ガバメントクラウドの今後の動向予測と、主権にまつわる諸外国の戦略
昨今、日本でも経済安全保障に関する動きが活発化しています。情報システムを提供するプラットフォームであるクラウドにおいても、議論が進んでいる印象です。以下はデジタル庁が 2021 年末に発表した新重点計画になります。
こちらの PDF 版の P.14 に以下の記述が書かれています。つまり、クラウドバイデフォルトを推進する中で、情報の機密性に応じてハイブリッドクラウドの利用推進をしていくということが書かれています。
サイバーセキュリティの確保
・R 4年度以降、デジタル庁は NISC と連携し、デジタル庁整備・運用システム等の情報システム整備方針への適合性を継続的に確認。政府が取り扱う情報の機密性に応じたハイブリッドクラウドの利用促進。」
また、これらに併せて発表された経済産業省の「デジタル社会の実現について」という資料の中にも同様の記載があります。こちらのほうがイメージが描かれているので、わかりやすいかもしれません。
新重点計画に置いて、情報の機密性等に応じて、ハイブリッドクラウド(困難な場合にはプライベートクラウドのみ)の利用の推進
そして、4 月 26 日に自民党のデジタル社会推進本部から「デジタルニッポン 2022」という提言書が公開されました。こちらからもいくつかクラウド利用についての言及がなされていますので抜粋します。
一方、米国「CLOUDACT 法」の影響、ベンダーロックインの回避、国内産業育成の観点から、欧州のようにパブリッククラウドではなく、国産プライベートクラウドを優先する動きもみられる。岸田内閣では、経済安全保障担当大臣が新設されたこともあり、政府におけるクラウド活用に関して以下を提言する。
米国の動向及びヨーロッパの動きを見て、政府のクラウドの扱いを見直していこうということを言っています。それが経済安全保障の文脈で語られていることもわかります。CLOUD ACT 法については、後ほど触れたいと思いますが、少なくともヨーロッパの各国が、扱うデータやそのシステムの種別に応じて米国のクラウドプロバイダーに情報システムを委ねるということに懸念を示しているということを踏まえての提言と言って良いのではないかと思います。
政府におけるクラウド活用に際しては、機密性1情報及び機密性2情報を扱う場合はパブリッククラウドを、機密性3情報及び機密性3に準じる情報(機密性 2 の内、政府や国民に関わる機微なデータ)を扱う場合は「セキュリティを強化したクラウド」とするなど、情報の機密性に応じた対応とすべき
こちらは今までの政府が発表した方針より具体的です。「情報の機密性等に応じて…」という先の発表よりも明確に使い分けが提言されています。こちらも日本政府の情報の取扱いに関する機密性のレベルについて、後ほど触れたいと思います。
機密性 1 及び機密性 2:パブリッククラウド
機密性 3 及び機密性 3 に準じる情報(機密性 2 のうち、政府・国民の機微データ):セキュリティを強化したクラウド
クラウドサービスを経済安全保障推進法上の特定重要物資に指定し国内産業育成を積極的に図る形で、技術開発を進めつつ採用すべき
マルチクラウド構成とし、経済安全保障の観点から、セキュリティを強化したクラウド、クラウド間接続部分(クラウドコネクティビティ)やネットワーク構成機器の安全性(サプライチェーン安全性)監視などには、国産サービスを積極的に採用すること
経済安全保障は IT だけに限らない観点で考える必要があるものですが、クラウドサービスをその位置づけとして考えていくと明言されています。また、先に挙げられていた「セキュリティを強化したクラウド」及びそれらを相互接続するネットワーク観点でも、経済安全保障を踏まえると国産サービスを採用することと明確に謳われています。
調達に際しては、スタートアップや地場企業等の新しいアイデアや実装がスピーディーに取り込めるように、民間のアーキテクチャとの互換性を意識し、公平性のある仕様とすることするとともに、複数企業による提案を可能とすべき
この記述に関する真意は図りかねていますが、できるだけどんなクラウドでも参入できるようにすべきと言っているのではないかと感じました。現在のガバメントクラウドの条件ですと、IaaS/PaaS/SaaS が全て揃っているクラウドプロバイダーでないとガバメントクラウドとして認められないため、スタートアップ企業や特定の分野に強い SaaS 企業を利用することが難しい状態であると言えます。そういった課題に対して言及されているのではないかと思いました。
