Alan Zeichick | コンテンツ・ストラテジスト | 2023年10月13日
組織のデータの一部またはすべては、州、国、または欧州連合などのより広範な地域など、特定の国や地域の地理的境界内に留める必要があります。この要件の理由には、さまざまなものがあります。業界を対象とした政府による規則が存在する場合や、組織が個人情報(PII)など、特定のタイプの規制データを管理している場合があります。ビジネス固有の懸念や競争上の懸念がある可能性もあります。元となる理由が何であれ、この要件はデジタル主権またはデータ主権と呼ばれます。
ただし、後者はやや誤解を招きやすい用語です。多くの場合、主権コンプライアンス要件は、データベース・テーブルのストレージに関する要件だけではありません。規制データを処理するすべてのコンピュータは、すべてのネットワーク、データフロー、バックアップ、およびディザスタ・リカバリ・システムとともに、特定の地域内に存在する必要がある場合があります。場合によっては、規制対象のシステムにアクセスする個人も、その法域の市民であるか、セキュリティ・クリアランスを持っている必要があります。
組織がデジタル主権要件を満たすことができる1つの方法は、すべてをローカル・データセンターに格納することです。もう1つは、クラウド、特に、クラウド・コンピューティングのすべての利点を提供するソブリン・クラウドを使用して、デジタル主権要件を満たすことです。
デジタル主権の要件と、ソブリン・クラウドが組織のコンプライアンス維持にどのように役立つかを見てみましょう。
ソブリン・クラウドは、組織がデジタル主権要件を満たすのに役立つクラウド環境です。ほとんどの主権の枠組みにおいて、組織は個人情報の保護に努める必要があります。ただし、スコープがより広く、知的財産、ソフトウェア、ビジネス手法、財務データ、ITインフラストラクチャに関する情報、さらにはデータセットがどの程度の大きさか、どの程度急速に拡大しているかを示すメタデータを含む場合があります。ソブリン・クラウドは、クラウド・コンピューティング・プロバイダーが所有する施設に収容され、インターネットまたはインターネットに接続されていない専用通信リンクを介して、組織のユーザーやクラウド以外のITシステムがアクセスします。
ソブリン・クラウドは、大規模な組織独自のデータセンター内で個別の「クラウド的な」設備として構成することもできます。この設備はクラウド環境のように機能し、クラウド・サービス・プロバイダーによって管理されますが、外部から物理的に隔離されています。
ソブリン・クラウドには、次に示す6つの機能の1つ以上があり、それらの機能がある程度のレベルに達しています。詳細は、地理的要件、地域要件、およびその他の要件によって異なります。
主なポイント
ソブリン・クラウドができることを理解するには、欧州連合(EU)でビジネスを行う企業を経営することを想像してください。EUは、EU全体の要件があるだけでなく、各加盟国の要件もあるため、理想的なテスト・ケースと言えます。したがって、EU内でデジタル主権を維持する義務を負うすべての組織は、EUと加盟国の両方の要件を満たす必要があります。
EU内では、クラウド主権に関する法律は、規制当局の連携によって主導されており、規制は絶えず変化し、一般的により厳しくなっています。その規制に関する変化の多くは、外国企業の利益、法の執行、裁判に対する保護についての市民の要求と絶え間ない政治的圧力の両方に応じて、各国議会とブリュッセルの欧州議会によって推進されています。その結果、EUの一般データ保護規則(GDPR)などの法律が導入されました。
組織に、ドイツとフランスの両方にオフィス、従業員、顧客を持つ子会社があるとします。EUの要件に準拠しながら、両国間で共有できるデータもありますが、その他のデータはドイツまたはフランスの法律によって制限され、それぞれの国の中にのみ保持する必要があります。お客様の組織とクラウド・サービス・プロバイダーの両者は、ソブリン・クラウドがすべての要件を満たすことと、同様に重要なこととして、ソブリン・クラウドが要件を満たすようにする構成が、すべての当事者にとって実証可能な方法で実現されていることを保証する責任を共有します。
EUの法規制に準拠した適切なソブリン・クラウドには、EU全域の主権が含まれており、EUの規制に準拠してデータとデータフローの制御をお客様に提供できます。また、EU以外のアクセスからの保護が含まれており、EU外からのアクセスを検出、正当性調査、およびブロックでき、必要に応じて関係者への通知や免責放棄を処理します。
