データ大使館が復元力と主権を強化できる理由

※この投稿は米国時間 2022 年 11 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。

大使館は何百年もの間、代表する国の人々の避難所として機能し、市民が国外での旅行や生活において直面しうるリスクを軽減してきました。大使館でリスクを軽減するというこの考えは、クラウドの柔軟性、分散型という性質によって、デジタル世界のデータにまで拡張されました。

世界中の小規模国家は、主権と復元力のあるインフラストラクチャを必要としているため、「データ大使館」のコンセプトに目を向けています。各国は、データを 1 つの施設または設定された地理的境界内に留めておくと、自然災害や武力紛争などの危機が発生した場合にセキュリティ上のリスクが生じる可能性があることを認識しています。この問題に対する一つのソリューションとして、データ大使館があり、また Google Cloud が提供するようなソブリン クラウド ソリューションがあります。

デジタル管理において世界で最も成熟した国の一つであるエストニアは、2015 年にデータ大使館を認可しました。エストニア政府は、デジタル サービスに大きく依存している小規模国家として直面するリスクを評価し、その脅威モデルには、大規模なサービス拒否攻撃や国境を越えた軍事侵略によるデータセンターの閉鎖を含める必要があると判断しました。こうした極端な災害シナリオから復旧できるようにするために、エストニアは最も重要なデータとサービスのバックアップを国外のデータセンターでホストすることを決定しました。

代替のソリューションは、エストニアの重要なデータとワークロードを国外のエストニア大使館でホストすることでした。しかし、大使館の建物には、適切で効率的なデータセンターを内部に併設するために必要な物理的なスペース、電源、冷却、ネットワーク ピアリングなどの設備が不足している場合があります。エストニアは、ルクセンブルグのサービス プロバイダが管理し、外交上の地位によって保護されている最先端のデータセンターを借りることを選択しました。データとサービスはクラウド テクノロジーを使用して管理され、効果的な同期とサービスの復旧が保証されます。

脅威モデルはエストニアのものと異なりますが、海に面した小規模な国であるモナコも 2021 年にルクセンブルグにデジタル大使館を設置しています。モナコがデジタル大使館を設置するに至ったリスクモデルの決定要因は、自然災害でした。この脅威への対応のベスト プラクティスは、元となる施設から少なくとも 50 km 離れた場所にあるデータセンターにデータとワークロードを複製して、同じリスクにさらされないようにすることです。しかし、モナコの国土はわずか 2 平方キロメートル余りであるため、データは国境の外に保管する必要があります。データ大使館の法的枠組みにより、同国のデータの復元力が向上しました。

大使館の枠組みは、起業家志向の国々から人気を集めながらゆっくりと成長しています。2018 年、バーレーン王国は、バーレーンのデータセンターに保存されているデータの法的枠組みを策定する法令を発行しました。これは、このようなデータをバーレーン法ではなく顧客の国内法の専属的管轄下におく根拠となるものです。

復元力を向上させるために、各国政府は組織が事業継続計画を策定するのと同じアプローチに従っています。つまり、技術的および組織的な懸念事項がある場合、重要なサービスの特定、脅威モデルの定義、リスク分析を経て、そうしたリスクを管理するためのセキュリティ対策などを実施します。

データ大使館のインフラストラクチャ

データ大使館を構成するコンポーネントはいくつかあります。データ大使館には、国のデータをサイバー脅威および物理的な脅威から保護できる、安全で復元力のあるデータ インフラストラクチャが不可欠です。また、効率的なデータのバックアップとフェイルオーバーを確実に実施するための堅牢なメカニズムも備えている必要があります。

データ大使館は、その施設に保存されているデータの機密性、整合性、可用性を確保するための技術的および契約上の措置に対応できる、信頼性の高いパートナーと契約を結ぶ必要もあります。重要な点として、この契約を通じてデータに対する一定レベルの制御を委任する必要があります。

クラウド テクノロジーの性質は、危険にさらされる恐れがある 1 つの施設にデータを保存するのではなく、最大限の信頼性と復元力を提供するグローバル インフラストラクチャを活用することを政府に促します。

