クラウド活用はクラウドファーストからクラウドスマートへと進化
現在、企業や公共機関においてパブリッククラウドの利用が増え、マルチクラウドが標準になっている。ただ少し詳しく見ると、従業員5000人以上の大企業やクラウドネイティブな企業、高成長を遂げている企業では利用しているクラウドサービスの数の増加は、ほとんど頭打ちになっている。成長企業はクラウドの数を増やすのではなく、使い方に知恵を絞っていることが分かる。
これまで、クラウドファーストが主流だったが、各部門でそれぞれクラウドを利用するようになった。その結果、クラウド基盤の選択肢が増えて、複雑化し、すべてのアプリを移行しようとして、遅延と費用が発生、アプリや基盤の統制に苦慮するクラウドカオスが生まれた。この状態から抜け出すために、企業や米国政府が提唱しているのがクラウドスマートである。「複数のクラウド基盤を利用し、アプリの特性に一致するクラウド基盤を選択し、そこでアプリを稼働させます。セキュリティや運用管理の一貫性を実現、各クラウド基盤のコストを最適化します。そして、ソブリンクラウドを選択肢に加える動きが始まっています」とヴイエムウェア Multi-Cloud Strategy and Architecture 宇井 祐一氏は語る。こうして、複数クラウドの一貫した運用とアプリの最適な配置を行うことで、デジタル主権、データ主権、アプリケーションの速度とイノベーション、ビジネスのアジリティとレジリエンスを実現する。
デジタル主権で社会的な価値を創造するソブリンクラウドプロバイダー
デジタル主権とは、「国」「組織」「個人」が、デジタル分野において、自分自身で決定・制御・管理できる能力を持つことだ。デジタル主権を失い、クラウド利用者が海外巨大ITベンダーに依存してしまうと、お金、雇用、技術、サプライチェーンはすべて外国に流出してしまい、潤うのはすべて海外になってしまう。「国内のソブリンクラウドプロバイダーを利用すれば、大企業から地域と中小事業者、地域経済や地域の雇用などへの経済波及効果が生まれ、100円の利用で170円ほどの効果が生まれると産業連関分析から明らかになっています。さらに企業が得た利益から法人税が政府に納付され、社会的価値が増幅されながら、日本の社会に還元されます。これがソブリンクラウドプロバイダーの存在意義です(図1)」(宇井氏)。
図1.社会的な価値を創造するソブリンクラウドプロバイダー
こうして、機密性の高い規制対象のワークロードをデータの保管場所とデータ主権に関する日本の要件に適合する基準に準拠したセキュアな国内向けのクラウドであるソブリンクラウドが再評価されている。その理由の【1つ目】がユーザーデータとメタデータが主権の及ぶ領域にとどまることを確実にできることだ。パブリッククラウドでは顧客の個人情報が米国を含む複数国に保存されたり、アクセスされる場合がある。【2つ目】が「国」「企業」「組織」「個人」の重要なデータへ海外からのアクセスを防止できることだ。米国クラウド法によって、米国政府の管轄下にあるサービスプロバイダーはデータの場所に関係なく、保管しているデータの開示を強制される可能性がある。【3つ目】がデジタル主権のために国に求められる能力を提供できることだ。データ経済の成長をもたらすイノベーションの原動力となり、海外の国や組織への依存を抑制することができる。
高品質な国内パブリッククラウドの機能拡張でソブリンクラウドを実現
ヴイエムウェアは、ソブリンクラウドについて、民間部門と公共部門の組織の両方のために「国家データ」「企業データ」「個人データ」など重要なデータの価値を保護し、解き放つことと定義する。監査済みのセキュリティ制御でデータを保護すると共に、データプライバシー法の遵守を確保。デジタル経済に必要な国家の能力構築に貢献し、データの常駐性(レジデンシー)とデータ主権の両方の提供で、データの制御を強化する。「政府や地方自治体など公共部門だけでなく、民間部門の規制業界、公共部門と取引を行う民間部門に大量のデータが存在します。これらのソブリンクラウドでの保護が極めて重要になります」(宇井氏)。