ソブリン・クラウドの構築は、有能なプロバイダーにとっても、複雑な作業になる可能性があります。ただし、ソブリン・クラウドを構築することで、さまざまなメリットが得られます。何よりもまず、コンプライアンスに関するメリットが挙げられます。クラウド主権により、地理的規制、政治的規制、業界の規制、データのポータビリティ、規制ドメイン内および規制ドメイン間でのコンプライアンスに準拠したデータ転送に幅広く対処できます。
さらに、ソブリン・クラウドには次のようなメリットがあります。
規制が厳しい業界では、自社所有のデータセンター内でソブリン・クラウドを運用することが、組織にとって唯一の選択肢となっていた可能性があります。現在、クラウド・プロバイダーは、その負担の多くを軽減できます。ただし、採用を決定する前に考慮すべき5つの重要な要素があります。
クラウド主権にはメリットもありますが、クラウド主権を確立するには、組織のITチームが次のような障害を克服する必要があります。
デジタル主権に関する法律と規制は、ますます複雑になっています。組織がソブリン・クラウドを使用するか、従来のデータセンターを使用するかにかかわらず、規制環境では、規制に準拠しているものと、準拠していないものを知ることが困難になります。フルサービスのソブリン・クラウド・プロバイダーは、規制の変化に応じてサービスを最新の状態に保つための専門知識とプロセスの両方を備えています。
組織は、個人情報(PII)を適切に暗号化して国内に保存する必要があるだけですか。それとも、ドキュメント・リポジトリを格納しているサーバー、管理システム、およびハードウェアに物理的にアクセスできるすべてのスタッフの市民権とセキュリティ・クリアランスにまで、規制コンプライアンスが及びますか。何が要求されているかを把握しなければ、準拠できません。
クラウド主権は、プライマリ・データセンターだけでなく、すべてのバックアップ・リカバリ・サイトおよび施設にも適用される可能性があります。つまり、クラウド・サービス・プロバイダーは、定義された法域内でそのような施設を提供するための十分なリソースを持っている必要があります。
一部のサービス・プロバイダーは、専用のソブリン・クラウド・サービスを構築しています。その結果、パブリック・クラウドで提供されるアプリケーション、機能、およびサービスをソブリン・クラウドでは、まったく利用できないか、一部を利用できない可能性があります。
一部の規制制度では、特定の地域内に本社を置き、その地域内で所有されているサービス・プロバイダーがソブリン・クラウドを所有し運営することを求めています。グローバル・クラウド・サービス・プロバイダーが、これらの要件を満たすために適切なパートナーシップ、ライセンス、および法的枠組みを備えていることを確認してください。
ソブリン・クラウドの確立を目指す企業は、業界固有または競争上の影響を持つ要素に加えて、これらの5つの主な特徴に関する要件を考慮する必要があります。
コンプライアンス上の規制とビジネス上の考慮事項の両方に基づいて、ソブリン・クラウド・データセンターとバックアップの場所を慎重に選択します。収集するデータポイントには、プロバイダーのクラウド・データセンターの場所、パートナーが所有する他のデータセンターの場所、およびお客様の施設内の専用ソブリン・クラウドが実現可能かどうかが含まれます。
組織は、クラウド環境にアクセスできる企業、パートナー、顧客、およびソフトウェアとサービスを常に選択できる必要があります。国家安全保障が危機的状況にある場合などには、お客様が完全に専用の施設を選択する場合があります。
組織は、クラウド・プロバイダーとそのパートナーの両方から、どの管理スタッフと技術スタッフが、システムおよびそれらのシステムに関するメタデータ(パフォーマンスや使用率の指標など)にアクセスできるかを制御する必要があります。
ソブリン・クラウドの導入は、規制やセキュリティ基準への準拠が、それぞれ独自の要件を持つ法域が重複する可能性を反映できるように柔軟である必要があります。場合によっては、お客様が、特定の規制管理と認定に関して固有のニーズを持っていることがあります。
多くのお客様またはほとんどのお客様にとって、パブリック・インターネットへの暗号化接続は、最も低コストで、完全に規制に準拠したベストなネットワーク・リンクである可能性があります。ただし、一部のお客様またはアプリケーションでは、インターネットや他のネットワークから完全に分離されたエアギャップ・リージョンが必要になる場合があります。
