な要件には以下のようなものがあります。

ソブリンクラウドに求められる主な要件

  • データローカリゼーション(データレジデンシ):国内にデータを保存し、国外へのデータ移動を制限することで、データセキュリティと主権を強化します。
  • データ保護:国内のデータ保護法に従ってユーザのデータ保護が確保される必要があります
  • データアクセス制御:データは適切なポリシーに則りアクセス制御ができることが求められます。
  • セキュリティ:物理的なセキュリティやネットワークセキュリティ、アクセス制御、暗号化など、高度なセキュリティ対策が必要です。
  • 法的規制とコンプライアンス:規制を十分に行うためには、自国内の事業者で運営を行うことが求められます。

ソブリンクラウドが確保する3つの主権

このように高い水準の要件を満たす必要があるソブリンクラウドですが、ソブリンクラウド上に データを保存することにより、以下の3つの主権を確保することができるといえます。

  • データ主権:データの所有権や制御権を維持し、外部の第三者による不正アクセスや不正使用から保護されます。
  • セキュリティ主権:物理的なセキュリティ、ネットワークセキュリティ、アクセスコントロール、暗号化などのセキュリティ基準を独自に定め運用できるため、外部からの脅威に対する対策を立てることが出来ます。
  • 法的主権:ソブリンクラウドは特定の国や地域の法律・規制・法的要件によって運用されるため、他国・他地域の法律等の支配権を排除する事が出来ます。

では、なぜこのような主権を担保する必要があるのでしょうか。

クラウドサービス利用におけるリスク

ソブリンクラウドでないクラウドサービスを利用する場合、例えば他国の企業が運営するクラウドサービスを日本国内で利用し、クラウドサービス上のデータを日本国内に保管する場合でも、他国の法令の影響を受ける可能性があります。そのため、お客さまが意図しない場所や人物によってデータ抜き取りが行われるリスクがあるといった懸念があります。

例えば、2018年3月に米国で可決されたクラウド法(Cloud Act)では、米国政府が米国内に本拠地を持つクラウドサービスに対し、データが米国内に存在するか否かにかかわらず、米国政府がデータの開示要求をすることが可能となりました

このように、ソブリンクラウドではないクラウドサービスを利用していると、他国の政府が介入してくる可能性があることが最大のリスクです。

ソブリンクラウドのメリット

ソブリンクラウドであれば、クラウドサービス提供事業者は自国内の企業であり、またクラウドサービス上のデータを自国内に限定して保持しているため、他の国や地域の法令による影響を受けません

つまり、前述の米国のクラウド法(Cloud Act)のような法的規則のもと、データの開示要求を受けるというリスク回避できます。お客さまの意図しないところで他国にデータが抜き取られたり、突然クラウドサービスが停止されたりするといった、クラウド特有のリスクを軽減することができます。

そのため、セキュリティ要件が厳しい公共系や金融業界をはじめとした業界においても、安心してクラウドを利用することができます

これがソブリンクラウドの一番のメリットといえるでしょう。

ソブリンクラウドのメリット

ISMAPとの違いは?

日本国内においてクラウドサービスにまつわる「セキュリティ」というとISMAP(イスマップ)が思いつくのではないでしょうか。

ISMAPは、政府情報システムのためのセキュリティ評価制度のことで、Information system Security Management and Assessment Programの略です。2020年6月に開始されました。

ISMAPでは、政府のクラウドサービスの調達の条件となる基準(1,000項目以上)をあらかじめチェックし、基準をクリアしたサービスをISMAPクラウドサービスリストに認定しています。政府や自治体がクラウドサービスを調達する際に、ISMAP認定サービスの中から調達することで、より安全性の高いクラウドサービスをスピーディに調達することが出来るようになっています。ISMAPの詳細については、ISMAPのWebサイトをご確認ください。

一方、ソブリンクラウドは、前述の通り堅牢なセキュリティ対策によるデータの保護が特長です。各データ主権地域の第三者機関によるセキュリティ監査の認証を取得していることが信頼性を確保する判断基準の1つとなります。日本国内においてはISMAPなどのセキュリティ監査の認証を取得することが挙げられます。

つまり、ISMAPとソブリンクラウドの違いを簡潔にまとめると、  

  • ISMAP:日本政府向けのクラウドセキュリティ基準
  • ソブリンクラウド:他国、他地域の法令等の影響を受けないクラウドという概念

となります。混同してしまいそうですが、上記観点で分けて捉えていただくと理解しやすいです。

さいごに

本稿では、ソブリンクラウドに関する基礎的な部分についてご紹介しました。

当社が提供する国産クラウドであるホワイトクラウド ASPIRE(アスパイア)ソブリンクラウドの考えに沿ったISMAP認定のクラウドサービスです。

次回は、ホワイトクラウド ASPIREがソブリンクラウドである理由について、深掘りしてご紹介していきたいと思います。

関連サービス

ホワイトクラウド ASPIRE

ソフトバンクが提供する国産クラウドで、SLA99.999%を誇る国産クラウドの柔軟な基盤で企業のデジタルトランスフォーメンションをサポートいたします。

おすすめの記事

条件に該当するページがございません