国民国家の発明以来、主権は重要であり、内外で施行される国境、法律、税金によって定義されます。多くの人がそれを定義しようと試みてきましたが、基本的な考え方は依然として残っています。つまり、国家または管轄区域は、通常、国境内の人々の利益のために、管理を維持したいと考えています。
デジタル主権は比較的新しい概念であり、定義するのは困難ですが、理解するのは簡単です。データとアプリケーションは、インフラストラクチャにコード化されているようにポリシー条件で指定されない限り、境界を認識しません。
World Wide Web の初期にはそのような制限はありませんでした。電子フロンティア財団などのコミュニティ グループ、サービス プロバイダーやハイパースケーラー、非営利団体、企業はすべて、データが自動的に処理されることを示唆するモデルを採用しました。
しかし、さまざまな理由により、データは自動的に処理されなくなります。まず、データが大幅に制御不能になっています。私たちは常により多くのデータを生成していますが、(私が実施した過去の調査によると)少なくとも 20 年から 30 年にわたって、ほとんどの組織はデータ資産を完全に理解していませんでした。これにより、非効率性とリスクが生じ、少なくともサイバー攻撃に対する広範囲にわたる脆弱性が生じます。
リスクの確率は時間効果です。そして現在、その確率は増加しています。侵略、関税、政治的緊張などが新たな緊急性をもたらしています。去年の今頃は、他国のITシステムをシャットダウンするという考えは浮上していませんでした。私たちは現在、米国政府による海外サービスへのアクセスのブロックなど、このようなことが起こっているのを目の当たりにしています。
デジタル主権はヨーロッパだけの懸念事項ではありませんが、そのように扱われることがよくあります。たとえば、南米では主権者がハイパースケーラーとの交渉を主導していると聞いています。アフリカ諸国では、これはサプライヤー契約で規定されています。多くの管轄区域が、デジタル主権に関する立場を監視、評価、見直しています。
ことわざにあるように、危機とは解決する時間が残されていない問題です。デジタル主権は待ったなしの問題でしたが、今は緊急の問題です。それは抽象的な「主権への権利」から、政府の考え方、企業のリスク、そしてコンピューターシステムの構築と運用方法に影響を与える、明確で現在的な問題へと移行しました。
今日のデジタル主権の状況はどのようなものですか?
去年の今頃からはたくさんのことが変わりました。不明な点はまだ残っているが、昨年の今頃不明瞭だった部分の多くが今では固まり始めている。用語はより明確になっており、たとえば、一般的な概念ではなく分類とローカリゼーションについて話しています。
私たちは理論から実践への移行を目の当たりにしています。政府や組織は、これまで存在しなかった政策を実施しています。たとえば、一部の国では「国内」を主な目標として検討していますが、他の国 (英国を含む) では信頼できる場所に基づいたリスクベースのアプローチを採用しています。
リスク選好にも変化が見られます。リスクの観点から見ると、機密性、完全性、可用性という古典的な 3 つの要素がデジタル主権に関する議論の中心となります。歴史的には、米国クラウド法に対する懸念から、プライバシーがより重視されてきました。本質的に、外国政府は私のデータを見ることができるのでしょうか?
しかし、今年は地政学や第三国でのデータアクセスに関する現実的な懸念により、可用性の重要性が高まっています。誠実さは主権の観点からはあまり話題になりませんが、サイバー犯罪の標的としては同様に重要です。ランサムウェアと詐欺の 2 つは明確で存在するリスクです。
もっと広く考えると、デジタル主権はデータや知的財産だけでなく、頭脳流出も意味します。各国は、自国の優秀な若い技術者全員が大学を辞めて、カリフォルニアや他のより魅力的な国に移住することを望んでいません。彼らは、自国の GDP の利益のために、人材を国内に留めて地元でイノベーションを起こしたいと考えています。
クラウドプロバイダーはどのように対応していますか?