暗号化なしではデータ主権を確保することはできません。同様に、データベースに格納されるデータ、それらのデータベースやアプリケーションへのアクセスを提供するAPIやその他のサービス、およびユーザー・インタフェースにも暗号化が必要です。暗号化は、一般的に使用されるアルゴリズムの数とバージョン、鍵のサイズ、および暗号化鍵の格納とアクセスに関する規制を考えると、複雑なテーマです。この状況は、データ主権を従来のデータセンター内で実現するか、ソブリン・クラウドで実現するかによりません。ただし、クラウドの場合、暗号化鍵の格納とアクセスに関する課題は、規制に準拠し、ビジネス・ニーズを満たす方法で解決する必要があります。
クラウド・サービス・プロバイダーが鍵を管理する場合、マスター暗号化鍵はソブリン・クラウド・ソフトウェアによって生成されます。お客様が鍵を管理する場合、マスター暗号化鍵はプロバイダーがアクセスできないセキュアな鍵コンテナ内に格納します。これらの鍵コンテナを構成するハードウェア・セキュリティ・モジュール(HSM)は、不正開封防止機能と開封明示機能の両方を備え、攻撃に対処できる必要があります。
データベースまたはドキュメントに格納されるデータ(「保存データ」とも呼ばれる)は、デフォルトで暗号化する必要があります。これには、従来のリレーショナル・データベース、Docker/Kubernetesコンテナ、オブジェクト・データベース、ファイル・システム、ブロック・データベース、さらにはブート・レコードのデータが含まれます。
ネットワーク経由で送信する情報(「転送中のデータ」とも呼ばれる)では、少なくとも、Transport Layer Security(TLS)1.2以降やX.509デジタル証明書などの標準に準拠した最新のプロトコルを使用する必要があります。地域の規制で、イーサネット・ネットワーク用のMACsec(IEEE 802.1AE)など、より厳密な暗号化が必要になる場合があります。このような暗号化はデフォルトで有効にする必要があり、プレーン・テキストでのデータ転送を許可しないでください。
データ主権は、2016年にEUの一般データ保護規則(GDPR)が可決され、爆発的に一般に知られるようになりましたが、それは始まりにすぎませんでした。毎年、世界中の国々や欧州連合などの地域が、データ主権要件を修正しています。これらの国と地域は、あいまいさの排除、欠点の削減、消費者からの信頼と政治的信頼の向上、企業の保護に加え、経済摩擦、軍事衝突、テロリズム、およびサイバー犯罪などの地政学的状況への対応を行うために基準を厳格化しています。
デジタル主権に関する法律と規制は、数と複雑さが増すことが予想されます。
また、コンプライアンス監査の不履行やデータ侵害による規制データの漏洩に対する罰金や刑罰が厳しくなることも予想されます。
IDCによると、最近の経済的および地政学的事象により、世界の企業の75%以上は、ビジネスおよびテクノロジー上の懸念として、デジタル主権の重要性が増していると考えています。プライバシー対策の改善と実施は、多国籍企業にとって最優先事項となっています。
さらに、IDCは、少なくとも半数の企業が総予算の25%以上をパブリック・クラウドに費やし、56%の企業がInfrastructure as a Service(IaaS)を使用していると報告しています。これは、デジタル主権要件に関してクラウド・コンポーネントを重視する傾向が高まっていることを示しています。
またIDCは、ソブリン・クラウド・プロバイダーの利用を促す要因となっている企業の懸念には、管理者やサポート・スタッフによるアクセスから顧客データを保護することと、ビジネス継続性や、ディザスタ・リカバリ規制への準拠を確保することが含まれているとも報告しています。
耐障害性は明らかに最重要事項です。
全体的に、クラウド主権は比較的新しい概念であり、組織は、クラウド主権がクラウド戦略に与えるすべての影響を理解し始めたばかりです。ソブリン・クラウドを導入することは、インフラストラクチャ、戦略、ガバナンス・フレームワーク、およびスキルに関する新しいIT要件を把握することを意味します。ソブリン・クラウドは長期的な取り組みであるため、組織は、新しい法律や業界ルールの変更の監視に投資しながら、規制が最も厳格なドメインや規制環境に注目しています。なぜなら、一度規制が厳しくなると、決して緩和されることがないからです。
ソブリン・クラウド・ソリューション・プロバイダーを選択する際には、デジタル主権要件を満たすのにも役立つ、最も優れた総合的なクラウド・ソリューションを提供するベンダーを探してください。ソブリン・クラウドで利用可能なサービスが、プロバイダーのパブリック・クラウドで提供されているサービスと同じで、パフォーマンス、管理、および可用性に関して同じサービス・レベル契約(SLA)が適用されるのが理想的です。
