コントロールを取り戻す – GigaOm
主権は国民国家の発明以来重要であり、内外に適用される国境、法律、税金によって定義されています。多くの人がそれを定義しようと試みてきましたが、中心的な考え方は依然として残っています。つまり、国家または管轄区域は、通常は国境内の人々の利益のために、管理を維持しようとするものです。
デジタル主権は比較的新しい概念であり、定義するのは難しいですが、理解するのは簡単です。データとアプリケーションは、インフラストラクチャ内でエンコードされているように、ポリシーの観点から指定されない限り、境界を認識しません。
World Wide Web には、当初はそのような制限はありませんでした。電子フロンティア財団などのコミュニティ グループ、サービス プロバイダーやハイパースケーラー、非営利団体、企業は、データが自動的に処理されることを示唆するモデルを採用しました。
しかし、さまざまな理由から、データはそれ自体で処理されません。まず、データが大幅に制御不能になっています。私たちは常にそれを超えるデータを生成していますが、(私が実施した過去の調査に基づくと)少なくとも 20 ~ 30 年間、ほとんどの組織は自社のデータ リソースを完全に理解していませんでした。これにより、非効率性とリスクが生じ、特にサイバー攻撃に対する広範囲にわたる脆弱性が生じます。
リスクは確率の影響であり、現在その確率は急上昇しています。侵略、関税、政治的緊張などが新たな緊急事態をもたらしました。去年の今頃は、他国のコンピューターシステムをシャットダウンするという考えは、まったく注目されていませんでした。現在、米国政府が海外サービスへのアクセスをブロックするなど、何が起こるのかを目の当たりにしています。
デジタル主権はヨーロッパだけの懸念ではありませんが、そのように捉えられることがよくあります。たとえば、南米では主権がハイパーエスカレーターと対話していると聞きました。アフリカ諸国では、サプライヤー契約で規定されています。多くの法域がデジタル主権に関する立場を観察、評価、修正しています。
ことわざにあるように、危機とは解決する時間がない問題です。デジタル主権は待ちの課題でしたが、今は緊急の課題となっています。これは、抽象的な「主権への権利」から、政府の考え方、企業のリスク、IT システムの設計と運用方法において、明確かつ現在の問題となっています。
今日のデジタル主権の状況はどうなっていますか?
去年の今頃からはたくさんのことが変わりました。まだ不明な点はありますが、昨年の今頃は不明だった部分の多くが今では固まり始めています。用語はより明確です。たとえば、一般的な概念ではなく分類と場所について説明しています。
私たちは理論から実践への移行を目の当たりにしています。政府や組織は、これまで存在しなかった政策を導入しています。たとえば、一部の国では主な目的を「国内」と見なしていますが、他の国 (英国を含む) では信頼できる前提に基づいたリスクベースのアプローチを採用しています。
リスクの優先順位にも変化が見られます。リスクの観点から見ると、機密性、完全性、可用性という古典的な 3 つの要素がデジタル主権に関する議論の中心となります。歴史的には、米国クラウド法に対する懸念から機密保持に重点が置かれてきました。本質的に、外国政府は私のデータを見ることができるのでしょうか?
しかし、今年は、地政学と第三国でのデータアクセスに関する非常に現実的な懸念により、可用性の重要性が高まっています。誠実さは主権の観点からはあまり話題になりませんが、サイバー犯罪の標的としては同様に重要です。ランサムウェアと詐欺の 2 つは明確で存在するリスクです。
もっと広く考えると、デジタル主権はデータや知的財産だけでなく、頭脳流出も意味します。各国は、自国の最も優秀な若い技術者全員が大学を中退して、カリフォルニアや他のより魅力的な国に行き着くことを望んでいません。彼らは、自国の GDP に利益をもたらすために、人材を国内に留め、地元でイノベーションを起こしたいと考えています。
クラウドプロバイダーはどのように対応していますか?
