主権は国民国家の発明以来重要なものであり、国内外で適用される国境、法律、税金によって定義されています。多くの人がそれを定義しようと試みてきましたが、核となる考え方は依然として残っています。つまり、州または管轄区域は、通常は国境内の人々の利益のために、管理を維持しようとするということです。
デジタル主権は比較的新しい概念であり、定義するのは難しいですが、理解するのは簡単です。データとアプリケーションは、インフラストラクチャ内でエンコードされているように、ポリシー条件で指定されていない限り、境界を認識しません。
World Wide Web には、初期にはそのような制限はありませんでした。電子フロンティア財団などのコミュニティ グループ、サービス プロバイダーやハイパースケーラー、非営利団体、企業はすべて、データが自動的に処理されるというモデルを採用しています。
しかし、いくつかの理由から、データは自動的には処理されません。まず、データは制御不能です。私たちは常にそれを超えるデータを生成していますが、(私が実施した過去の調査によれば)少なくとも 20 年から 30 年にわたって、ほとんどの組織はデータ資産を完全に理解していませんでした。これにより、非効率性とリスクが生じ、特にサイバー攻撃に対する広範囲にわたる脆弱性が生じます。
リスクは確率と効果の積です。そして現在、確率は上昇しています。侵略、関税、政治的緊張などが新たな緊急事態をもたらしました。去年の今頃は、他国のITシステムをシャットダウンするという考えは浮上していませんでした。現在、米国政府が海外のサービスへのアクセスをブロックするなど、それが起こっているのを私たちは目の当たりにしています。
デジタル主権はヨーロッパだけの懸念ではありませんが、そのように捉えられることがよくあります。たとえば南米では、主権がハイパースカラーとの会話を主導していると聞きました。アフリカ諸国では、これはサプライヤー契約で規定されています。多くの管轄区域は、デジタル主権に関する自らの立場を予測、評価、検討しています。
ことわざにあるように、危機とは解決する時間が残されていない問題です。デジタル主権は待ったなしの問題でしたが、今は緊急の問題です。それは抽象的な「主権への権利」から、政府の考え方、企業のリスク、そしてコンピューティング システムの設計と運用の方法において、明確で現在の問題となっています。
今日のデジタル主権の状況はどのようなものでしょうか?
去年の今頃からはたくさんのことが変わりました。未知の部分はまだ残っていますが、昨年の今頃は不明であったことの多くが形になり始めています。用語がより明確になりました。たとえば、一般的な概念ではなく、分類とローカリゼーションについて説明します。
理論から実践への移行が見られます。政府や組織は、これまで存在しなかった政策を導入しています。たとえば、一部の国では「国内」を主な目的地と見なしていますが、他の国 (英国を含む) では信頼できる場所に基づいたリスクベースのアプローチを採用しています。
リスクの優先順位にも変化が見られます。リスクの観点から見ると、機密性、完全性、可用性という古典的な 3 つの要素がデジタル主権に関する議論の中心となります。これまで、米国のクラウド法に対する懸念から、プライバシーに重点が置かれてきました。基本的に、外国政府は私のデータを見ることができるのでしょうか?
しかし、今年は、地政学と第三国でのデータアクセスに関する現実的な懸念により、可用性が著しく向上しています。誠実さは主権の観点からはあまり話題になりませんが、サイバー犯罪の標的としては同様に重要です。ランサムウェアと詐欺の 2 つは明確で存在するリスクです。
もっと広く考えると、デジタル主権はデータや知的財産だけでなく、頭脳の流出でもあります。各州は、最も優秀な若い技術者全員が大学を中退して、カリフォルニアや他のより魅力的な州に行くことを望んでいません。彼らは、GDP の利益のために、人材を国内に留め、地元でイノベーションを起こしたいと考えています。
クラウドプロバイダーはどう対応するのでしょうか?
