米中対立やウクライナ問題など、地政学的なリスクが顕著になっている。そのような中、各国がリスクを軽減するために、国がデータを保護、統制する規制を施し、技術的な自主性を維持するための権利を主張するケースが増えている。また、グローバルでビジネスを展開する企業には、2016年に発効された欧州のGDPR（一般データ保護規則）への対応も求められる。これらを背景に注目されているのが、経済安全保障の観点から、必要なセキュリティとデータアクセスを実現し、各国の規制や法律などに準拠してユーザーが主権をコントロールできる「ソブリン（sovereign:主権者）クラウド」だ。日本を含む各国の状況を踏まえながら、米IBMの対処法を紹介する。
（取材・文／谷川耕一　　編集／齋藤秀平）
 

日本は議論が始まったばかり

　欧州では、ソブリンクラウドの動きが先行する。例えば、ドイツは、通信事業者のドイツテレコム傘下のSI企業T-Systemsに委託して、国内に閉じて管理し、データも国内リージョンに保存するかたちでソブリンクラウドを提供している。ほかにも、国が主にイニシアティブを取り進めているフランスのようなケースもある。アジアでも、ソブリンクラウドの取り組みが徐々に始まっている。中国では、サイバーセキュリティ法などで政府によるアクセスや中国内でのデータ保管、越境移転の規制などを取り決めている。

　欧州に比べると、米国はあまりソブリンクラウドが意識されていない。そもそも米国では、パブリッククラウドのサービスが米国内に閉じたかたちで提供できる。そのため地政学的リスクは小さく、ことさら力を入れる必要がないのだ。とはいえ、米国政府向けに自国民に限った運用をするなどの対策を施したサービスを展開するパブリッククラウドベンダーはある。
 
　欧州では、各クラウドベンダーは、GDPR対応済みの運用サービスを提供している。サービスメニューにGDPR対応のチェックフラグがあり、それを選択すると、運用担当者が全て欧州圏内在住者となる。IBMも欧州のGDPRセンターを設けており、日本IBMの今野智宏・執行役員テクノロジー事業本部クラウド・プラットフォーム担当は「パブリッククラウドでありながら、欧州圏の人だけで運用するようにしている」と語る。

　クラウドの運用は、グローバルで最適化するのが普通だ。欧州のクラウドデータセンターも、インドや米国などを含む各地の拠点で24時間365日、「フォロー・ザ・サン（太陽を追いかける）」体制で対応する。それがGDPRやソブリンクラウドの要求では、自国民に限った人員での運用となり、自国民だけで24時間365日の運用管理体制を別途つくらなければならない。

　欧州などに比べ、日本ではソブリンクラウドの動きはどうなっているのか。今野執行役員は「顧客企業や国産クラウドベンダーとも話をしているが、正直、まだまだ議論を始めたばかりの状況だ」とし、IBMとしては「議論がどちらに振れても対応できるように準備している」と言う。

「ハイブリッド」で柔軟に対応

　ソブリンクラウドを提供するため、国内にデータセンターを置き、国ごとに運用体制を用意するとなると、グローバルでリソースや運用管理の効率化を図ってきたパブリッククラウドとは違った対応が必要になる。各国にクラウドデータセンター拠点がある場合、それらを用いて工夫すれば、それほど大きなコスト増とはならないというが、国の単位が小さくなると、独自のデータセンターを構えられるかなどが課題となり、コストが上がりかねない。

　ソブリンクラウドは新しいもののように見えるが、運用体制を除けば厳しい規制がある業界などにおける通常の要求の延長と捉えられる。IBMはその領域で多くの実績があり、引き続きそこにしっかりと対応すれば、自ずとソブリンクラウドの要求にも対処できるとみている。

　今野執行役員は「データを手元に置きたい、クラウドでもワークロードを自分たちが把握したいとの要求は、金融機関など規制の厳しい業界では普通にある」とし、どこの誰が運用しているかが最も大事になると説明する。

　ソブリンクラウドを新しいクラウドサービスと捉えるのではなく、ITシステムのソブリン対応と捉えれば、オンプレミスで対応している国や地域もある。今野執行役員は「場合によっては、『Red Hat OpenShift』や『VMware Tanzu』などを用いて、必要なシステムだけをオンプレミスに移して、ハイブリッドクラウドで対応する方法もある」と解説する。