以上のように、利用可能なサービスや価格の面では、米国のクラウドプロバイダーである AWS、Microsoft、Google が選択されるのは誰しもが納得できるところだと思うのですが、政府の経済安全保障の観点では扱うデータやシステムに応じてクラウドを選択できるようにしていこうという議論が進んでいるというように見えます。日本と同じような立場にあるヨーロッパの国々の考え方を踏まえて、改めて見直そうという動きだと思います。
また、以下のように「デジタル産業の強化」という記述も提言に含まれています。
(デジタル産業の強化)
デジタル産業の育成は、単にデジタル政策としてだけでなく、サプライチェーンの安全確保をはじめ経済安全保障の観点からも非常に重要なので、以下を提言する。
① 環境性能の高いデータセンターを国内に最適配置してそれらを連携させ、分散クラウド技術を国産化、高度化し、国内ではメガクラウドに匹敵する性能を発揮できる国産クラウドを育成するべき
② 令和3年度より経済産業省が「半導体・デジタル産業戦略」の一環として進める「クオリティクラウド」に関し、機微情報(機密性 3)を適切に管理可能等の要件を具体化しその整備を進めるべき
③「クオリティクラウド」は経済安全保障の観点から、国内データセンターにおける国産クラウド環境で実装し、他のクラウド環境との接続を運営管理するクラウドコネクティビティ機能も国産で実装すること
④ 経済安全保障の観点から、「クオリティクラウド」のネットワーク構成機器の安全性(サプライチェーン安全性)監視には、国産を採用すること
ちなみにここで言われている「クオリティクラウド」について、もう少し調査しておきましょう。クオリティクラウドを語るには以下の経済産業省の文書が有用です。
こちらの図にあるように、様々な情報システムの要件に合わせて、多様なクラウド選択肢を確保して、相互に接続させていこうという概念です。その中にはメガクラウドも含まれますし、エッジクラウドや業界クラウドといった様々なタイプのクラウドが包含されています。現在の政府のガバメントクラウドは、どちらかというと非常に強いクラウドプロバイダーに限定されていることを踏まえると、真逆の方針が政府から提示されているように見えます。
そもそも、なぜこういったことが提唱されているかについては、このスライドよりも前のスライドに答えがあります。主に、デジタル産業の育成とサイバーセキュリティ・データの安全性が懸念されていると言えます。
前段が長くなってしまいましたが、なぜ日本でこのような議論が進んでいるのか、もう少し海外の動向も含めて整理していきたいと思います。
海外の事例
まず最初にいくつかヨーロッパでの米国クラウドサービスの利用が懸念されている例について紹介させていただきます。
ストックホルム市での Microsoft365 の利用停止
2022 年 1 月、ストックホルム市は M365 の利用を停止しました。理由は大きく分けて 3 つです。
米国クラウドサービスプロバイダは機密性の高い個人データの保護について、十分な保証を提供できない
会議ツールに関する情報セキュリティの観点
サービスの提供条件が確認できないため、契約はいつでも Microsoft が勝手に変えることができることになり、利用者としては何も保証されない
これらの判断になっている 2 つの事象について紹介します。
1 つ目のスノーデン事件の詳細は以下の URL からご覧いただければと思いますが、要するにテロ対策という名目により、米国政府によるグーグルやアップル、フェイスブック、ヤフーなど大手ネット企業が持つデータにアクセスしていたことが公になったということになります。米国以外の国々としては、このような活動をされていることにより、米国企業に預けたデータの主権が守られないのではないかと不安視しています。
2 つ目は、Shrems II という欧州司法裁判所による判決になります。以下の URL に経緯が詳しく載っていますので、ご興味ある方は見てみてください。
元々は 1 つ目のスノーデン事件を契機に、ヨーロッパと米国間で結ばれていた「セーフハーバー協定」について、Facebook に対して訴訟が起こされたことに対しての判決となります。この司法判断を受けて、米国と EU はプライバシーフィールドという枠組みの内容を締結しました。しかしながら、2020 年 7 月 23 日の欧州司法裁判所の判決により、プライバシーフィールド自体も無効とされてしまい、EU から米国への個人データの移転は他の移転手段である SCC(Standard Contractual Clauses)に基づき処理される必要があるということになりました。しかしながら、SCC に基づく移転だとしてもそれが有効か否かについては、移転の状況措置によるとしていて、その条件がまだ公開されていないため、今なにかできることがない不透明な状況と言えます。
