国家間の争いが絶えない時代に注目が集まる――「ソブリンクラウド」とは？ | 東京エレクトロンデバイス

ロシアによるウクライナ侵攻や中国による台湾有事への懸念の高まり、イスラエルによるガザ侵攻などの国際情勢を反映して、世界は国家間の緊張状態が高まりつつあります。それに伴い、各国とも国家安全保障、すなわち国家の独立や領土、国民の生命や財産に対する安全を保障するための能力を高めることへの関心が増してきています。

そうしたなか、ITの分野で国家安全保障の手段として注目されているのが「ソブリンクラウド」（Sovereign Cloud）です。

国や地方の議会や役所、警察、防衛機関などをはじめとする重要な公共機関で電子化が進み、機密情報を含む多くの情報がコンピューターでやり取りされ、保存されるようになってきました。

そのための基盤としてクラウドの利用が検討されるわけですが、国家の安全保障に関わる重要な情報であれば、当然ながら、それらは国外に位置するクラウドで扱うべきではありません。たとえ国内にあるクラウドでも、そのクラウドを利用するための契約主体が海外の法人であったり、準拠法や管轄裁判所が海外であったりすることも避けるべきです。

ソブリンクラウドに厳密な定義はありませんが、一般にはこうした重要な情報を扱えるようにその国の領土内に位置し、その国の市民によって運用されるとともに、その国の法律や規制に準拠することで、他国の干渉を受けずに自国の主権のもとでデータの保存や処理が行われるクラウドのことを指します。

ちなみに、「ソブリン（Sovereign）」とは統治や主権、君主などを意味する言葉です。

代表的なソブリンクラウドとしては、Amazon Web Services（AWS）が米国政府機関および団体向けに提供している「AWS GovCloud」があります。米国東部と米国西部の2カ所に設置され、米国市民によって運営されることが約束されています。

AWS GovCloudは米国連邦政府機関がクラウドサービスを導入する際のセキュリティ評価などを含むFedRAMP、FBIの刑事司法情報サービスセキュリティポリシー、さらにITAR（武器輸出規制）などの規制にも対応しています。またAWS GovCloudのルートアカウント保有者は、米国人の身分を証明する審査プロセスに合格し、米国国務省によって定義されたグリーンカード所有者または市民でなければならないという制限もあります。

2023年には「AWS European Sovereign Cloud」構想によりEU域内でのソブリンクラウドの提供も明らかにし、2024年7月からサービスを開始しています。既存のAWSリージョンとは別に欧州各国にソブリンクラウドが設置され、データの保存、処理、管理を欧州内で完結させ、GDPR （EU一般データ保護規則）はもちろん、各国の独自要件にも準拠可能で、クラウドの管理や運用には欧州籍の従業員のみが関与しています。

さらに2025年6月には、AWSの子会社として欧州に本社を置く「AWS European Sovereign Cloud」というソブリンクラウド専業の企業を設立することで、主権管理をより強化しています。

AWSはソブリンクラウドの構築に積極的な注力姿勢を見せています。

ソブリンクラウドへの取り組みは「Microsoft Azure」や「Google Cloud」でも進められています。

マイクロソフトは米国政府機関とそのパートナー向けに設計された、物理的に分離されたクラウド環境「Azure Government」を提供していますが、グローバルレベルのソブリンクラウドの要求に対しては、Microsoft Azure上に構築されるソブリンクラウドとして「Microsoft Cloud for Sovereignty」というソリューションを2022年に発表しました。

このソリューションにより、ソブリンクラウドとしてのデータ主権、コンプライアンス、セキュリティ、規制ポリシーの要件を満たすことを可能にしています。

一方のGoogle Cloudは、パブリッククラウド内でデータの物理的な位置とアクセスを制御できる「Google Cloud Data Boundary」機能や、オンプレミスのような独立したデータセンター設備を用いてGoogle Cloudと同等の機能を構築できる「Google Cloud Dedicated」といったソブリンクラウド構築手段を提供しています。

このようにソブリンクラウドとひと口に言っても、クラウドベンダーごとにその提供方法や実装方法は異なっています。

海外に比べて日本でのソブリンクラウドへの取り組みはいかなる状況なのか。日本国内の動きを見ていきましょう。

日本政府のクラウド施策としては、政府や自治体が共通で利用することが想定されている「ガバメントクラウド」が有名です。

ガバメントクラウドはデジタル庁が技術要件を設定しており、記事執筆時点では「AWS」「Google Cloud」「Microsoft Azure」「Oracle Cloud」、そして条件付きながら「さくらインターネット」のクラウドが対象クラウドになっています。

ガバメントクラウドの技術要件にも、国家レベルの重要なデータに対しては厳格なセキュリティ要件が含まれているため、これも広義のソブリンクラウドの一種と言ってよいでしょう。

NTTデータ、野村総合研究所、富士通といった日本国内の大手システムインテグレーターも、ソブリンクラウドへの参入を表明しています。

この3社はいずれもオラクルと提携しています。オラクルはOracle Cloudの技術を他社のデータセンターに提供して、Oracle Cloudと同等のクラウドを実現できる「Oracle Alloy」というサービスを用意しています。3社ともこのOracle Alloyを導入することで最新のクラウドと同等のものを自社データセンターに構築、ソブリンクラウドとして提供するものと見られています。

日本ではソブリンクラウドに関連して、2024年5月に成立した「重要経済安保情報の保護及び活用に関する法律」、いわゆる「セキュリティ・クリアランス法」が2025年5月から施行されました。

これは安全保障上の重要な情報については、信頼性調査を行ってそれをクリアした個人や組織のみにアクセス資格が付与されるという制度です。ソブリンクラウドのなかでもとくに重要な情報を扱う部分では、このセキュリティ・クリアランス法をクリアした人材による運用などが行われていくことでしょう。

今回は国内外でソブリンクラウドへの取り組みが進んでいることを紹介しましたが、企業経営においてもデータの重要性はますます高まっています。例えばクラウドに保存してあるデータはどの国の法制度下にあるのか、そのデータを運営会社がAIの学習に使うことを拒否できるのかなど、自分たちのデータについての“データ主権”を意識することはきわめて重要になってきています。

そして、それはIT技術者だけが関心を持ち判断できるものではなく、経営者レベルで議論すべき内容であることは明らかです。

ソブリンクラウドに代表されるデータ主権への注目は、今後さらに広がりを見せていくことでしょう。