フォーム読み込み中
セキュリティがより一層重要視されるクラウドですが、近年ソブリンクラウド(Sovereign Cloud)という考え方が話題となっているのはご存知でしょうか。
本稿では、ソブリンクラウドの基本情報について解説します。
ソブリンクラウドとは、規格として明確に定められているものではありませんが、自国内の事業者が運営し、セキュリティ面での安全性確保に加え、クラウド上のデータが国内に保存・処理されることで、他の国や地域の法令等の影響を受けないクラウドサービスを指します。
主な要件には以下のようなものがあります。
ソブリンクラウドに求められる主な要件
ソブリンクラウドが確保する3つの主権
このように高い水準の要件を満たす必要があるソブリンクラウドですが、ソブリンクラウド上に データを保存することにより、以下の3つの主権を確保することができるといえます。
では、なぜこのような主権を担保する必要があるのでしょうか。
ソブリンクラウドでないクラウドサービスを利用する場合、例えば他国の企業が運営するクラウドサービスを日本国内で利用し、クラウドサービス上のデータを日本国内に保管する場合でも、他国の法令の影響を受ける可能性があります。そのため、お客さまが意図しない場所や人物によってデータ抜き取りが行われるリスクがあるといった懸念があります。
例えば、2018年3月に米国で可決されたクラウド法(Cloud Act)では、米国政府が米国内に本拠地を持つクラウドサービスに対し、データが米国内に存在するか否かにかかわらず、米国政府がデータの開示要求をすることが可能となりました。
このように、ソブリンクラウドではないクラウドサービスを利用していると、他国の政府が介入してくる可能性があることが最大のリスクです。
ソブリンクラウドであれば、クラウドサービス提供事業者は自国内の企業であり、またクラウドサービス上のデータを自国内に限定して保持しているため、他の国や地域の法令による影響を受けません。
つまり、前述の米国のクラウド法(Cloud Act)のような法的規則のもと、データの開示要求を受けるというリスク回避できます。お客さまの意図しないところで他国にデータが抜き取られたり、突然クラウドサービスが停止されたりするといった、クラウド特有のリスクを軽減することができます。
そのため、セキュリティ要件が厳しい公共系や金融業界をはじめとした業界においても、安心してクラウドを利用することができます。
これがソブリンクラウドの一番のメリットといえるでしょう。
日本国内においてクラウドサービスにまつわる「セキュリティ」というとISMAP(イスマップ)が思いつくのではないでしょうか。
ISMAPは、政府情報システムのためのセキュリティ評価制度のことで、Information system Security Management and Assessment Programの略です。2020年6月に開始されました。
ISMAPでは、政府のクラウドサービスの調達の条件となる基準(1,000項目以上)をあらかじめチェックし、基準をクリアしたサービスをISMAPクラウドサービスリストに認定しています。政府や自治体がクラウドサービスを調達する際に、ISMAP認定サービスの中から調達することで、より安全性の高いクラウドサービスをスピーディに調達することが出来るようになっています。ISMAPの詳細については、ISMAPのWebサイトをご確認ください。
一方、ソブリンクラウドは、前述の通り堅牢なセキュリティ対策によるデータの保護が特長です。各データ主権地域の第三者機関によるセキュリティ監査の認証を取得していることが信頼性を確保する判断基準の1つとなります。日本国内においてはISMAPなどのセキュリティ監査の認証を取得することが挙げられます。
つまり、ISMAPとソブリンクラウドの違いを簡潔にまとめると、
となります。混同してしまいそうですが、上記観点で分けて捉えていただくと理解しやすいです。
本稿では、ソブリンクラウドに関する基礎的な部分についてご紹介しました。
当社が提供する国産クラウドであるホワイトクラウド ASPIRE(アスパイア)もソブリンクラウドの考えに沿った、ISMAP認定のクラウドサービスです。
次回は、ホワイトクラウド ASPIREがソブリンクラウドである理由について、深掘りしてご紹介していきたいと思います。
条件に該当するページがございません