このストックホルム市だけでなく、ヨーロッパ全体がこのような不確定な状況に陥っているため、データの移転に関する動向が定められない状況にあると言えます。
そもそもスウェーデン政府としてはこのような状況下では、公共サービスにおいては機密情報を処理するためにスウェーデン以外のクラウドサービスを使用すべきではないと提唱しています。
ロシア-ウクライナ情勢におけるクラウドサービスの提供停止
昨今のロシア-ウクライナ情勢において、クラウドサービス事業者は経済制裁の一環としてロシアへのクラウドサービスの提供が見直されています。
多くのクラウドベンダーがロシアにはリージョンを配置していなかったこともありますが、SAP はロシアでのクラウドサービス自体を停止するという判断までされています。SAP といえば、企業の基幹システムを動かしているケースも多いでしょうから、停止されることによる影響は甚大なものになるでしょう。
米国の動向
今までヨーロッパを中心に動向を整理してきましたが、米国ではこのような懸念をそもそも抱いているのでしょうか。例えば、運営の管理者という観点では、AWS が提供している AWS GovCloud は、米国在住の米国市民である従業員により運用される必要があると定義されています。こういった運営の主権を自国の管理者に限定することで保つような建て付けにしているということです。
また、米国防総省では政府のソリューションを調達する際に、オープンソースソフトウェアを優先するように覚書を公表しています。つまり、ソフトウェアにおいて海外製品にできるだけ依存しないようにしていこうという意図によるものだと思います。もちろんオープンソースソフトウェアを利用する上で、ソフトウェアのサプライチェーンを注視しなければならないなど、様々な考慮点は存在するものの、それよりもソフトウェアの主権を保つことを優先していることの現れかと思います。
このように、多くのクラウドサービスやソフトウェアを提供する立場にある米国ですら、他国に依存して影響を及ぼされないためにどうするかについて日々検討されている印象があります。つまり、これらの問題はヨーロッパだけでなく、米国も日本も再検討されるべき状況にあることは間違いないと言えるでしょう。
米国 Cloud Act 法
また、よく取り沙汰されるのは、米国政府が制定した「CLOUD Act 法」です。CLOUD Act とは、「Clarifying Lawful Overseas Use of Data Act」の略です。
こちらにより、米国政府は米国内に本籍がある企業に対して、米国外に保存されているデータだとしてもデータの開示を要求することが可能となっています。つまり、米国のクラウドサービスが日本法に則り、日本国内にデータセンターを配置して運営していたとしても、このようなリスクには晒されているという状態ということです。
これらに対して、米国クラウドサービス事業者も以下のような見解が示されていますが、これらに対して不安視する声も少なくありません。しかしながら、このような起きてみないとわからないことに対する事前準備は難しいものがあります。
・他国の現地法より優先はしない
・そもそも異議を申し立てる権利がある
・開示要求がそもそも少ない
こういった今までの経緯を踏まえた上で、どのようにしていくべきかについて議論がなされているわけですが、どのような整理がされているのかについては次からの項目で紹介していきます。
主権
ここまで整理してきたように、各国は自らの「主権」をどのように扱うかについて検討及び施策を講じてきています。そもそも主権をどのように考えるべきかをヨーロッパの例に基づいて紹介したいと思います。
ヨーロッパでは 3 つのタイプの主権を考える必要があると言われています。
・データ主権
・ソフトウェア主権
・運営主権
データ主権
1 つ例を挙げて考えてみます。日本の防衛省がとあるクラウドサービス事業者上にシステムを構築していたとします。そのデータは暗号化されて、そのクラウドサービス事業者からは見ることができないようになっているはずです。
