ソブリン・クラウドとは

より多くの企業がハイブリッドクラウド・ソリューションを利用してデジタル・トランスフォーメーションの実現を目指すにつれ、クラウド環境（特にユーザーがクラウド環境内でデータにアクセスし、それを保存、使用する方法）がますます重要になっています。クラウド・コンピューティングが世界中に広がり続ける中、国境などの従来の地理的境界だけでは機密データを保護するのに十分ではなくなってきました。

ここで、データ主権、運用主権、デジタル主権を含む概念であるソブリン・クラウドについて説明します。ソブリン・クラウドは、企業が事業を展開する地域の法律や規制を遵守しながら、顧客の信頼を築き、ビジネスを成長させるのに役立ちます。

ソブリン・クラウドは主に消費者と組織のデータを保護します。多くの規制は主に個人情報（PII）の保護に重点を置いていますが、業界、地域、またはビジネスユースケースに応じて、知的財産（IP）、ソフトウェア、企業秘密、財務情報なども保護できます。クラウドにおける データ・プライバシーに関する規制は国や地域によって異なるため、ソブリン・クラウドが何を保護できるかについて、単一の受け入れられた定義は存在しません。アプローチは、業界、場所、ビジネス・ニーズによって異なる傾向があります。

一部のソブリン・クラウド・フレームワークは、データ所在地をベースにしており、データは保存されている特定の国または地域の法律と規制の対象となります。その他には、保存されるデータは収集された国または地域の法律に従うというデータ主権を扱うものもあります。結局のところ、ソブリン・クラウド・アプローチは、企業が最も機密性の高いデータに関する法律を遵守するのに役立つだけでなく、レジリエンスを維持するのにも役立ちます。

企業がますます多くのアプリケーションをクラウドに移行させるにつれて、クラウド自体が急速に 重要なインフラストラクチャー になりつつあります。

企業のクラウド環境は現在、工場、オフィスビル、貴重な知的財産と同様に、企業の健全性にとって重要であると考えられています。さらに、民間部門と公共部門の両方で規制の厳しい業界がコア・サービスをクラウドに移行するにつれて、データを安全に保つ必要性がますます高まっています。

さらに、迅速で安全なデータ・アクセスに依存する 人工知能（AI）や 機械学習（ML）などのデータ集約型テクノロジーの台頭により、企業はクラウド・テクノロジーに関してより戦略的な意思決定を迫られています。AI、特に生成 AIは、価値あるビジネス・イノベーションを促進する可能性を秘めていますが、健全で独立したクラウド・エコシステムがなければそれは実現できません。

医療や金融サービスなど、規制が厳しい業界の企業は特に強い逆風に直面しています。例えば、欧州では、欧州連合加盟国全体の既存の規制を統一する クラウド・サービスのためのサイバーセキュリティー認証スキーム（EUCS） というフレームワークと、ICTリスクに対処することを目的とし、ICTリスク管理、インシデント報告、運用レジリエンス・テスト、ICTサード・パーティー・リスク監視に関するルールを定めた デジタル・オペレーション・レジリエンス法（DORA） というフレームワークがあります。強力なソブリン・クラウド・ソリューションは、企業が 規制機関や新しい法律 に関する最新情報を把握し、リスク、データ、進化する脅威の状況に関してより戦略的な意思決定を行うのに役立ちます。エンタープライズ・ソブリン・クラウドの最も重要なメリットを見てみましょう。

より大規模なデジタル・トランスフォーメーションの一環として強力なソブリン・クラウド・フレームワークに投資する意思のある企業は、通常、いくつかの重要なメリットを実現します。データに対するより強化された管理能力から、接続性、データ・レジリエンス、アプリケーションのパフォーマンスの向上まで、企業がソブリン・クラウド・アプローチを採用する5つの主な理由をここにご紹介します。