　このように、ハイブリッドクラウドでソブリンクラウドに対応するのは重要なポイントだ。米Amazon Web Services（アマゾン・ウェブ・サービス、AWS）や米Google（グーグル）などのハイパースケーラーは、パブリッククラウド中心でソリューション展開する傾向が強い。一方、IBMや米Oracle（オラクル）は、クラウドに関して後発であることに加え、オンプレミスに多くの既存システムがあることなどから、ハイブリッドクラウドを前提としたソリューションに力を入れてきた。そのため、ソブリンクラウドの要求に対し、より柔軟に応えられる体制がもともとある。
 
　日本IBMの安田智有・IBMクラウドクラウドプラットフォーム第二テクニカル・セールスシニア・アーキテクト部長は「IBMは、顧客側にユーザー権限を全て渡して自由に使ってもらうクラウドサービスも展開している。ハイブリッド前提で、アーキテクチャーはオープンという基本的な発想は、結果的にソブリンクラウドに対応しやすい」と話す。

アプリの主権担保も重要に

　ソブリンクラウドでは、データと運用、ソフトウェアの三つの主権が主な要件となる。階層構造としては、関連の法令を順守し、顧客しかアクセスできないデータ領域を確保する「プライバシー」の考え方が根幹になる。その上に、データ管理のあり方などを示す「レジデンシー」、どの国の人がサポートをはじめとしたサービスを提供できるかなどを定める「ローカリティ」、国または地域のセキュリティ認証への適合などを規定する「ガバナンス」と続く。

　今野執行役員は「ソブリンクラウドや経済安全保障は、この認証を取ればOKというものがあるわけではない」としつつ、「国際標準化機構（ISO）のISO規格や、日本の金融情報システムセンター（FISC）の安全対策基準、政府情報システムのためのセキュリティ評価制度（ISMAP）といったさまざまな認証のうち、これを取ればソブリンクラウドのこの項目を満たすというマッピングのようなものが出てくると考えている」と見通す。

　これらの認証の多くはIaaSやPass、SaaSの部分のチェックとなり、クラウドインフラで動かす顧客のアプリケーションは、別途コンプライアンスやセキュリティについて判断する必要がある。ISMAPだからIaaS部分はOKでも、システム全体ではどうなのか。さらに、アプリケーションに至るまでどのように主権を管理するか。利用者にとっては、それらをどう担保するかが重要になる。

　ソフトウェア・スタックの部分について考えると、フランスでは、国が主導して全てをオープンソースで構成すべきとの方向性がある。ここまでくると、ソブリンクラウドで商用ソフトウェアは使いにくい。これはコストが上がる以上に、ユーザー側の使い勝手に大きく影響を与えるだろう。

　自国民の安全性を守ることと、ユーザーの利便性のバランスをどう取るかも課題となる。地政学的なリスクで特定の製品は使えないといったことが、ウクライナ問題以降、実際に出ている。今後は、利用するソフトウェアがどのような経緯で開発されているかをしっかり把握する必要がありそうだ。

　ソブリンクラウドの要求に応えるには、運用体制を国内に閉じなければならない。これにIBMだけで対応することは難しく、国内のSI企業との協業は欠かせない。ほかのハイパースケーラーのサービスを活用し、顧客のクラウド化に取り組んできたSI企業が、ソブリンクラウドに関してはIBMに相談するケースがあるという。ソブリンクラウドへの対応を円滑に進めるため、今野執行役員は、さまざまなパートナーとオープンに話をしていくとの考えを示す。

顧客主権は得意分野

　IBMは、ソブリンクラウドが話題になる前から、規制の厳しい企業の要求に応えてきた。国内に閉じたかたちで運用でき、顧客が主権を持てるようにするのは、IBM Cloudの得意分野だという。

　ソブリンクラウドに対応する上で、他社にない特徴的な機能の一つとして、鍵管理とクラウド・ハードウェア・セキュリティ・モジュール（HSM）のサービス「Hyper Protect Crypto Service」がある。

　一般的なクラウドの暗号化では、顧客は、クラウドベンダーが提供する鍵管理システムを使い、鍵の管理はベンダーが担う。

　一方、よりセキュアにデータ主権を担保するために、暗号鍵の運用主権を自社で持ちたいとの要求に応えるのが同サービスだ。もともとメインフレームで提供していたが、IBM Cloudでも利用できるようにした。

　この機能を使えば、仮に悪意のある運用者がいても、データにアクセスできないという。さらに安田部長は「データが持ち出されても、鍵がないのでユーザーしか中身を見られない」と付け加える。