では、防衛省が何らかのシステムを一斉に構築して課金額が大幅に急上昇したとしましょう。その際にデータの中身自体は見られないものの、何かしら準備しているかもしれないといったメタ情報は、事業者側から見ることができるわけです。また、データの中身を見ることはできませんが、データ自体へのアクセスを制限したりすることは可能です。このあたりは、ロシア-ウクライナ情勢でも実際にあったとおり、国の運営に関わるシステムや機密データを利用できなくさせるような対処をされる可能性は否定できません。
このようなことをデータ主権と呼び、主権の 1 つとして考慮すべきとされています。
ソフトウェア主権
こちらはまさに米国防総省がオープンソースソフトウェアを優先するとしたことがそれに当たります。ソフトウェアを海外に依存することで、短期的に影響は少ないものの、長期的に影響が出てくることになります。
例えば、Windows Update を止められても、すぐに PC は動かなくはなりません。中長期的にセキュリティパッチが当たらないなどのリスクは出てきますが、すぐにシステムが停止するということにはなりません。また、新たにソフトウェアを購入することはできなくても、今まで動いていたシステムをこれまで通り稼働させておくことは可能なわけです。
そのため、オープンソースソフトウェアや国内で開発されたソフトウェアなどの特定の国に依存しないようなやり方に変えていくことで中長期的にもリスクを減らしていこうものになります。このあたりの議論となると、ハードウェアも OS も全部海外製のものを使っているのだからという話になりますが、データ主権やこの後お話しする運営主権のように即時影響が出やすいものに比べると、ここまで考慮すべきかは議論の余地があります。そのため、米国防総省もあくまで優先するといった表現になっているものと思われます。
運営主権
最後が、運営主権です。主にクラウドサービスに当てはまることになるかと思いますが、先程のロシアへの経済制裁のように、クラウドサービスへのアクセスを停止されてしまうと、システムが即時動作しなくなってしまいます。米国の AWS GovCloud で示されているように、管理者が自国民でいなければならないということからも、非常に緊急性が高いため、重要視されている項目なのではないかと思います。自国の管理者でも起きるときは起きるということも言えるわけですが、こういったリスクを事前に排除すべきという考え方のアプローチなのだと思います。
政治的課題
3 つの主権についてまとめさせていただきましたが、こちらは政治的課題と密接に絡んでいます。Cloud Act 法があるから主権を保つようにすべきだという意見に対して、クラウドサービス事業者は異議申し立てを言える権利があるんだという反論もあるでしょうし、いやいやロシアへの経済制裁を見ていたらそんなのする暇もなくクラウドサービスの提供をやめているじゃないかというさらなる反論もあるでしょう。それに対しても、日本と米国は同盟が結ばれているので戦争になることはない、日本に米軍基地があるのだからそれ以前の問題だといった反対意見もあるでしょう。
このようにかなり政治的な要素が絡んでしまうことになり、1 つの答えというものにたどり着けないものであると考えています。しかしながら、ここまで整理してきた話を考慮して日本政府としてどのように取り組むべきかは決めることが可能です。同盟国としてこれらを想定しないので、米国に依存していくことも厭わないと言えるのか、これらを想定した上で、全部ではないにせよシステム種別を加味して主権を考えていく必要があると判断するのか。
現在は、最初にもご紹介したような議論の波が起きており、経済安全保障の文脈で後者の動きが活発化していると思いますが、次からは、実際にこれらを踏まえた上でヨーロッパ各国がどのように対応しようとしているか、既に対応しているかについて紹介させていただきたいと思います。
各国の主権にまつわる動向
ここからはいくつかの事例を紹介していきたいと思います。
エストニア
政府としての IT の先進性がよく取り上げられるエストニアでは、デジタル継続性を重要視しています。というのもエストニアの歴史的背景が影響しています。他国からサイバー攻撃を受けた際、もしくは国内にある IT インフラの稼働が脅かされた場合に備えて、政府基幹データを国外にバックアップとして持ち、すぐにシステムを再稼働できるようにするような構想を「データ大使館」として整備しました。具体的にはルクセンブルクのデータセンターに構築しました。2017 年のタイミングでは、「裁判記録、土地登記、年金保険登録、課税対象社登録、身分証明書登録等」のデータが対象となっているようです。Microsoft などのクラウドサービス利用も検討に挙がったが、データとシステムの制御の維持が難しいと判断して、ルクセンブルクと覚書を交わして、バックアップサイトの構築に至ったとのことです。
