ソブリンクラウドとは？必要性や注目される背景、日本での取り組みを解説

ソブリンクラウドは、データ主権、システム主権、運用主権、技術主権の4つを確保する考え方に基づいています。これらは、国や組織がクラウド環境において自律的な意思決定と制御権を確保するために重要とされる要素です。

ソブリンクラウドでは、データを自国内に保管し、自国の法的管轄下で管理する仕組みのことで、これにより外部からの強制開示や越境リスクを抑えやすい点が特徴です。

機密情報や個人情報を扱う企業にとって、クラウドセキュリティを確保しながら法的保護を維持できる点は、大きな安心材料になります。

システム主権とは、企業や組織の重要なITシステムやデータの設計・運用・管理に関する制御権を、自社または国内事業者の管理下に置くことを指します。システムやインフラの海外企業のサービスへの過度な依存を避け、外国法の域外適用や管轄権の影響を受けにくい体制を構築することが重要です。

システム主権の確立は、セキュリティや運用上のリスクを低減するとともに、長期的なデジタルインフラの自立性を確保し、経済安全保障の観点からも重要な取り組みと位置づけられています。

運用主権とは、クラウドの監視や管理を自国の体制で行い、外部に左右されない運用を実現することを指します。具体的には、システムの監視や障害対応、ログの確認などを自国民の技術者が担い、運用内容を自ら把握できる状態を指します。この仕組みは、運用の透明性を高める点でも重要です。海外事業者に運用を委ねている場合、実際の対応状況が見えにくく、一方、運用主権を確保すれば、判断や対応を自社や国内パートナーで完結でき、説明責任も果たしやすくなります。

技術主権とは、クラウド基盤、OS、セキュリティ、AI などの技術基盤や知的基盤の開発・維持を、自国で主体的に管理・統制できる状態を指します。海外ベンダーの技術に過度に依存すると、仕様変更や提供終了の影響を直接受けやすくなりますが、技術主権を確保すれば、設計や技術選択、運用方針を自ら決定でき、長期的な安全性や柔軟性を確保することが可能となります。さらに、知的財産を国内で保護できる点も大きな魅力であり、設計情報やノウハウが国内に蓄積されることで、技術流出の抑制にもつながります。

ソブリンクラウドが注目を集める背景には、地政学的リスクの高まり、サイバー攻撃などのセキュリティ脅威の深刻化、そして経済安全保障への関心の拡大があります。国際情勢や法制度の変化は、クラウドの継続利用に影響を与える可能性があり、企業のBCP (事業継続計画) 対策としても主権を意識した環境整備が重要になっています。

国際情勢の不安定化は、クラウドサービスの継続利用にも影響を与えています。例えばウクライナ情勢では、紛争地域に関係するインフラや事業者が制限を受け、一部のクラウドサービスが停止・制約された事例がありました。特定の国や地域に依存したクラウドは、政治判断や制裁措置によって突然利用できなくなる可能性があります。

また、EUのGDPR (一般データ保護規則) のように、個人データの国外移転を厳しく制限する規制も強化されています。これにより、データの保管場所や管理主体によっては、業務継続に支障が出る可能性も否定できません。こうした背景から、地政学的リスクを前提にしたクラウド選定は、企業のBCP対策において欠かせない視点となっています。

経済安全保障の観点からもクラウドの在り方が重視されるようになっています。日本は海外クラウドへの依存が高く、利用料やデータ処理費用が国外に流れる「デジタル赤字」が課題です。

経済産業省によると、2024年には約6.85兆円に達し2035年に最大45兆円規模に膨張するおそれがあると警鐘を鳴らしています。こうした状況を改善するには、国内クラウド産業を育成し、重要なデータや基盤を国内で循環させる仕組みが欠かせません。

特に生成AIの開発で使われる大量の学習データには、企業のノウハウや個人情報、公共性の高い情報が含まれることも多く、これらを海外環境に預けたままにすると、管理や利用の透明性を確保しにくくなります。

ソブリンクラウドを活用すれば、学習データを国内の法制度と管理体制のもとで運用でき、知的財産や機密情報を守るうえで大きな支えとなるでしょう。

ソブリンクラウドは、主権の確保を重視する点でほかのクラウド形態と大きく異なります。

パブリッククラウドは、必要な機能をすぐに使え、規模の拡大もしやすい点が魅力です。世界各地のデータセンターを活用できるため、コストや利便性を重視する用途に向いています。ただし、運営元が海外企業の場合、国外の法律が適用される可能性があり、状況によってはデータ開示を求められるリスクも否定できません。

