ある企業幹部が最近語ってくれた経験が、私の記憶に強く残っている。彼の組織はクラウドに多額の投資を行い、クラウドセキュリティ(SASE)ソリューションを採用した。規制要件に対応できていると確信していたのだ。
ところがセキュリティチームが、クラウドのエッジ自体は自国内にあるにもかかわらず、ポリシー更新が自国の管轄外にホストされた管理コンソールから配信されていること、さらに特定のトラフィック検査が、自組織が管理していないインフラ上で自地域の外において行われていることを突き止めた。加えて、プロバイダーの本社が置かれる国の外国政府によってデータにアクセスされ得る可能性もあった。彼は主権を得たつもりでいたが、実際に手にしていたのは「主権がある」と書かれた契約にすぎなかった。
彼だけではない。シンガポールからサンパウロまで、世界中の役員会議室でビジネスリーダーたちが同じ結論に至っている。ソブリンクラウド(主権を確保したクラウド)だけでは、購入したと考えていたレベルのセキュリティを必ずしも提供できないのだ。
主権の定義が狭すぎる
主権はあまりにも頻繁に、1つの問いへと矮小化されてしまう。「データはどこに存在するのか」。アプリケーションが集中配置され、アクセス経路が限られていた時代には、この定義は理にかなっていた。しかし現代の分散環境では、通用しないことが多い。
今日の企業は、クラウド、リージョン、エッジにまたがって事業を運営している。ユーザーはリモートから接続する。アプリケーションはSaaS、プライベートインフラ、オンプレミスのシステムにまたがる。AI駆動の自動化は、機密データとの新たな「機械速度」のやり取りを生み出している。
この現実において、主権は保存・処理場所だけでは保証できない。アクセスがどのように付与されるのか、トラフィックがどこで検査されるのか、誰がポリシーを強制するのか、そしてシステムが生成するログやパフォーマンスデータに誰が可視性を持つのかに左右される。主権が「保存中(at rest)」のデータにしか適用されないのなら、データが動いた瞬間に破綻する。まさにそのときこそリスクが増大するにもかかわらず、である。
現場でソブリンクラウドが機能不全に陥る仕組み
ソブリンクラウドの取り組みは統制を約束するが、実務上、その統制は不完全であることが多い。たとえデータが国境内に置かれていても、アクセスは、別の場所にある集中型のセキュリティ製品やネットワーキング製品によって仲介され得る。セキュリティ検査が主権の境界の外で実行されることもある。ポリシーが、非主権のシステムを通じて作成・更新・適用される可能性もある。
環境が複雑になるほど、こうしたギャップは広がる。外部のコントロールプレーンや検査ポイントへの依存が1つ増えるたびに、不確実性が持ち込まれる。誰が、どの条件で、誰の権限によってデータへアクセスできるのかという不確実性だ。
分散、エッジ、AIが前提を変えた
業務はもはや集中化されていない。アプリケーションはあらゆる場所に存在する。エッジコンピューティングは、データが処理される場所の数を増やした。AIワークロードや自律エージェントは、機密情報への新しい自動化された経路を生み出し、しばしば常時かつ大規模に稼働する。
新たなアクセス経路が増えるたびに、主権の統制下で保護すべき対象範囲は拡大する。アクセスと同じ場所に強制機能が分散配置されていないと、ロケーションベースの統制は追随しにくい。規制の厳しい業界では、そのギャップが、事後的に緩和できないリスクを生む。強制が分散に追いつけないとき、主権は崩壊する。
ソブリンSASE:欠けていた統制レイヤー
ソブリンSASE(セキュアアクセスサービスエッジ)は、クラウドを拒むことではない。適切に統治することだ。アクセス判断、トラフィック検査、ポリシー強制、ロギング、テレメトリーが、主権主体が管理するインフラ内で動作するセキュリティおよびネットワーキングモデルを構築することである。
この違いは決定的だ。ソブリンクラウドはデータの保存場所を定める。ソブリンSASEは、ユーザー、デバイス、ネットワーク、アプリケーションにまたがって、データがどのようにアクセスされ、保護されるかを定める。
両者を組み合わせることで、完全な主権モデルが成立する。集中型のコントロールプレーンに依存するクラウド単体のセキュリティアプローチでは、契約上どれほど保証があっても、これらの要件を満たせない。繰り返すが、主権を決めるのは意図ではなくアーキテクチャである。
真のデジタル主権とは何か
主権戦略を評価する経営層にとって、プロバイダーの主張を超えて、主権が「強制可能」で「観測可能」で「レジリエント」かを確認する必要がある。真のデジタル主権には、以下が求められる。
• 強制ポイントのローカル制御。
• 外国のコントロールプレーンから独立して運用できること。
• アクセス、トラフィック、ポリシーの完全な可視性。
• 監査可能で測定可能な統制。
• クラウド、エッジ、オンプレミス環境にまたがる一貫した運用。
これに満たないものは、検証不能な約束にすぎない。
成長を可能にするソブリンSASE
主権はイノベーションを遅らせるという誤解がある。だが実際、私はむしろ逆だと感じている。
主権を前提に設計された組織は、規制対応への確信、顧客の信頼、そして本来なら閉ざされていた市場へのアクセスを得られる。国境を越えるオペレーションにおける不確実性を減らし、導入後に統制を後付けすることを回避し、リスクを増やさずにグローバル成長を可能にする。
企業を分断するのではなく、主権は統合された統制レイヤーを提供し、地域、業界、規制環境をまたいで責任ある拡張を可能にする。
デジタル主権の必要性は、一般データ保護規則(GDPR)、ネットワーク・情報システム指令2(NIS2)、デジタル・オペレーショナル・レジリエンス法(DORA)といった規制フレームワークが進化するにつれて、加速している。
しかし、このようなデジタル主権を適切に実装することには課題もある。管轄やアーキテクチャ上の考慮点が生じるため、アプリケーションが特定のクラウドロケーションに存在するだけでは不十分だ。統制、管理、検査、アクセスがコンプライアンス要件を満たさなければならない。
適切な管轄内にクラウドのキャパシティを確保しながらも、そのワークロードに到達するために用いるセキュアアクセスサービスが、別の国や管轄でトラフィックを検査または強制している可能性を見落としている組織は多い、と私は感じている。
このギャップの解消は、規模と運用モデルに左右される。特定のワークロードにソブリンクラウドを使う中小企業(SMB)は、同一管轄内でソブリン型のセキュアアクセスを提供できるローカルのマネージドサービスプロバイダーと提携できる。
複数の管轄にまたがって運用する大規模グローバル企業は、より複雑な課題に直面する。多くの場合、各地域の規制要件に整合した、分離されたソブリン型のセキュアアクセス環境が必要になる。今日、これを地域横断で一貫して提供できるクラウドセキュリティプロバイダーは少ない。そのため一部の企業は、コンプライアンスを簡素化するために、専用のソブリンインフラを構築することを選ぶ。
主権を決めるのは統制である
クラウドが消えることはない。むしろ私は、地政学的・規制上の現実を反映した、より分散的で主権を意識したモデルへと進化していくと見ている。
その世界では、主権はデータがどこにあるかではなく、デジタル資産全体にわたるアクセス、強制、ガバナンスを誰が統制しているかによって定義される。ソブリンクラウドとソブリンSASEを組み合わせることで、初めて真に有効になる。デジタルの国境が再び立ち現れる中、主権はデータの物理的な所在ではなく、統制によって決まる。