イギリス・オーストラリア
gov.uk という有名な公共に関する調達の仕組みを用いて、調達する側がシステムとデータの特性を踏まえたクラウドサービスの調達をできるような仕組みがマーケットプレイスとして用意されています。
必要なクラウドやそれにまつわるソフトウェアの調達をする際に、そのマーケットプレイスから特性にあったサービスにたどり着けるようになっています。例えば、どのクラウドで利用できるものなのかを、パブリッククラウド、プライベートクラウド、コミュニティクラウド、ハイブリッドクラウドからフィルターして、データの置き場として正しいものを調達者が選択します。また、データの配置場所及び処理される場所についても、イギリス国内なのか、EEA(European Economic Area)というヨーロッパ経済圏内なのか、米国とのプライバシーフィールドの範囲内なのかも、調達者側が選択します。さらに、接続可能な公共専用閉域網(日本で言う LGWAN や SINET など)や、管理者の人材スクリーニングへの準拠なども含めて、選択して調達ができるようになっています。
このようにイギリスでは、IaaS/PaaS/SaaS を組み合わせて IT のビルディングブロックを調達者側で判断して調達するような仕組みを整えています。これらは CISPE と言われる「Cloud Infrastructure Services Providers in Europe」と言われるクラウド調達の行動規範に基づいて構成されているものと思います。以下は大変長文ですが、興味のある方は御覧ください。
日本語訳:https://cispe.cloud/website_cispe/wp-content/uploads/2020/07/CISPE-Buying-Cloud-Services-JP.pdf
そもそもEU としては、今後のクラウド市場が開かれ、競争力を持ち、閉鎖的にならないように尽力していかないといけないという背景から、このようなものが制定されています。政府、公的機関、企業が独自システムを構築し、数十億人の市民向けの重要 サービスの提供を実現するために不可欠な「IT のビルディングブロック」を提供し、運用するためのものになります。コンセプトとしては、IaaS/PaaS/SaaS を別々に要件ごとに選定して個別に選べるようにするといったことや、クラウドサービス RFP の適格要件は必須項目および最低基準とすべきであり、いわゆる「nice to have (あるとうれしい)」な基準を含めるべきではなく、フレームワーク契約のためのベースラインを超える追加的な基準を含めると、一部のベンダーが入札に参加できなくなり、 結果的に調達者にとって選択肢が減ることになるといったことまで言及されています。
現在の日本のガバメントクラウドの場合は、IaaS/PaaS/SaaS を全て持っているクラウドプロバイダーのみが選定されることとなっていますが、それとは異なり、EU ではそれぞれを適切に選択していくことが必要という判断をしているようです。先程の gov.uk で紹介したとおり、イギリスでは、データやシステムの特性に応じて調達者がそれに合ったクラウドを選択するようになっており、まさにこの CISPE に準拠されたものになっていると感じます。さらにイギリスでは、自国の企業がクラウドサービスを運営することで、こういった主権を維持するというクラウドの選択肢を設けています。
その代表的な企業が UKCloud です。元々、主権を意識したスタートアップとして 2011 年に立ち上がったクラウドプロバイダーです。つまりもう既に 10 年以上前からこういったことが求められるだろうと考えて取り組まれてきているということは驚きです。メガクラウドではないことから、一見クラウドサービスとしての機能には劣るところがあるのかなと思われがちですが、以下のような機能を備えています。
100km 離れた 2 つのリージョンで構成されている
それぞれのリージョンは 2 つのデータセンターを利用していて、合計 4 つのデータセンターで構成されている
Cross Domain Security Zone を使用して、外部公開する必要があるデータかによってシステムデザインを選択できる
公共閉域網に接続するかについてもデータの特性に合わせて選択することができる