ソブリン・クラウドで利用可能なサービスが、プロバイダーのパブリック・クラウドで提供されているサービスと同じで、パフォーマンス、管理、および可用性に関して同じサービス・レベル契約(SLA)が適用されるのが理想的です。
考慮すべき主な要素の1つは、規制対象地域内で承認された法的エンティティによって所有および運営される単一のベンダー・ソリューションを使用できるかどうかです。合弁企業やパートナーシップの場合は、サポートの問題、統合の複雑さ、製品リリースの遅延、場合によっては、使用できる機能が少ないなどの非難につながる可能性があります。
ソブリン・クラウド・プロバイダーは、データ主権をクラウドの重要な機能として提供すべきであり、追加パッケージや公開サービスのサブセットとして提供すべきではありません。これにより、ソブリン・クラウドはパブリック・クラウドと同じハードウェア、ソフトウェア、サービスを使用して、より優れたアクセス制御やその他のコンプライアンス制限を実現できるため、導入が容易になります。
ディザスタ・リカバリは、ソブリン・クラウドの計画と導入に不可欠です。リカバリとフェイルオーバーをコンプライアンス領域内に維持するように構成できる、地域内のクラウド・リージョンを探してください。
また、ソブリン・クラウド・ベンダーは、複雑で絶えず変化する規制要件に対処するのに役立つ専門知識を持っている必要があります。ベンダーとお客様は、必要に応じた認定を含め、コンプライアンスに関する責任をシームレスに共有できる必要があります。
主権確保に対応したOracle Cloudソリューションは、機密性が高い、規制対象である、または地域の戦略的重要性を持つデータやアプリケーションに加え、主権とデータ・プライバシーの要件によって管理されるワークロードを含むクラウド・コンピューティングのニーズを満たすのに役立ちます。
オラクルのソブリン・クラウド・ソリューションは、世界中のますます多くの国や地域で提供されており、Oracle Cloud Infrastructure(OCI)のサービスと機能を備え、お客様がデジタル主権要件を満たすのに役立ちます。
たとえば、Oracle EU Sovereign Cloudを使用すると、お客様は、オラクルのパブリック・クラウド・リージョンで利用可能なものと同じ100のサービスを利用でき、その価格、サポート、ワークロード、およびパフォーマンス、管理、可用性に関するSLAは標準的なOCIサービスと変わりません。さらに、インフラストラクチャが物理的に分離され、保護機能が追加されているため、EU外の法域からお客様のデータを保護できます。
2023年6月から利用できるOracle EU Sovereign Cloudは、完全に欧州連合内に設置されており、EUを拠点とする担当者によってサポートされ、EU内に設立された個別の法的エンティティによって運営されます。既に提供されている100を超えるクラウド・サービスに加えて、Oracle Fusion Cloud Applications SuiteなどのOracle Applicationsも使用できます。
データ・レジデンシーとデータ・セキュリティを目的として設計されたOracle EU Sovereign Cloudは、物理的に隔離されたデータセンター・スペースに収容されており、オラクルの他のクラウド・リージョンとのバックボーン・ネットワーク接続はありません。Oracle EU Sovereign Cloudへのお客様のアクセスは、Oracle Cloudの商用リージョンへのアクセスとは別に管理されます。
また、Oracle Cloudは、各クラウド・リージョン内で高可用性を実現するために設計されており、国や地域の境界内のディザスタ・リカバリをサポートしています。たとえば、オラクルにはウェールズにデュアル政府クラウド・リージョンと商用クラウド・リージョンがあります。オラクルのソブリン・クラウド・ソリューションは、インテリジェンス・コミュニティや地理空間業界のお客様など機密情報を扱うお客様の場合でも、データ・プライバシーやデータ主権に関するガイドラインおよび要件への準拠を効率化し簡素化するために、商用クラウド・リージョンとは異なる運用、サポート、ポリシーをその組織に提供します。
独自の暗号化鍵を保持する必要がある組織、またはビジネス上の理由からそうすることを選択する組織に向けて、新しいOCI External Key Management ServiceがOracle Cloudで広く使用可能になりました。このサービスを使用すると、暗号化鍵は常にお客様の元で保管され、OCIにインポートされることがなく、お客様はクラウド外に鍵を格納するという要件に準拠しながら、規制対象のワークロードをOCIに移動できます。