一方、ソブリンクラウドは、データの保管場所や運用を自国の法制度と管理体制のもとで行う仕組みです。どの法律が適用されるかが明確になるため、企業は情報の扱いを主体的に管理しやすくなります。その反面、利用できるサービスの幅や最新機能の選択肢は、パブリッククラウドより限られる場合がある点に留意が必要です。

機密性の高い情報や基幹業務では主権を重視し、一般業務では利便性を優先するなど、役割に応じて使い分ける考え方が現実的といえるでしょう。

プライベートクラウドは自社専用の環境を用意することで、セキュリティや運用ルールを柔軟に設計できる点が特徴です。ただし、インフラや基盤技術、運用ツールの多くを海外ベンダーに依存しているケースもあり、法的な支配権や技術面の主導権まで完全に自社で握れるとは限りません。

一方、ソブリンクラウドは専用環境であることに加え、運用監視を国内事業者や自国の人材が担うことで、国外情勢や海外法令の影響を受けにくくなり、対外依存度を抑えやすくなります。

用途やリスク許容度に応じて、どこまで自立性を求めるかを見極めることが重要です。

ガバメントクラウドとソブリンクラウドは、いずれも国や社会の安全を支える重要な基盤ですが、その目的と役割には違いがあります。ガバメントクラウドは、国や自治体が共通で利用する政府専用のクラウド基盤として設計され、行政サービスの効率化やコスト削減を主な目的としています。標準化された仕組みを用いることで、各省庁や自治体が同じ基盤上で安全にシステムを運用できる点が特徴です。

一方、ソブリンクラウドは経済安全保障の観点から、海外法令の影響を受けにくい環境を整え、重要情報を国内で管理できる点に価値があります。

国内では経済安全保障の重要性からソブリンクラウド需要が高まり、主要ITベンダーが専用サービスを強化しています。経済安全保障推進法により国内データ管理の要請が強まり、クラウド市場の成長が期待される状況です。

国内では主要IT事業者が、ソブリンクラウドの実現に向けた取り組みを進めています。A社は国内データセンターを活用し、データ保管や運用を国内法のもとで管理できる基盤を提供中です。B社は高いセキュリティを求める企業向けに、専用クラウドや運用支援を展開し、厳しい要件に応える仕組みを整えました。C社も通信基盤と連携した国内向けクラウドを強化しています。

なお、海外クラウド基盤を国内運用に適合させる技術提携モデル (例: Oracle Alloy) も採用が進んでいます。(注2)

■主要事業者の取り組み

金融・医療・公共分野では、今後ソブリンクラウドの導入がさらに進むと見込まれています。これらの分野は、個人情報や機密性の高いデータを大量に扱うため、データの保管場所や法的管轄について厳格な管理が求められる領域です。

金融分野では顧客情報や取引データを国内で管理できる点が評価され、システム基盤の一部として採用が検討され、医療分野でも、診療情報や検査データを安全に扱う必要があるため、国内法のもとで運用できる環境が求められます。

公共分野では、行政データや住民情報を海外法令の影響から切り離す動きが進み、ソブリンクラウドが有力な選択肢となっています。

データレジデンシー (データの保管場所に関する規制) 要件が厳しい業界ほど、主権を確保できる点が強みとなり、長期的な安定運用と信頼性の確保の後押しとなる見込みです。

KDDIでは、ソブリンクラウドのデータ主権を確保し、クラウド上の機密情報を国内で安全に管理する「KDDI暗号鍵管理サービス for Google Cloud」を提供しています。暗号鍵とは、データを暗号化・復号するための重要な情報であり、誰が管理するかによって安全性が大きく左右されます。本サービスでは、国内事業者であるKDDIが暗号鍵を国内で管理することで、お客さま側にデータ主権が確保され、保管データの機密保持対策を強化します。今後、運用主権、技術主権の観点からも、ソブリンクラウドのさらなるラインアップ拡充とサービス強化に取り組んでいます。海外法令による強制開示リスクを抑えながら、Google Cloud の利便性も活用できます。

ソブリンクラウドの大きな特徴は、データやシステムの主権を自国の法制度と管理体制のもとで確保できる点にあります。地政学的リスクやサイバー攻撃、経済安全保障への関心が高まる中、クラウド選定において主権を意識する重要性は増しています。ソブリンクラウドは、データ主権や運用の自律性、技術面での独立性を重視する企業や公共分野にとって、有力な選択肢といえるでしょう。一方で、利便性や機能面ではパブリッククラウドとの使い分けも欠かせません。自社の業務特性やリスク許容度を踏まえ、最適なクラウド構成を検討することが、これからの安定したIT基盤づくりにつながります。