VMware ソブリンクラウドイニシアチブへの取り組みについて

VMware ソブリンクラウドイニシアチブ

VMwareは、2021年10月に「ソブリンクラウドイニシアチブ」を立ち上げました。このイニシアチブでは今後さらに増加していくと予想される機密性の高いデータを、国産クラウドで国内の司法管轄権がおよぶことを要望している企業と、機密性の高いデータを安心して保管することができる「データ主権」を提供しているVMware ソブリンクラウドイニシアチブに参画しているパートナーを結びつける支援をします。

「データ主権」では、国内のインターネットインフラで生成されたデータや通過するデータをコントロールし、国境を越えて個人情報を移転する方法を制限する措置を通じて、国内のデータが海外で悪用されるのを防ぎます。そしてデータは国内の司法管轄権がおよぶことを意味します。

また似た言葉で「データレジデンシィ」あるいは「データローカライゼーション」という言葉がありますが、どちらもデータ自体が国内に存在することを意味しています。*1

データレジデンシィだけでは、データは国内の司法管轄権がおよぶことが保証されません。ソブリンクラウドの基本となる機能は、データ主権とデータレジデンシィの両方を備えていることを前提としています。

ソブリンクラウドはガートナー社により2022年に注目すべきクラウドトレンドの一つにもあげられており、今後は機密データを管理しデータ主権を確保する為には、国産クラウドの需要が高まることが予測されています。*2

*1 参考：「総務省 情報通信白書平成29年版」
*2 参考：「Gartner 2021年11月18日プレスリリース」

ソブリンクラウドが必要とされる背景について

今日、クラウドが社会的価値の促進、環境への配慮、新しいデジタル境界を構築していますが、企業はセキュリティ、プライバシーおよびガバナンスの課題に同時に直面しています。背景としてサイバーセキュリティの脅威、データプライバシーの保護、データポータビリティ、データ制御などに関する急速な課題の高まりに対して、重要なデータの保護と管理をしなければならないためです。

ハイパースケーラーの市場が確立されたクラウド市場において、自国内の能力を振り返り、経済を保護し、持続的に成長する方法を検討することがますます重要になっています。今後必要なクラウドサービスを柔軟に選択いただけるようになることで、マルチクラウドの進展は、選択肢が広がるという環境面の要因に加えて、アプリケーションに最適な稼働場所を選ぶことでさらに加速していきます。このような背景からデータ主権とマルチクラウド運用に関する議論は、顧客のクラウド戦略にとってより重要なものになってきています。

しかし、顧客データが国外の政府からアクセスされるリスクがあり、2018年に成立された米国クラウド法（Cloud Act）により海外のハイパースケーラーの所在する国の政府機関からアクセスされる可能性があるという潜在的な課題が高まっています。

米国クラウド法（CLOUD Act：正式名称Clarifying Lawful Overseas Use of Data Act)は、米国による海外のデータの合法的使用を明確化する法律として、米国政府が発令した法令になり米国議会で2018年3月に可決され米国大統領の署名により成立された法律です。この米国CLOUD Actでは米政府は、米国内に本拠点を持つ企業に対しデータ(データセンター/サーバー)の保存場所が国内外に関わらず令状なしでデータ開示の要求が可能となりました。*3

そしてIDCの最近の調査によると、規制された業界、機密のデータの約50%がパブリッククラウドを利用しているといった調査結果が出ています。*4

このような背景からEU（欧州連合）では、EU域内の個人データ保護を規定する法としてGDPR（General Data Protection Regulation：一般データ保護規則）が2018年に施行されました。GDPRは個人データやプライバシーの保護に関して、EUデータ保護指令より厳格に規定します。また、EUデータ保護指令がEU加盟国による法制化を要するのに対し、GDPRはEU加盟国に同一に直接効力を持ちます。*5