S3 及び EMC Native API、CIFS/SMB といったクラウドストレージ機能も提供
VMware,Microsoft,RedHat によって構成されていて、Edge/Private/Public といった様々なクラウド展開に対応
もちろん、gov.uk のマーケットプレイスの一覧にも掲載されています。特徴的なのは、扱うデータの種別に応じてクラウドのアーキテクチャデザインを選択できるようになっています。日本と同様にイギリスでは情報の機密レベルが「Official」「Secret」「Top Secret」と分けられているのですが、そのレベルごとに適切なアーキテクチャが定義されています。Official レベルでは、インターネットにも接続できるようになっていますし、上位の機密レベルでは公共専用閉域網だけへの接続に限定されたり、最上位では専用線しか許可されていなかったりと、扱うデータの特性に応じたアーキテクチャを提供しています。ここには詳細がありませんが、ヘルスケア及び国防系については、さらに別のサービスとして定義されているところは興味深いです。
このようにメガクラウドに代表されるようなスケールや柔軟性、機能の充実性には及ばないものの、主権を維持するためのクラウドの高度化に取り組んだサービスを提供することで、システムによってはこういったクラウドサービスが選択できるようになっているということです。このような動きはイギリスだけでなく、オーストラリアでも起きています。
オーストラリアでは「AUCloud」という同様のクラウドサービスが立てつけられており、こちらもオーストラリア政府が定義する機密性レベルに合わせたクラウドサービスの提供をおこなっています。オーストラリアの場合は機密性レベルが 6 つに分かれているのですが、提供しているサービス種別は 2 つになります。片方は海外からもオーストラリア政府からもアクセスが可能ですが、上位のクラウドサービスはオーストラリア国内からのアクセスしか許さないといった仕組みをとっています。また、クラウドサービスの高度化は更に進んでおり、以下のようなサービスを提供しています。
Desktop as a Service
MDM
Compute as a Service (Container as a Service | Virtual Machine as a Service)
Storage as a Service (S3 互換オブジェクトストレージ)
Disaster Recovery as a Service
Backup as a Service
M365 Backup as a Service
SOC as a Service
このように各国の主権を維持するために自国の企業で運営されるクラウドサービスのことは、「ソブリン(主権)クラウド」と呼ばれ、ガートナーでも 2022 年にクラウド関連で注目したいトレンドとして挙げられている概念となります。
ドイツ・フランス
「ソブリンクラウド」の実現手法は多岐に渡ります。米国が運営するメガクラウドプロバイダーが全く関係ないわけではありません。ドイツとフランスの事例を見てみましょう。ドイツの T-Systems という会社と Google Cloud でソブリンクラウドを提供することになっています。こうしたヨーロッパでの動向を受けてのものだと思われますが、パブリッククラウドの機能やスケール性を実現しながら主権を維持したいという要望に応えるための取り組みだと思います。つまり、Google Cloud のテクノロジーを提供してもらいながら、運営の主体は T-Systems であるというものになります。最も即時性の高い運営主権について自国に企業で賄うというアプローチです。ソフトウェアの主権については引き続きリスクがあるわけですが、中長期的なものであり、その観点ではパブリッククラウドのメリットのほうが大きいと判断したのでしょうか。
これらは公共分野に提供されるだけでなく、ヘルスケアやドイツの重要産業である自動車産業について適用されるべきものだと定義されています。このように有事の際に主権を維持すべき産業を定義して、そのためのクラウドとして建てつけられていることが特徴です。このような取り組みについては、Google Cloud としても推進していく旨が以下のように表明されています。まさに先に述べた「データ主権」「運用主権」「ソフトウェア主権」を重要視していることが、メガクラウドの一端を担う Google Cloud からも言及されていることが印象的です。