VMware ソブリンクラウドパートナーの事業展開には2つの道筋がある。ひとつは高品質な国内パブリッククラウドで機能を拡張させていくやり方、もうひとつはソブリンクラウド専業プロバイダーで、一部機能を使用しないダウングレードで販売先を広げていくやり方だ。日本においては、クラウドプロバイダーはSIと一体でクラウドを提供してきており、クラウドは部品として位置づけられてきた。SIの部品であった高品質な国内パブリッククラウドに機密性、完全性などの機能を拡張させていくことで、ソブリンクラウドへと成長させていくことができる。
デジタル主権を土台に考慮すべきサプライチェーンや地政的要素
データ主権を土台にしたデジタル主権の構造について見ていく。データ主権では個人情報や機密情報の保護、データ可搬性、相互運用性などが満たされないといけない。その一方で、技術主権、運用主権も求められ、もうひとつ高いレベルで事業としてのデジタル主権保護も必要になる。ここまでがデジタルにおける自己決定、管理、制御を行うデジタル主権で最も重要だ。さらに高いレベルにサプライチェーンがあり、これが特定の企業に依存しているのは問題で、さらにもうひとつ上に地政的要素があり、これがデジタルにおける独立を保障する(図2)。
図2.データ主権を基礎にしたデジタル主権の構造
「マイクロソフトもヴイエムウェアも米国の会社ですが、ソフトウェアであれば、何があっても使い続けることができます。ところがサービスの場合、外国政府の意思や、サービス提供者の意思で、直ちに停止されることもありえます。そのため、サプライチェーン、地政的要素まで考慮していくことが重要になります」(宇井氏)。
Google Cloudやマイクロソフトなどのハイパースケーラーもソブリンクラウド領域に注目しており、新しいTrusted Cloud(高信頼性クラウド)モデルが提供されている。ローカルデータセンターでのサービス提供とローカルプロバイダーの運用で、運用主権とデータ主権を実現するものだ。ただ実装の詳細は未知数で、外国の司法管轄権からの独立と、高度な認証・認定、可搬性/相互運用性、機密/秘密データに対応するVMware ソブリンクラウドプロバイダーには及ばない。「ハイパースケーラーは米国クラウド法の管轄下だが、VMware ソブリンクラウドプロバイダーはその管轄下ではないことが最大のポイントです」(宇井氏)。
VMware ソブリンクラウド イニシアチブでソブリンクラウド普及を図る
スマートなソブリンクラウド戦略では、クラウド上のデータ機密分類に従って考える。政府機関の中核、防衛、安全保障など特定秘密のニーズには専有型クラウド/プライベートクラウド、公共機関など機密性3や秘密文書のニーズにはソブリンパブリッククラウド、民間の規制業種のような機密性2など要機密情報向けにはソブリンパブリッククラウドもしくは信頼できるパブリッククラウドを使う。このように、VMware ソブリンクラウド、高信頼性クラウド、パブリッククラウドを機密性に加えてビジネスインパクトも合わせて、使い分けていく(図3)。
図3.VMware ソブリンクラウドフレームワークの概要
ヴイエムウェアは、ソブリンクラウドの20項目に及ぶ管理項目を要件にしたVMware ソブリンクラウド イニシアチブを発足させ、2023年8月現在、世界50社がパートナーとして参加している。ソブリンクラウドの価値は、クラウド内の重要なデータを保護し、ビジネスを保護すること、各国独自の変化する法律とセキュリティ基準への準拠を確実にすること、国境を越えた機密データや制限付きデータへのアクセスとフローを制御できること、クラウドロックインと法律の変更/地政学に対する「将来の保障」「地域社会・経済への社会的価値」の提供の5つである。
これらを踏まえた上で、ソブリンクラウド導入の検討にあたってはクラウドスマートの道を一緒に歩むパートナーとして、VMware ソブリンクラウドをぜひとも選んでいただきたい。