ハイパークライマーたちは、(フランス的な意味での)法律の精神を無視することなく、法律の文言を満たす方法を模索しながら、追いつきを続けている。 Microsoft や AWS が、すでに法的に義務付けられている場合には、管轄区域のデータを保護するためにできる限りのことを行うと言うだけでは十分ではありません。法律、この場合は米国の法律がこれに当てはまりますが、それが現在いかに脆弱であるかは誰もが知っています。
ハイパースケーラーは、自社ではなくサードパーティによってローカルで管理されるテクノロジーを提供するという進歩を目にしています。たとえば、Google と Thales、または Microsoft と Orange の関係はどちらもフランスにあります (Microsoft はドイツでも同様です)。ただし、これらは 1 回限りの解決策であり、一般的なルールの一部ではありません。一方、AWSが最近発表した現地法人設立の発表は、依然として核心的な問題である米国の行き過ぎの問題を解決するものではない。
ハイパースケーラーではないベンダーやソフトウェア ベンダーの役割はますます重要になっています。たとえば、Oracle や HPE は、ローカルに展開して管理できるソリューションを提供しています。 Broadcom/VMware および Red Hat は、オンプレミスのプライベート クラウド プロバイダーがホストできるテクノロジーを提供します。したがって、デジタル主権は、より広範なプレーヤーグループ間での「クラウド支出」の再分配の触媒となります。
企業組織はそれに対して何ができるでしょうか?
まず、デジタル主権をデータおよびアプリケーション戦略の中心要素として見てください。国家にとって主権とは、強固な国境を持ち、知的財産やGDPなどを管理することを意味します。それは企業にとっても目標であり、管理、自己決定、抵抗です。
主権が戦略の要素としてみなされていない場合、主権は実装層に押し下げられ、非効率なアーキテクチャや重複した作業につながります。どのデータ、アプリケーション、プロセスを主権として扱うべきかを事前に決定し、そのためのアーキテクチャを定義することをお勧めします。
これにより、情報に基づいて調達を決定するための準備が整います。あなたの組織は主要なプロバイダーやハイパースケーラーに大きな賭けをしているかもしれませんが、統合された運用と管理を備えた複数のパブリック クラウド プロバイダーとプライベート クラウド プロバイダーというクロスプラットフォームの考え方がますます主流になっています。ソブリン クラウドは、適切に構造化されたクロスプラットフォーム アーキテクチャの要素になります。
主権は中立ではありませんが、ビジネスの全体的な価値は目に見えるものでなければなりません。主権イニシアチブは、それ自体だけでなく、制御、可視性、効率の向上によってもたらされる利点を通じて、明らかな利点をもたらすはずです。
データがどこにあるかを把握し、どのデータが重要であるかを理解し、システム間でデータが重複したり断片化されたりしないように効率的に管理することは、貴重な成果です。また、これらの質問を無視すると、コンプライアンス違反や完全な違法行為につながる可能性があります。 「主権」などの用語を使わないとしても、組織は情報を管理する必要があります。
組織は、クラウドベースのすべてが主権的であるべきだと考える必要はなく、データの分類、優先順位付け、リスクに基づいて戦略とポリシーを構築する必要があります。そのイメージを作成すると、最も優先度の高い項目、つまり最も強力な分類と最も高いリスクを持つデータを最初に解決できます。このプロセスだけで問題領域の 80 ~ 90% が処理され、何も解決せずに主権が別の問題になることを避けられます。
どこから始めればよいでしょうか?まずは自分の組織を大事にしてください
主権と制度的考え方は密接に関連しており、すべては範囲の問題です。エンタープライズ アーキテクチャやエンタープライズ デザインにおける最大の間違いは、すべてを一度に解決しようとすることです。
代わりに、あなた自身の主権に焦点を当ててください。あなたは自分の組織、自分の管轄区域について心配しています。自分自身の境界線がどこにあるのかを知りましょう。顧客が誰で、その要件が何であるかを理解します。たとえば、特定の国で販売するメーカーの場合、その国では何が必要ですか?他のすべてではなく、それを解決してください。考えられる将来のあらゆるシナリオを計画しようとしないでください。
自分が持っているもの、自分の責任、そして今取り組むべきことに集中してください。現実世界のリスクに基づいてデータ資産を分類し、優先順位を付けます。そうすることで、デジタル主権の解決策の半分以上を達成し、それに伴う効率、制御、コンプライアンスのメリットをすべて享受できます。
デジタル主権は規範的なものであるだけでなく、戦略的なものでもあります。今行動する組織は、リスクを軽減し、運用の明確性を高め、信頼、コンプライアンス、回復力に基づいて将来に備えることができます。
「制御の奪還: 2025 年のデジタル主権」の投稿は、Gigaom に最初に掲載されました。