また、同様の仕組みがフランスでも実施されています。Thalesという会社とGoogle Cloudの共同プロジェクトという形で提供されています。暗号化にまつわる実現方法を取っているので、ドイツの場合と同様のものを提供するようなフレームワークをGoogle Cloudとして販売アセットとして準備されているのかもしれません。
さらにフランスでは、Capgemini という会社と Orange という会社が新しいクラウド会社を設立しています。こちらは、Microsoft の Azure とのプロジェクトとなりますが、ドイツの例と同様にフランス企業が運営するパブリッククラウドサービスになります。グローバルの Azure インフラとは切り離されて運営され、地方自治体・公的機関・病院といった分野に対して提供されるサービスとなります。
このように、自らソフトウェアを使ってソブリンクラウドを提供する動きもあれば、メガクラウドプロバイダーのクラウドセットを持ってソブリンクラウドを運営するというパターンもありますが、いずれにせよこのような主権を維持するためのサービスが活況です。
ヨーロッパにおける GAIA-X
しかしながら、全てのデータやシステムをソブリンクラウドに閉じ込めることが正解だと考えているかというと、そうではありません。このような主権を維持したいデータは閉じ込めるだけでは意味がないとも考えていて、どうやってパブリッククラウドサービスを利活用してデータの価値を出すかについて忘れているわけではありません。GAIA-X という様々なクラウドサービスのデータ交換を行うためのプラットフォームがそれに当たります。詳細は以下をご覧ください。
GAIA-Xとは、このようなクラウド間のデータの相互運用性を実現するための仕組みになります。クラウド間でデータをやり取りする際の取り決めをすることで、ソブリンクラウドとそれ以外のクラウドサービスとのデータ連携を容易にします。ヨーロッパでは、ソブリンクラウド単体での取り組みではなく、それらをどのように連携するかまでがセットで考えられているわけです。このようにヨーロッパでは非常によく考えられて、主権に関する課題について検討し続けているのです。
イスラエル
では全てがソブリンクラウドの考え方に倣っているかというと、イスラエルでは異なるアプローチが取られています。以下の記事では、イスラエルの国防総省がパブリッククラウド移行を決めたことが述べられています。
AWS と Google Cloud がパブリッククラウドベンダーとして選定されて進められていることがわかります。このように各国によって主権に関する考え方が異なることも同時に明らかです。これらはそれぞれの国々の IT 産業の熟成度合いなどにも依るところがあるのかもしれません。もしかしたらイスラエルは自国のクラウドサービスがそんなに育っていなく、ソブリンクラウドのようなことを実現しようとした場合に、難しいと判断したのかもしれません。もしそうであればパブリッククラウドサービスを使ってしまったほうがメリットが大きいと判断したのかもしれません。
その他の事例
最後に私が知る限りの他の事例を紹介します。
以下はイタリアにおけるクラウド戦略です。こちらでもデータをきちんと分類して臨むように書かれています。イタリアではクラウドハブのようなものを構築していこうということになっているようです(情報が少ないため、まだまだ詳細はこれから追っていく必要があります)
データの観点から、政府は「非EU諸国のプロバイダーによるクラウドサービスの運用は、それらの国で施行されている規制のために追加のリスクをもたらす」と指摘しています。さらに、EU以外の国、特に中国と米国から、通信事業者からの潜在的に機密性の高い戦略的データへのアクセスを要求するリスクがあることを明記しています。したがって、パブリッククラウドを介して非EUプロバイダーが保持できるデータの種類を分類する必要があります。「代わりに、特定のセキュリティ要件を満たすクラウドプロバイダーがどのデータを管理する必要があるかによって、 EU以外の政府もデータにアクセスできる可能性があります。」
以下は、モナコ公国でソブリンクラウドを立ち上げたという記事になります。ヨーロッパで初の取り組みとなる、国が運営するソブリンクラウド(=モナコクラウド)を発表しました。モナコクラウドのインフラはすべてモナコ公国で運営されており、モナコの法律に準拠しています。既存のモナコ内の企業だけでなく、モナコ内に企業を設立したい外国人投資家に対する付加価値をアピールすることが狙いと言われています。