ハイパースカラーは手の届く範囲で活動しており、(フランス的な意味での)法の精神を無視しながら、法の文言を満たす方法を依然として模索している。 Microsoft や AWS が、すでに法律で反対の措置を講じるよう求められている場合、管轄区域のデータを保護するためにできる限りのことを行うと言うだけでは十分ではありません。この法律、この場合はアメリカの法律が重要なことを示していますが、それが現時点でいかに脆弱であるかは誰もが知っています。
ハイパースケーラーは、自社ではなくサードパーティによってローカルで管理されるテクノロジーを提供するときに進歩を実感します。たとえば、Google と Thales、または Microsoft と Orange はどちらもフランスで提携しています (Microsoft はドイツでも同様の提携を行っています)。ただし、これらはポイント ソリューションであり、一般的なソリューションの一部ではありません。一方、AWSが最近発表した国内法人の発表は、依然として大きな問題である米国の過剰エクスポージャーの問題を解決するものではない。
ソフトウェアベンダーと非スケールソフトウェアベンダーは成長しており、重要な役割を果たしています。たとえば、Oracle や HPE は、ローカルに展開して管理できるソリューションを提供しています。 Broadcom/VMware および Red Hat は、オンプレミスのプライベート クラウド プロバイダーがホストできるテクノロジーを提供します。したがって、デジタル主権は、より幅広い主体に「クラウド支出」を再分配するための触媒となります。
企業組織はそれに対して何ができるでしょうか?
まず、デジタル主権がデータおよびアプリケーション戦略の重要な要素であると考えてください。国家にとって主権とは、確固たる国境、知的財産、GDPなどの管理を意味します。これは企業にとっても同様の目標です。つまり、制御、自己決定、回復力です。
主権が戦略の要素としてみなされていない場合、主権は実装層に追いやられ、非効率なアーキテクチャと重複した作業につながります。どのデータ、アプリケーション、プロセスを主権として扱うべきかを事前に決定し、これをサポートするアーキテクチャを定義する方がはるかに優れています。
これにより、情報に基づいて割り当てを決定するための環境が整います。あなたの組織はターンキー プロバイダーやハイパースカラー プロバイダーに大きな賭けをしているかもしれませんが、統合された運用と管理を備えた複数のパブリック クラウド プロバイダーとプライベート クラウド プロバイダーというマルチプラットフォームの考え方がますます支配的になってきています。ソブリン クラウドは、適切に構造化されたマルチプラットフォーム アーキテクチャの 1 つのコンポーネントになります。
主権を提供することはコスト中立ではありませんが、全体的なビジネス価値は目に見えるものでなければなりません。主権イニシアチブは、それ自体だけでなく、より優れた制御、可視性、効率性によってもたらされる利点を通じて、明らかな利益をもたらすはずです。
データがどこにあるかを把握し、どのデータが重要であるかを理解し、システム間でデータが重複したり分割されたりしないように効果的に管理することは、重要な成果です。また、これらの要請を無視すると、法令違反や明らかに違法となる可能性があります。 「主権」などの用語を使用しないとしても、組織は情報資産を管理する必要があります。
組織は、クラウドベースのすべてが主権を持つべきであると考える必要はなく、データの分類、優先順位付け、リスクに基づいて戦略とポリシーを構築する必要があります。この全体像を構築すると、最も優先度の高い項目、つまり最も強力な分類と最大のリスクを持つデータを最初に解決できます。このプロセスだけで問題領域の 80 ~ 90% が処理され、何も解決せずに主権が別の問題に変わることを回避できます。
どこから始めればよいでしょうか?まずは自分の組織を大切にしましょう
主権とシステム思考は密接に関連しており、すべては範囲の問題です。エンタープライズ アーキテクチャやビジネス デザインにおける最大の間違いは、すべてを一度に解決しようとすることです。
代わりに、自分の主権に焦点を当ててください。自分の組織、管轄区域を大事にしてください。自分の限界がどこにあるのかを知りましょう。顧客が誰で、その要件が何であるかを理解します。たとえば、特定の国に販売するメーカーの場合、これらの国では何が必要ですか?他のすべてではなく、それを解決してください。考えられる将来のあらゆるシナリオを計画しようとしないでください。
自分が持っているもの、自分の責任、そして今すぐに気を配る必要があるものに焦点を当てましょう。現実世界のリスクに基づいてデータ資産を分類し、優先順位を付けます。そうすれば、デジタル主権の解決の半分以上に到達し、それに伴う効率、制御、コンプライアンスのすべての利点が得られます。
デジタル主権は規制的なものであるだけでなく、戦略的なものでもあります。組織は今すぐ行動することで、リスクを軽減し、運用の明確性を高め、信頼、コンプライアンス、回復力に基づいて将来に備えることができます。
「制御の奪還: 2025 年のデジタル主権」の投稿は、Gigaom に最初に掲載されました。