またEUではデータ主権を実現するために、クラウドの共通設計および運用ガイドラインとしてGaia-Xイニシアチブを推進しています。Gaia-Xイニシアチブではソブリンクラウドとデータサービスのエコシステム間で相互運用可能なデータ交換をマルチクラウド環境でも可能にし、EUの司法管轄下で重要なデータ管理をセキュリティとプライバシー保護を実現します。*6

VMwareも安全なデータ交換、保護、セキュリティ、および移植性を促進するため、Gaia-Xイニシアチブに参画しています。 VMwareテクノロジーとソブリンクラウドは、Gaia-Xと目指すところが合致しており、特にクラウドの基礎となる移植性、可搬性、相互運用性などの実現を支援しています。またVMware ソブリンクラウドイニシアチブは、Gaia-Xイニシアチブの基本原則（相互運用性、可搬性、データ保護、透明性、セキュリティ、およびデータ権利の尊重など）に従っています。

*3 参考：「米国司法省　Cloud Act resources - Department of Justice (英語)」
*4 参考：「IDC　Deploying the Right Data to the Right Cloud in Regulated Industries(英語)」
*5 参考：「個人情報保護委員会　GDPR」」
*6 参考：「Gaia-X (英語)」

VMware ソブリンクラウドイニシアチブの概要について

VMware ソブリンクラウドイニシアチブでは、VMwareはクラウドサービスプロバイダーと提携して、機密性の高いデータや規制業界を対象にソブリンデジタルインフラストラクチャでクラウドサービスを提供しています。パートナーシップはVMwareマルチクラウド戦略の重要な部分であり、VMwareは、企業の掲げる目標を実現し、デジタルイノベーションを加速するために、クラウドプロバイダーと強力なパートナーシップの形成に取り組んでいます。

VMwareは、SDDCテクノロジーを活用したソブリンクラウドの必要性を認識しており、成長するソブリンクラウドに取り組むための2段階のアプローチをソブリンクラウドプロバイダーに推奨しています。

VMware ソブリンクラウドフレームワーク ：VMware ソブリンクラウドイニシアチブに参画頂くには、VMwareによってテストおよび検証された、統合されたクラウドインフラストラクチャのSDDC（Software-Defined Data center）技術をクラウドに活用いただき、運用している証明のVMware Cloud Verifiedを取得しているパートナーが前提になっています。120か国以上で4,000社を超えるVMwareクラウドプロバイダーの中から、海外では350社程度、国内では12社がVMwareによりVMware Cloud Verifiedパートナーとして認定されています。そしてVMware Cloud Verifiedパートナーのクラウドに対して、VMware ソブリンクラウドイニシアチブとして評価するため、必要となる特性を満たしている事が参画の条件として定義しています。*7

VMware ソブリンクラウドイニシアティブ参画条件としては、ソブリンクラウドの基本機能となる「データ主権と管轄権の管理」に加えて、「データアクセスと整合性」、「データセキュリティとコンプライアンス」、および「データの独立性と可搬性」の４種類に分類して定義しています。

評価するための５種類目の「データの革新と分析」に関する要件は、パートナーのさらなる価値と差別化要因としてご提案いただいております。VMwareでは設計および運用上の考慮事項に関する技術的なガイダンス、ベストプラクティス、および原則を提供します。

データ主権と管轄権の管理 - データ主権とデータレジデンシィを定義
データアクセスと整合性 - データアクセス可用性と機密性、監査要件について定義
データセキュリティとコンプライアンス - アーキテクチャ要件、コンプライス準拠要件を定義
データの独立性と可搬性 - データの独立性と移植性、可搬性を定義
データの革新と分析 - 高度なデータサービス提供、分析について定義（オプション）

VMware ソブリンクラウドイニシアチブ ： VMware ソブリンクラウドイニシアチブに参画されたクラウドプロバイダーは、ソブリンクラウド環境の設計、構築、運用、インフラストラクチャおよび各国の規制を提供する能力が要件を満たしています。日本ではソブリンクラウドがISMAPに準拠していることも条件になっています。

