要旨

『デジタル主権』という言葉をご存知でしょうか?

クラウドは、現在のビジネスの基盤として無くてはならないものです。
しかし、その基盤は Google Cloud、AWS、Azure、Oracle Cloud、Alibaba Cloud などのいわゆるメガクラウドが主流であり、運営の主体はアメリカや中国に偏っています。

組織がクラウドを活用したいと考えた際に、自身の主権を担保したいという要求は一般的なものです。
保存したデータの管理権限の確保、ベンダーロックインのない OSS の活用、サポート人員の指定など、主権を確保することがビジネスのリスクコントロールの一つになっています。

この記事は、Google Cloud Next ‘23 のセッション『How global leaders are addressing digital sovereignty requirements』のまとめとなります。

筆者の認識誤りの可能性もあるため、正しくは下記のビデオをご参照ください。

How global leaders are addressing digital sovereignty requirements – Youtube

イベントに現地参加しているメンバーのブログはこちらをご確認ください。
Day 0 / Day 1 / Day 2 / 最終日

講演内容の感想

そもそもデジタル主権とは何か?

デジタル主権は難しい、なぜなら国、業界、組織によって異なる定義があるから。という話が最初にありました。
私自身も、同様の課題を認識しています。

『国レベルの主権』を見てみます。
アメリカでは『FedRAMP』として連邦政府がクラウド製品の認証・認可等を定めた基準があります。
欧州では、欧州に合わせたデジタル主権の制御があります。
日本においてはデジタル庁が、官公庁や地方自治体が利用するクラウドとして、ガバメントクラウドを選定しています。

参考
Google Cloud での FedRAMP コンプライアンス
New data sovereignty controls for EU customers
ガバメントクラウド

『業界レベルの主権』を見てみます。
金融業界には FISC や PCI DSS などの基準が存在します。
また ISMS なども、組織に対して認証を行っています。

業界レベルの基準は、主に組織に対する基準であり、クラウドに対する定めではないという点に注意が必要です。

『組織レベルの主権』は、個々の組織が定めるもので、セキュリティ要件などで定めるものです。
そのため、組織レベルをみると会社の数だけ要件があると考えることができます。

主権の確保を考えたときに、これらの要求に対して最適な主権を確保することが『デジタル主権の確保』となります。

すべての要求に答えることは現実的に難しいため、『一定の基準に従い主権を確保する』というのが Google Cloud のアプローチとなります。

日本の取り組み

日本のガバメントクラウドは、デジタル庁が政府の機関や自治体が利用するクラウドとして要件を定めたものです。
これは、満たすべき機能・非機能要件を定め、デジタル庁が選定を行ったものですが、データ主権を満たす要件は記載されていないように見えます。
2023年 5月 18日から 6月 16日に行われた、『ガバメントクラウドの技術要件に関わる市場調査』において、主な意見として『ソブリンクラウドの検討』が上げられており、今後の取り組みとなっております。

参考
ガバメントクラウドの技術要件に係る市場調査結果の公表について (PDF 文書)

諸外国では様々なレベルで、データ主権の確保に向けた取り組みが進んでいます。
Google Cloud を含めたクラウドベンダーは、各国のデジタル主権を担保するための仕組みを構築し、提供を始めている状況にあります。

ガバメントクラウドの技術要件に関わる市場調査で意見にあるように、日本ではこれからデジタル主権への取り組みが開始されると考えられます。
そのため、顧客や、パートナー企業にとって『デジタル主権』は考えるに値する課題であると考えます。

デジタル主権を確保するソリューションとして、Google Cloud は Assured Workloads を用意しています。
本講演内で発表された、 Assured Workloads for Japan については下記の記事を参照してください。

参考
日本での提供が発表された、Google Cloud Assured Workloads を試してみる

講演内容

01. What is digital sovereignty? / デジタル主権とはなにか?

デジタル主権という言葉を複雑にしているのは、一人ひとりに対して『あなたの組織や国にとってのデジタル主権はなにか?』と問いかけることができて、その答えは千差万別であるということです。

その中で、デジタル主権のコンセンサスを定義すると、『国や業界、組織が、その管轄内でデータ・ソフトウェア・運用を完全に制御できる能力である』とされていました。

顧客は、クラウドの利点 (セキュリティ、持続可能性、スケールなど) と、国内のコンプライアンスへの準拠や主権の確保といったニーズのバランスを取る必要があるとのことです。

なぜ『データ主権』が非常に重要な要素となるのか?
顧客の有する多くのデータがオンプレミスからクラウドに移動するため、データがクラウド上で安全に保護されるように適切な規制を行いたいというニーズが有るためとのことでした。