ソブリン・クラウドが効果を発揮するには、企業にとって重要な3つの成果、つまりデータ主権、運用主権、デジタル主権を実現する必要があります。これらの概念をそれぞれ詳しく掘り下げ、なぜそれが重要なのかを見て見ていきましょう。

データ主権（データはそれが生成された国または地域の法律に従うという考え方）を遵守することは、ほとんどのソブリン・クラウド・ソリューションの基本要件です。強力なデータ主権により、企業は顧客データをサイバー攻撃やその他の脅威から保護できると同時に、権限のない個人がデータにアクセスできないようにすることができます。例えば、ほとんどのデータ主権要件では、CSP は、自社が運営するクラウド・データセンター内に顧客データがある場合でも、その顧客データにアクセスできません。

データ主権のもう 1 つの重要な側面は、データ所在地の概念です。これは、データが保存されている地域または国の法律や規制がデータに適用されるという概念です。データのプライバシーを遵守することに加えて、ソブリン・クラウド・ソリューションは、適用されるすべてのデータ所在地に関する法律と規制にも準拠する必要があります。

運用主権により、データが豊富なアプリケーションに関連する重要なインフラストラクチャーが常時稼働状態を保ち、アクセスできるようになります。さらに、運用主権により、企業は運用プロセスを管理して非効率性を発見できるようになります。運用主権に対する適切なアプローチにより、特定の地域が災害の影響を受ける場合でも、企業は事業継続性災害復旧 (BCDR)または災害復旧サービス (DRaaS)計画を通じて重要なインフラストラクチャーの耐障害性を確保できます。最後に、運用主権は、企業が特定の地域におけるクラウド環境をサポートするために必要なインフラストラクチャーに関する地域の規制を遵守するのに役立ちます。

運用主権やデータ主権と同様に、地域内のデジタル主権も単一の普遍的な定義がない概念です。大まかに言えば、データ、ソフトウェア、コンテンツ、デジタル・インフラストラクチャーなどのデジタル資産に対する組織の管理レベルを表す包括的な用語です。デジタル主権は、主にガバナンスと透明性の観点から、ソブリン・クラウドの概念にとって重要です。デジタル資産へのアクセス管理を活用する企業は、権限を持つユーザーに関するルールを設定する必要があります。これらのルールは、ポリシー・アズ・コード（組織がインフラストラクチャーと手順を繰り返し管理できるようにするプロセス）など、簡単に適用できる方法で設定する必要があります。

デジタル主権のもう一つの重要な側面である透明性とは、組織がそのプロセスと結果を監査する能力を指します。透明性により、組織は最も重要な運用ワークフローを把握でき、機能しているものと変更すべきものを確認できるようになります。

ソブリン・クラウドに関しては、万能のソリューションというものは存在しません。企業はハイブリッドクラウド・アプローチから同じ成果（例えばデジタル・トランスフォーメーション）を望んでいるかもしれませんが、それを実現する方法は規模、場所、業界、ビジネス要件によって異なります。ここで、リスクベースのアプローチの利点が明らかになります。

ソブリン・クラウドに対する強力でリスクベースのアプローチは、成長（例えば、生成AIのような刺激的な新技術の可能性）と、データ侵害による評判の低下などのリスクとのバランスをとります。重要なアプリケーションや機密性の高いデータについては、企業は、それほど重要でない他のアプリケーションよりも高いレベルの管理を行うことを望む場合があります。正確な規制と、ガバナンス・ルールおよび標準に対する標準ベースのアプローチを組み合わせることで、導入されるルールが技術的に管理できることが保証されます。

組織のリスクと成長の要件、保存しているデータの種類、そのデータの保存場所に応じて、ソブリン・クラウド・ポリシーを展開して適用するためのオプションとしては、パブリッククラウドと分散型クラウドの2つがあります。ほとんどの国または地域では、パブリッククラウドとマルチクラウドのデプロイメントにより、組織は特定の地域のデータに対する制御を維持しながらクラウドワークロードをデプロイできます。一般的なパブリッククラウドのアーキテクチャには、ハイブリッドクラウド・プラットフォームのようなプラットフォーム・クラウド・レイヤーが含まれており、安定した一貫性のあるクラウド・デプロイメントを実現します。