*7 参考：「マルチ/ハイブリッド化を支援するVMware Cloud Verifiedパートナー」

VMware ソブリンクラウドの対象となる企業について

VMware ソブリンクラウドイニシアチブでは、非常に機密性が高く、重要なデータを持つ政府および規制対象の業界の企業が、安全にクラウド戦略を実行することを支援することを目指しています。

VMware ソブリンクラウドイニシアチブに参画しているクラウドパートナーは、地域のデータプライバシー法と運用基準に関するコンプライアンスと専門知識を活用したデータのプライバシーとコンプライアンスの確保に取り組んでおり、急速に成長し変化するデータプライバシー法に対応しながら、企業が安全にクラウドのメリットを享受できるよう支援しています。これらの国または地域の規制および法律は、データが地理的に存在する場所から国境を越えたデータフローまですべて管理します。

そしてVMware ソブリンクラウドイニシアチブに参画しているクラウドパートナーは、データ主権、データの常駐、データアクセス、管轄、制御などが確保され、顧客の最も機密性の高いデータが安全に保管されることを顧客に対して証明ができ、高まりつつあるソブリンクラウドへのニーズを取り込む事が可能です。またVMwareが共有するベストプラクティスを活用して、より信頼できるサービスをより早く提供することができます。このような背景からソブリンクラウドは、公共部門のビジネスだけでなく、すべての業種にも適用する事ができます。特に次のような規制対象の業界の顧客には大きなメリットがあります。銀行および金融セクター、ヘルスケア、小売および電子商取引、エネルギー関連などが該当します。

VMware ソブリンクラウドを利用する企業のメリットについて

企業はソブリンクラウドを利用することで、進化するサイバー攻撃からクラウド内のデータを保護されるだけでなく、データが特定の管轄区域で保存、保護されていることで、国内外問わずプライバシーの維持が保証されます。また今後増加する機密データを安心して保管できるだけでなく、データの効率的な活用、分析が可能になります。

今日、投資家により「ESG投資」が重要視され始めています。ESG投資とは、環境（Environment）・社会(Social)・企業統治(Governance)に配慮している企業を重視・選別して行なう投資のことです。ESG評価の高い企業は事業の社会的意義、成長の持続性など優れた企業特性を持っていると評価されます。*8

そしてソブリンクラウドを活用することで、ESG投資では特にデータ主権の観点でガバナンス（企業統治）に貢献することが可能になります。さらに自国の成長と発展を支援するために、国産クラウドで国内リソースと雇用を活用することができることで、社会にも還元することも可能になります。

VMwareでは、ソブリンクラウドを提供するクラウドパートナーと協力して、ソブリンクラウドサービスを探している企業がパートナーをより早く探すことができる方法と、ベストプラクティスを提供しています。

*8 参考：「経済産業省 ESG投資」

まとめ

VMware ソブリンクラウドイニシアティブは国内の司法管轄権がおよぶことを要望している企業と、機密性の高いデータを安心して保管することができる「データ主権」を提供する、VMware ソブリンクラウドイニシアチブに参画しているパートナーを結びつけます。*9

VMware ソブリンクラウドイニシアティブに参画している、適切で信頼できる国産クラウドパートナーとイニシアチブを進めることで、国産クラウドで国内リソースと雇用を活用することができ、社会にも還元することを目指します。今後必要なクラウドサービスを柔軟に選択いただけるようになることで、マルチクラウドの進展は、選択肢が広がるという環境面の要因に加えて、アプリケーションに最適な稼働場所を選ぶことでさらに加速していきます。このような背景からデータ主権とマルチクラウド運用に関する議論は、顧客のクラウド戦略にとってより重要になってきています。

VMware ソブリンクラウドイニシアティブに参画している、適切で信頼できる国産クラウドをお探しなら、パートナーカタログで提供するサービスと機能を確認いただき、お問い合わせください。*10

*9 参考：「VMware ソブリンクラウド」
*10 参考：「VMware Cloud Provider -VMware Cloud Providerを検索」