オラクルは、拡大を続けるグローバル顧客ベースにサービスを提供するため、23か国の46の商用クラウド・リージョン、ソブリン・クラウド・リージョン、および政府クラウド・リージョンにおいて、広範で一貫性のあるクラウド・インフラストラクチャ・サービスを提供しています。2023年10月現在、オラクルは、複数の専用リージョンと国家安全保障リージョンに加えて、36の商用リージョン、2つのEUソブリン・リージョン、8つの政府リージョンを運営しています。
ソブリン・クラウドの導入に使用できる別のOracle Cloud製品はOracle Alloyです。これは、包括的なクラウド・インフラストラクチャ・プラットフォームであり、これを使用することで、パートナーはクラウド・プロバイダーとなって、幅広いクラウド・サービスを提供できます。パートナーは、自社のデータセンターでOracle Alloyを独立して運用し、運用を完全に管理でき、デジタル主権に関する規制要件をより適切に満たすことができます。
さらに、Oracle Roving Edge Infrastructureを使用すると、組織はクラウドのパワーをデータセンター外に拡張でき、選択したクラウド機能をリモート環境や過酷な環境で実行できます。
政府ネットワークや極秘のワークロードでは、インターネットに接続されたソブリン・クラウド・リージョンを上回る、お客様による認定とコンプライアンス要件が必要になる場合があります。このような場合、Oracle National Security Regionsが提供する次のような追加の保護機能を利用できます。
IDCは「主権」を、国家、企業、または個人がデジタルに関して自己決定する能力と定義しています。ソブリン・クラウドにより、組織は国、地域、業界のデータ主権規制の厳しい要求を満たしながら、クラウド・コンピューティングを使用できます。ソブリン・クラウドを使用することで、組織は、導入する場所、アクセシビリティ、運用、サポート、規制要件、さらにはインターネット接続を管理できます。
個人に関するデータを秘密に保つだけでなく、デジタル主権は、技術的管理と業務上の管理、データ保証ポリシー、さらにはテクノロジー・サプライチェーンに影響を及ぼします。
アクセスの制限と、許可した人物に対するデータの可用性とポータビリティの確保の両方によって、データおよび基礎となるインフラストラクチャへのアクセスを管理します。
データ主権とは
各国の政府は、重要なデジタル情報をどのように保存し、どこに保存し、誰がその情報にアクセスできるかに関する法律や規制を継続的に通過させています。データ主権は、組織や個人がこれらの法律および規制を遵守することを含んでいます。
ソブリン・クラウドとは何ですか。
ソブリン・クラウドは、お客様が、すべてのデジタル情報(格納されたデータやソフトウェア、およびネットワーク間での転送中のデータを含む)がデータ主権に関する法律および規制に準拠していることを確認するのに役立つクラウド・コンピューティング環境です。
データ主権に関する法律の例には、どのようなものがありますか。
2016年に欧州連合によって制定された一般データ保護規則(GDPR)には、EU内の個人の個人情報を収集し処理する組織に対する包括的な要件が規定されています。
誰がソブリン・クラウド内の情報にアクセスできますか。
データ主権に関する法律では、データへのアクセスを、特定地域内のソフトウェア、サービス、およびユーザーや、地域で所有されている企業、または特定のセキュリティ・クリアランスやその他の権限を持つ企業に制限することがあります。
ソブリン・クラウドはインターネットに接続されていますか。
多くのユーザーの場合、ソブリン・クラウドは強力なアクセス制御を備えた暗号化されたリンクを介してインターネットに接続されています。ただし、一部の政府ユーザーや非常にセキュアなアプリケーションの場合、ソブリン・クラウドにエアギャップが使用されて、インターネットから完全に切り離されていることがあります。
クラウド・バックアップとディザスタ・リカバリのシナリオは、データ主権に関する規則の対象ですか。
はい。バックアップおよびディザスタ・リカバリ・サイトは、データ主権の規則に完全に準拠している必要があります。つまり、クラウド主権の場合、セカンダリ・クラウド・リージョンは同じ地域または規制ドメイン内にある必要があります。
クラウド主権に関して、なぜ場所が重要なのですか。
データを格納する地理的地域を選択できることは、データ主権に関する法律や規制に準拠するためにデータの管理を維持する必要がある組織にとって重要です。