以下は、サウジアラビアで STC(Saudi Telecom Company)という企業が、ソブリンクラウドを立ち上げるということがニュースになっています。これらはやはり公共全体におけるヘルスケアや教育などに更にフォーカスしていくということが述べられています。
※2022/05/19追記
エストニアについての情報をいただきましたので追記します。エストニアでは、Riigipilvという政府クラウドがあり、こちらはプライベートクラウドとパブリッククラウドのハイブリッドとなっているようです。
※2022/05/19追記
Oracleのクラウドについても追加情報をいただきましたので追記します。「Oracle Dedicated Region Cloud@Customer」というものにより、運営の主権をNRIに提供しているという観点では、既に日本で実現されているソブリンクラウドと言えると思います。
こちらは VMware 観点でソブリンクラウドとして認定しているクラウドプロバイダーがどれだけあるかについてまとめられているものです。現在 15 のクラウドプロバイダーが認定されており、先に述べた UKCloud や AUCloud なども含まれています。イギリス、オーストラリア、ニュージーランド、イタリア、スペイン、ドイツ、ノルウェー、スウェーデン、カナダ、フランス、インド、アラブ首長国連邦などで既に取り組みが実現されている状態です。
今後の日本政府としてのクラウド活用に向けて
このようにヨーロッパを中心に主権を維持するための取り組みが、既に長い期間かけて検討されてきています。冒頭の日本での議論の通り、日本でもこのような検討状況になってきていることがわかるかと思います。そのときにも述べましたが、それらにテクノロジー観点ではすぐに現在のメガクラウドと同等のレベルを求めるのは難しいでしょう。しかしながら、政治的な検討も踏まえた上で、主権の維持という要因も加味するとこのようなクラウドサービスが求められる理由もわかります。また、多種多様な要件に応えるために様々なクラウドサービスが利用されることになり、それらをどう連携させるかのような GAIA-X といった考え方が生まれてくるのも必然ですし、日本でも公共サービスメッシュという形で目指している姿は近しいかと思います。もちろん、ヨーロッパと日本では置かれている立場が異なるため、日本が同盟国である米国のクラウドサービスに依存するという判断を取るか取らないかは、政治的な観点も必要になってくるので難しい問題です。ただこのような主権の議論がされているかについては不透明でしたので、今回その契機となればと思い、海外の事例についてまとめさせていただきました。
既に冒頭の議論の通り、海外の事例に近しい議論の状態になりつつあるかと思いますので、データやシステムの特性に応じたクラウドサービスの使い分けになっていくのかなと想像しています。ただ各国のソブリンクラウドサービス事業者は今までの単なる IaaS ではなく、メガクラウドにできるだけ近づいていこうという「クラウドの高度化」をおこなっている現状がありますので、日本も自国のクラウドサービスを選択できることができるようになった暁にはクラウドサービスの高度化とセットで考えられるべきだと思います。
また、このような施策を推し進めていくと、いろいろなクラウドを使うマルチクラウドな環境になっていくと思います。1つの主体者として、SaaSも含めた複数のクラウド環境を使っていくケースもあるでしょうし、1つのクラウドに集約していくケースもあるでしょう。しかしながら、それらの主体者が集まったもの(政府としての単位なのか、デジタル庁としての単位なのか)を俯瞰的に捉えると、やはり全体としてはマルチクラウドになっていくのだと思います。これを誰が主体者として捉えて、把握して、セキュリティ統制し、全体最適化していくのかは必ず課題になると考えています。
何より、こういった主権だけでなく、そういったデータやシステムにどんな要件が求められて、どんなテクノロジーやクラウドでこれを実現できるかについて、調達者側で判断することができるようになることが最も重要だと思います。私個人としては、そうなることが最もデジタルトランスフォーメーションへの近道だと考えます。
客観的事実に基づいて記載するようにしてはおりますが、記事の明らかな間違いなどありましたら、以下までご連絡いただけると幸いです。また、この件に限らず、様々な内容についてツイートしていますので、よろしければフォローしていただければと思います。