資料の中では、クラウドサービスに必要な信頼として以下を定めていました。

  • セキュリティとコントロール
  • 経済的な管理
  • 地理的な管理

『セキュリティとコントロール』では、欧州では GDPR を始め、フランスやドイツで規制の動きがあるとのことです。
『経済的な管理』では、クラウドの管理に現地の企業を参加させたいという意図があるとのことです。
その他にも、経済の発展や、ベンダーロックインの回避などが要因とのことです。
『地理的な管理』では、たとえ地政学的な危機があっても、組織は機密性の高いデータにアクセスしたいと考えているとのことです。

02. Google solutions / Google のソリューション

Google は『デジタル主権』という概念が非常に巨大なものと認識し、デジタル主権を理解するために 3つの主要な要素に絞り込みを行ったとのことです。

  • データ主権
  • オペレーション主権
  • ソフトウェア主権

『データ主権』とは、『組織としていつでもデータを完全に制御できる能力』であるとのことです。
データの保存場所を管理でき、暗号化操作を完全に制御できる必要があると定めていました。

『オペレーション主権』とは、『データやクラウドが実際にどのように運用されるかを完全に制御する能力』であるとのことです。
サポートを提供する人員として、ローカルで信頼できる人を指定できる必要があるとのことです。

『ソフトウェア主権』は『生存可能性』と呼ばれ、外国にデータ通信を遮断されたような状況であっても処理を継続させる必要があるとのことです。

Google はこれらのために 3 つの Sovereign ソリューションを用意しています。

  • Sovereign Controls (GA)
    • Google Managed (Assured Workloads) と Partner Managed を併用
    • クラウド基盤は Google Cloud 上で Assured Workloads を利用し、パートナー企業が管理を行う
  • Hosted Cloud (GA)
    • Google Managed と Partner Managed を併用
    • クラウド基盤は Google Cloud を利用し、パートナー企業が管理を行う
  • Supervised Cloud (Coming soon)
    • Partner Managed で提供
    • Google Cloud の基盤を、パートナー企業が提供する

これは Google Cloud 上に構築されており、これらの主要な目的はパフォーマンスの維持と、特定の地域データを保持するためデータの所在地管理を行うこととのことです。

重要なのは、データの所在地だけでなく、ユーザーによる暗号鍵の管理や、Google Cloud 外部での鍵管理を実現することが必要とのことです。
また Google Cloud では一歩進んでリクエストの度にアクセスを承認・拒否が出来るとのことです。

これらを実現するために、日本向けに Assured Workloads for Japan がリリース予定であり、Public Preview が発表されました。

次に、ホスト型クラウドソリューションの話がありました。
『Google Distributed Cloud』として、政府の最高レベルのセキュリティや、インターネットと完全に遮断されたような状況でも運用可能なように、Google のインフラをお客様のエッジまで拡張したものとのことです。

検討中のソリューションとして『Supervised Cloud』の話がありました。
これは、フランスやドイツなどの非常に厳しい要件が求められる環境向けの機能であり、パートナー向けに Google がクラウドサービススタックを提供し、他の Google Cloud からは完全に切り離されているとのことです。
パートナーが運営する、完全に独立したクラウドとして運用できるとのことです。

03. Discussion with S3NS / S3NS とのディスカッション

Cyprien Falque, CEO & Director General、 S3NS との対談がありました。

Google と Thales や S3NS の関係や、フランス市場におけるデジタル主権のあり方などについて対談が行われました。

データ主権という分野について先進国であるフランスの状況なども聞けるため、Youtube で実際に見ていただくのが良いと考えます。

対談の動画はこちらを参照してください。
Discussion with S3NS

04. Wrap up and Resources / まとめとリソース

まとめとして、デジタル主権を確保するには以下のようなことが大切とまとめられていました。

  1. データ主権を確保すべきワークロードを分類すること
  2. ビジネスを成長させたい国を考えること
  3. 各国の政府がどのような取り組みを行うか戦略的に考えること
  4. 実際にリスク対策のソリューションを考えること

最後に、データ主権を計画立てられるようになるための Digital Sovereignty Explorer の紹介がありました。

参考
Digital Sovereignty Explorer

おわりに

講演をうけて、組織にとって主権の確保がクラウドを利用する上での課題と認識しました。

今までは、いかにクラウドの機能を利用してセキュリティを担保し、外部からの攻撃から自身のデータを守るか? という考えで保護を行っていました。
これは、オンプレミスのときの境界防御を、クラウド環境でも同様に実施していると捉えることができます。

データ主権を考えることは、自身が利用しているクラウド自身をコントロールすることだと理解しました。
外部からの攻撃に備えるための取り組みではなく、クラウドをこれからも安心して利用できるように、その基盤を盤石にする取り組みです。

そのため、『セキュリティ対策』と『デジタル主権』は、どちらかだけを実施するものではなく、双方の側面から保護を行うものと考えます。

クラウド利用が成熟し、外部からの攻撃に対して堅牢になった組織は、デジタル主権についても検討してみるのはいかがでしょうか?

以上