2つ目のオプションは、現地のインフラストラクチャー・プロバイダーやオンプレミス・データセンターなどの分散型クラウド・デプロイメント・モデルです。これらは、インフラストラクチャーと運用をより厳密に管理する必要がある企業にとって特に魅力的です。基本的に、分散型クラウドのデプロイメント・モデルを使用すると、任意のインフラストラクチャーにワークロードとプラットフォームをデプロイできるようになります。

世界中の政府や国民からデータ、運用、デジタル主権に関する懸念が引き続き提起される中、ソブリン・クラウドは企業がどこでビジネスを展開していてもデータの整合性を確保できるよう支援しています。

今後数年間、企業がデータをどのように収集し、保護し、保存し、データへのアクセスを管理するかは、特にAIやMLなどの新しいデータ豊富なテクノロジーを活用しようとしている場合、企業の成功に極めて大きな影響を与えるでしょう。企業が独自のクラウド環境の構築を支援するCSPを選択する場合、CSPが機密データをどのように保存および処理するかを理解することが最も重要です。

さらに、CSPがレジリエンスをどのようにサポートし、サイバー攻撃、自然災害、その他の脅威による停止を軽減する計画を立てているかを知る必要があります。最後に、ソブリン・クラウド・フレームワークの活用を検討している企業は、選択したCSPの全体的なクラウド戦略が、事業を展開している国または地域の法律に準拠していることを確認する必要があります。さもないと、これらの法律に違反して罰金や処罰を受けて、損害を被る可能性があります。

ソブリン・クラウド・アーキテクチャー用のCSPを選択する際に留意すべき重要な考慮事項を以下に示します。

データ・ガバナンス： データ・ガバナンス に対するCSPのアプローチは非常に重要です。これは、CSPがデータを良好に処理し、そのデータ処理に必要な制限を適用するための適切なポリシーと手順が整備されていることを示すものです。また、導入したガイドラインが遵守されていることを証明する定期的な監査結果の提供も可能な状態にある必要があります。

サービス・レベル契約（SLA）： ソブリン・クラウド環境を概説するCSPとのサービス・レベル契約（SLA）は、パブリッククラウド環境またはプライベートクラウド環境を概説するものと大きく異なるべきではありません。パブリッククラウドやプライベートクラウドと同様に、検討すべき最も重要な3つの領域は、管理（クラウド管理）、可用性、パフォーマンスです。

コンプライアンス：ソブリン・クラウド・フレームワークを導入するCSPは、事業を展開する地域のデータ法に関する高度な専門知識と、絶えず変化するデータ主権とコンプライアンスの状況に関する深い理解を備えている必要があります。ベンダーと顧客は、新しい規制を常に把握し、それに対処するための戦略を策定する責任を共有します。

データ暗号化：データ主権とプライバシーに関しては、データの機密性を確保することが重要です。CSPは、組織がデータを暗号化し、 暗号化キー を使用してデータを管理するためのメカニズムを提供する必要があります。本質的には、これは、適切な権限とキーを持つユーザーだけが復号化できる暗号化コンテンツにデータを変更することを意味します。これらの暗号化キーへの排他的アクセスを確保することで、企業はいつでもデータにアクセスできるユーザーを完全に技術的に保証し、かつ制御できます。

レジリエンス：最後に、何か問題が発生した場合に、迅速に復旧できるような計画を立てておく必要があります。関連する国または地域でクライアントのレジリエンスと復旧作業を支援してきた実績のあるCSPのみを検討しましょう。すべてのソブリン・クラウド・デプロイメントには、データが保存されているそれぞれの特定のコンプライアンス領域に合わせて調整された、復元機能とフェイルオーバー機能が組み込まれている必要があります。