“真”のデータ主権には何が必要か、「データセキュリティ」で重要なことを把握できているか？

データ主権のポイントは「暗号化」と「鍵管理」にあり

　データをコントロールしてデータ主権を確保するために、キーとなるのが「暗号化」と「鍵管理」だと兼子氏。この二つについて、タレスは最高レベルの技術を有していると自信を見せる。これらに加え、前述の防衛で培った技術も組み合わせることで、データをしっかり可視化しコントロールするまでの支援が可能だとする。

　兼子氏は、「データがどこにあるかよりも、最終的には暗号化して鍵を手元に置いて管理することが重要、それこそがタレスの考えるデータ主権だ」と語る。手元で鍵をしっかり管理できていれば、データがどこにあろうと、どういう状況であろうと、それをコントロールし主権を保てるという。このコンセプトが評価されているからこそ、欧米で多くの組織からタレスのソリューションが採用されていると主張する。

　もう一つのポイントは、マルチクラウドおよびハイブリッドクラウド環境への対応だ。パブリッククラウドを採用している組織では、クラウドベンダー側が提供するサービスを利用しデータを暗号化しているケースが多い。しかしその場合、前述したように国外にデータが置かれる可能性があるうえ、鍵をパブリッククラウド側で管理する運用形態となれば、他国での法規制などの影響で、ユーザー側でのデータコントロールを失う可能性もゼロではない。

　この問題を完全に払拭するためには、暗号鍵をユーザーのローカル環境で常に管理できるようにする必要がある。兼子氏は「タレスのソリューションなら、オンプレミスでもクラウドでも、マルチクラウドでもハイブリッドクラウドでも一元的な鍵管理が可能だ」と説明する。

鍵を自前で管理せずしてデータ主権は確保できるのか？

　日本でも、すでにデータ暗号化に取り組んでいるという企業がそれなりにあるだろう。しかし、「データはパブリッククラウドの国内リージョンで管理しており、暗号化もしているので安全だ」という判断をしているケースが少なくないのではないか。

　たとえば、米国にはクラウドアクト法（CLOUD Act：データ国外適法利用明確化法）というものがある。これは、FBIなどといった米国の捜査機関が、裁判所の令状や召喚令状に基づき、米国管轄下にあるクラウド事業者などのサービスプロバイダーに対し、保有・管理・支配下にあるデータの提出を要求できるものだ。

　この法律には域外適用もあり、米国外のサーバーに保存されているデータにも提出義務が課されている。つまり、クラウドプロバイダーにデータと鍵を握られている場合、たとえ国内リージョンにデータを暗号化して保管していても、データが当局に提出され中身が明らかになる可能性があるということだ。これを避けるためには、鍵を自分で管理するしかない。

　最後に兼子氏は、デジタル社会形成基本法に基づいてデジタル庁が中心となり毎年策定している『デジタル社会の実現に向けた重点計画』に言及した。日本政府がデジタル社会の実現に向けて取るべき施策を具体的に示した行動計画だ。

　重点計画とは高レベルの戦略や方針を示すものであり、その目標達成のための手段として、本計画では信頼性の高いID管理の仕組みの構築・活用や、クラウドを含むシステムにおけるデータの暗号化といったセキュリティ対策が重視されているという。

　兼子氏は「タレスは、これらに対応できるソリューションをすべてそろえている」としつつも、一社だけで真に安心・安全な社会は実現できないと語る。そのため、同社が日本市場で事業を展開していくうえで、日本のベンダーやSI企業との密な連携は欠かせないとした。今後も日本市場特有のニーズに対して、その実情をよく知るパートナーと協業しながら応えていくとのことだ。

　そして日本ではこれまで、セキュリティといえばネットワークセキュリティの話題が中心になることが多かった。もちろんネットワークセキュリティも引き続き重要だが、データ主権や国防の観点では、「データセキュリティ」が求められる。

　データセキュリティで必要となるアプローチは、ネットワークセキュリティとは異なる。兼子氏は「多くの日本企業では、ネットワークセキュリティに関してはすでに様々なソリューションが導入されている。ただ、私から見れば『少し入れすぎているのでは？』と感じるケースもある。データセキュリティではそうならないように、自社にとって本当に必要な対策や技術は何かを考える必要がある」と述べた。

　そのうえで、「ネットワークセキュリティとはどう観点が異なるのか、データはどう守るべきかを、我々としてもどんどん話題にしていきたい」とした。