クラウド テクノロジーにより、組織は地理的に大きく離れた場所であっても、データ バックアップと複製されたサービスを導入できるようになりました。本国とホスト国との間の外交協定は、復旧サイトにおける主権の 3 本柱を定めています。

• データ主権: 本国は該当データへのアクセスと制御を維持します。データは保護され、ホスト国の管轄の対象となりません。これは、データのロックを解除するために使用される暗号鍵を国家が管理することで実現できます。

• 運用主権: 本国は、プロバイダによる運用状況を継続的に把握および管理でき、極端なシナリオでもサービスを維持できます。

• ソフトウェア主権: 本国は、プロバイダのソフトウェアに依存することなく、運用に使用する技術スタックを選択できます。

データ大使館モデルによるこの主権アプローチは、データ所在地についての厳格な要件に軸が置かれた、ヨーロッパなどの数か国で広まっている主権要件とは対照的です。両者は同じリスクに対処するものではありませんが、デジタル主権を維持するという同じ目標を共有しています。たとえば、東ヨーロッパの一部の国では、センシティブ データを自国の領土に保管することを義務付ける規制があります。ウクライナでの戦争の開始以来、そうした国のリスクモデルは根本的に変化しました。

地理的境界の内側にデータを保管するよう厳格に義務付けることは、データとサービスのセキュリティ レベルと復元力を維持するうえでの障害になる恐れがあります。Google Cloud では、コンプライアンスや信頼性を理由に特定の場所にデータを保持する必要があるお客様のために、データ所在地の制御をサポートしています。

ただし、リージョン外でデータをバックアップまたは複製する必要があるお客様については、堅牢な暗号化や、お客様による暗号鍵の制御などの追加の制御をサポートしています。Google Cloud の革新的な顧客管理型の外部鍵管理（EKM）ツールと Key Access Justifications（KAJ）ツールを使用することで、お客様は地理的な場所に関係なく、データへのアクセスを完全に制御できます。これにより、お客様は、グローバル クラウド インフラストラクチャのセキュリティと復元力のメリットを犠牲にすることなく、厳格なアクセス制御を実施できます。

こうしたコンセプトは、相互に補完する形で実現できます。私たちはここ 10 年間、クラウド テクノロジーによってビジネス継続性に対するアプローチが根本から変わっていく様子を目の当たりにしてきました。今後は主権について同様の進化が起こるかもしれません。 

データ大使館は、クラウド テクノロジー ソリューションで強化された外交協定を活用して、データの保護を目的とする新しいアプローチを生み出しています。デジタル大使館のコンセプトは、さまざまな組織とそのホスト国が法的な問題を解消するにつれて、時間をかけて有機的に成長することが予想されています。Google Cloud は、より多くの組織がデジタル大使館のムーブメントに参加し、信頼できるホスト国と協定を結ぶとともに、信頼できるホストになるために必要な法的枠組みを策定することを期待しています。

もちろん、サイバーセキュリティ リスクに対する防御態勢は、1 つの手段に基づいて構築されるものではなく、複数の機能を組み合わせて多層防御を構成することによって構築されるものです。データ大使館は、欧州政府と市民によるデータ制御を促進するために各種のソリューションを活用した、主権の定義の範囲内の耐障害戦略として位置付けることができます。大使館と堅牢な顧客管理の暗号化は、グローバル クラウド インフラストラクチャを使用しないこととのトレードオフを考慮せずに済む主権ソリューションを実現します。こうしたソリューションは、地域が限定されたストレージでは継続性や復元力が得られない国家に代替手段を提供するツールキットの一部を形成します。

結論として、より多くの主権、特にデータ主権を求める動きは今後も続きます。クラウド コンピューティングが進化し、地政学的な摩擦が沈静化する兆しを見せていないことから、デジタル大使館や市民データに対する同様のアプローチが成熟し、おそらくは今後数年間で主流になることが見込まれます。

データ大使館について詳しくは、Google サイバーセキュリティ対応チームまでお問い合わせください。また、今年の Google Cloud Next で告知されたデジタル主権に関するお知らせをご覧いただくか、Demystify Data Sovereignty and Sovereign Cloud ポッドキャストをご確認いただくこともできます。