ハイパースケーラーは巻き返しを図っているが、(フランス的な意味での)法の精神を無視して法の条文を満たす方法を模索している。 Microsoft や AWS が、すでに法的にこれに反する義務を負っている場合、管轄区域内のデータを保護するためにできる限りのことを行うと言うだけでは十分ではありません。法律、この場合はアメリカの法律が決定しますが、それが現時点でどれほどデリケートであるかを私たちは皆知っています。
ハイパースケーラーは、自社ではなくサードパーティによってローカルで管理されるテクノロジーを提供することで進歩を遂げています。たとえば、Google と Thales の提携、または Microsoft と Orange の提携はいずれもフランスで行われています (Microsoft はドイツでも同様の提携を行っています)。ただし、これらはポイント ソリューションであり、一般標準の一部ではありません。一方、ローカル部門の創設に関するAWSの最近の発表は、依然として核心的な問題である米国の過剰アクセスの問題には対処していない。
非ハイパースケーラーのプロバイダーやソフトウェア ベンダーの役割は急速に増大しています。たとえば、Oracle や Capes は、ローカルに展開して管理できるソリューションを提供しています。 Broadcom/VMware および Red Hat は、ローカルにあるプライベート クラウド プロバイダーがホストできるテクノロジーを提供します。したがって、デジタル主権は、より幅広いプレーヤー層に「クラウド支出」を再配分する触媒となります。
企業組織はそれに対して何ができるでしょうか?
まず、デジタル主権をデータおよびアプリケーション戦略の中核要素として捉えます。国家にとって、主権とは具体的な国境、知的財産、GDP などの管理を意味します。企業の場合も目標は同じであり、管理、自己決定、柔軟性です。
主権が戦略の要素としてみなされていない場合、主権は実装層にまで押し下げられ、非効率なアーキテクチャや重複した作業につながります。どのデータ、アプリケーション、プロセスを主権とみなされるべきかを事前に決定し、これをサポートするアーキテクチャを定義することをお勧めします。
これにより、情報に基づいてプロビジョニングを決定するための準備が整います。あなたの組織は、大手ベンダーやハイパースケーラーに対して大きな賭けをしたことはほとんどないかもしれませんが、統合された運用と管理を備えた複数のパブリックおよびプライベート クラウド プロバイダーという、マルチプラットフォームの考え方がますます支配的になってきています。ソブリン クラウドは、適切に構造化されたマルチプラットフォーム アーキテクチャの要素になります。
主権の付与はコスト中立ではありませんが、全体的なビジネス価値は目に見えるものでなければなりません。主権イニシアチブは、それ自体に明らかな利益をもたらすだけでなく、制御、可視性、効率の向上によってもたらされる利益によっても明らかな利益をもたらすはずです。
データがどこにあるのか、どのようなデータが重要なのかを理解し、システム内でデータが重複したり断片化したりしないようにデータを効率的に管理することは、貴重な成果です。さらに、これらの質問を無視すると、コンプライアンス違反が発生したり、完全に違法となる可能性があります。 「主権」などの言葉を使わなくても、組織は情報資産を管理する必要があります。
組織は、クラウドベースのすべてが主権を持つべきであると考えるのではなく、データの分類、優先順位付け、リスクに基づいて戦略とポリシーを作成する必要があります。その全体像を作成すれば、最も優先度の高い項目、つまり最も強力な分類と最大のリスクを持つデータに最初に取り組むことができます。このプロセスだけで問題領域の 80 ~ 90% が処理され、何も解決せずに主権が別の問題になることを避けられます。
どこから始めればよいでしょうか?まずは自分の組織を大切にしましょう
主権とシステム思考は密接に関連しており、すべては範囲に関するものです。エンタープライズ アーキテクチャやビジネス デザインにおける最大の間違いは、すべてを一度に解決しようとすることです。
代わりに、自分の主権に焦点を当ててください。自分の組織、管轄区域に注意してください。自分自身の限界がどこにあるのかを知りましょう。顧客が誰なのか、彼らのニーズは何なのかを理解します。たとえば、特定の国に商品を販売しているメーカーの場合、その国では何が必要ですか?他のすべてではなく、それを解決してください。考えられる将来のあらゆるシナリオを計画しようとしないでください。
自分が持っているもの、自分の責任、そして今取り組むべきことに集中してください。現実世界のリスクに基づいてデータ資産を分類し、優先順位を付けます。これを実行すれば、デジタル主権の解決に向けてすでに半分以上進んでおり、それに伴う効率、制御、コンプライアンスのメリットもすべて得られます。
デジタル主権は規制だけでなく戦略的でもあります。今行動する組織は、信頼、コンプライアンス、回復力に基づいてリスクを軽減し、運用の明確性を高め、将来に備えることができます。
「制御の奪還: 2025 年のデジタル主権」の記事は、GigaOm に最初に掲載されました。
