ソブリンクラウドは“自社”に本当に必要か？「宝の持ち腐れ」にしない判断ポイントと情シスに課された使命

どこまでをソブリンにすべき？ コストは割高？ 日本企業にありがちな“誤解”

　PwC Japan監査法人 リスク・アシュアランス部 パートナー 執行役員の川本大亮氏は、国内におけるソブリンクラウドの認知状況について次のように語る。

　「欧州ではデータの主権や自律性を担保する動きが以前から先行していましたが、日本はようやくそれに追随し始めた段階です。現在は法律の要件を満たす必要がある特定社会基盤事業者から検討が始まっていますが、今後はそのサプライチェーンに連なる周辺企業へも段階的に波及していくと見ています」（川本氏）

　なお、ソブリンクラウドの導入にあたって、日本のCIOやIT責任者が最初に頭を悩ませるのが「コストとリスクのバランス」だろう。一般的にソブリンクラウドは、専用の運用体制や高度なセキュリティ要件を確保するため、標準的なパブリッククラウドと比較して利用コストが割高になる傾向があるのも事実だ。

　この点について、平井氏は「『コスト高』『機能面ではパブリッククラウドに劣る』という先入観を持つ企業も少なくない」としつつも「トータルコストで見れば十分に見合うケースもあるのではないか」と指摘する。「ソブリンクラウド単体で見るとコスト高に見えがちですが、たとえば法規制対応のための情報提供に関する条項を契約に盛り込めば、コンプライアンス対応にかかる工数や情報収集コストを節約できます。データを守るための運用コストまで考慮して検討することが重要だと思います」と提言した。

　そこに加えて「何でもソブリンクラウドが良い」というわけではなく、データの重要度に応じたハイブリッドなアーキテクチャを描くことで、ITの費用対効果を最適化できると川本氏は述べる。

　「国家の安全保障に関わるデータや、機密性の高いクリティカルなデータはソブリン環境で厳重に保護する。一方、一般的な業務データやスピードが求められる新機能開発には従来のパブリッククラウドを活用する。こうした適材適所のデータ管理戦略が求められるようになります」（川本氏）

「ソブリンなのにベンダー任せ」のリスク：見直すべきIT部門の役割

　今後日本で利用したい企業が増えてきたとして、ベンダーがそのニーズに的確に応えられなければ活用は進まないだろう。サプライヤーの動向に目を向けてみると、現時点で国内利用が可能なソブリンクラウドの大半は、海外ハイパースケーラーのクラウドプラットフォームを、国内のSIerやベンダーが自社データセンター内で運用する形が主流となっている。

　こうした提供形態の場合、クラウドの基盤技術、つまり「技術主権」はその多くを海外ベンダーに委ねるものの、データ主権や運用主権、システム主権などは国内で保持できる。いわゆるデジタル赤字の問題に見られるように、ITサービスにおける海外ベンダーへの依存度が大きい中で、まずはデータ・運用・システムの主権から自国で確保していく手段ともいえる。

　一方で、こうしたソブリンクラウド環境を選択した場合、日本企業の長年の課題である「SIerへの過度な依存」の問題が改めて浮かび上がる。PwC Japan監査法人 新規サービス開発／DX企画 兼 CIO/CISO パートナー 上席執行役員の宮村和谷氏は、この問題を解決するには「IT部門の役割を根本から見直す必要がある」と強調する。

　「運用主権を維持するために最も重要なのは、外部ベンダーに丸投げしないことです。何を守るべきか、どのデータがクリティカルかを自社で的確に把握し、要件を定義する能力が今以上にIT部門に求められます。ベンダーに運用を委託する場合でも、自社内にしっかりとした監査機能を持つことが不可欠です」（宮村氏）