最近、こんな営業メールが届いていませんか。「日本のITリーダーの多くがクラウド戦略を見直しています。御社はデータレジデンシーを重視していますか、それともソフトウェアの完全な独立性も視野に入れていますか?」
言いたいことは明白です。AWS、Azure、Google Cloud、Cloudflareといった現行のクラウド基盤は、外資系ベンダーに依存しているからリスクがある、と。そしてその解決策として自社の製品を勧めてくる。
この「クラウド主権」という言葉が、2025年から2026年にかけて急速に広まっています。しかし、実際に自社のクラウド戦略を組み直す前に、この主権論が本当に自分たちの課題なのか、冷静に考える必要があります。
「主権」には3つの意味がある
「クラウド主権」という言葉は一つの意味で使われがちですが、中身は少なくとも3つに分かれます。
データレジデンシー(データの所在地) はもっともシンプルな問題です。データが物理的にどこにあるか。日本で事業を行う企業にとって、これはほぼ解決済みです。主要クラウドプロバイダーはいずれも東京・大阪にデータセンターを運用しています。M365テナントを日本リージョンに設定すれば、Exchange、SharePoint、Teamsのデータは国内サーバー上に保持されます。Cloudflareのデータローカライゼーションスイートでは、トラフィックの復号やSSL鍵の保管を日本国内のコロケーションに限定できます。
ただし「データレジデンシー」の意味はベンダーやプランによって異なります。弊社がサイトのホスティング基盤を評価した際に、あるプロバイダーではサーバーレスファンクションのデフォルトリージョンが米国東部(オハイオ)で、リージョン選択は上位プランのみという仕様を確認しました。CDNの最寄りノードもシンガポール止まり。東京にはありません。つまり、標準プランで日本向けにサービスを提供している企業は、サーバー処理がオハイオ、キャッシュがシンガポールという構成になります。「クラウドを使っている」ことと「日本にデータがある」ことは別の話です。契約中のプランで、実際にどのリージョンでワークロードが動いているか確認してください。
運用主権 は、インフラの管理者は誰か、暗号鍵は誰が保持しているか、深夜3時に管理コンソールへアクセスできるのは誰か、という問題です。大半の企業では、自社のIT部門(またはITパートナー)がプロバイダーの管理ツールを使って運用しています。プロバイダーは利用者の同意なくデータにアクセスできず、個人情報保護法(APPI)やプロバイダー固有のDPAが契約上の枠組みを定めています。運用主権はベンダーの本社所在地ではなく、アクセス制御と鍵管理の構成で決まります。
ソフトウェア独立性 はもっとも大きな主張です。インフラスタック全体を外国製ソフトウェアから解放するというもの。しかし、これを本気で実現しようとすれば、クラウドプロバイダーだけでなく、OS、ID基盤、メール、セキュリティツール、監視スタック、そしてすべてのSaaS連携を置き換える必要があります。M365やSalesforceなど十数種類のSaaSを利用している企業にとって、これは移行計画ではなく、空論です。
しかもこの「ソフトウェア独立性」を提唱しているベンダー自身が外資系企業であるケースも少なくありません。米国ベンダーへの依存を解消する代わりに、欧州ベンダーのソフトウェアへの依存が生じる。主権チェーンの外国リンクが入れ替わるだけです。
主権論が見落としている現実的な問題もあります。日本国内のホスティング市場(さくらインターネット、GMOインターネットグループ、IIJ、カゴヤなど)は、いまだにVPS・共有ホスティング・従来型IaaSが中心です。モダンなエッジコンピューティング、サーバーレスファンクション、git pushでデプロイできるワークフローを提供する国産プラットフォームは存在しません。もし主権対応として「国産プラットフォームのみ」を条件にすれば、最新のWeb基盤の選択肢は事実上ゼロになります。NTTのVPSでWordPressを動かす時代に逆戻りです。(主要プラットフォームの規模比較と国内ベンダーの状況をまとめた参考資料も公開しています。)
経済安全保障推進法が求めていること
主権を訴えるセールスの背景にあるのは、2022年施行の経済安全保障推進法(ESPA)です。
ESPAの「重要インフラサービスの安定的な提供の確保」制度のもとでは、電力・ガス・水道・通信・金融などの指定事業者に対し、特定重要設備の導入や重要維持管理の委託にあたり、事前届出とリスク管理措置が求められます。
東京電力やみずほ銀行、NTTであれば直接該当します。しかし、従業員200人規模の製薬会社、物流子会社、東京オフィスを持つ中堅メーカーであれば、まず該当しません。
もう一つの枠組みがISMAP(政府情報システムのためのセキュリティ評価制度)です。公共調達向けのクラウドサービスに対する標準的なセキュリティ評価を定めており、民間企業でも参照されるようになっています。
ここで、主権論の矛盾が浮かび上がります。
主要クラウドプロバイダーは東京・大阪で完全認定されたデータセンターを運用しており、日本政府の公共調達向けセキュリティ基準を満たしています。
写真: Taylor Vick on Unsplash
「外資系」ベンダーはすでに日本政府のセキュリティ基準をクリアしている
2026年初頭時点で、ISMAP登録済みのプロバイダーにはAWS、Microsoft Azure、Google Cloud、Oracle、さくらインターネットが含まれます。Snowflakeは2025年末に登録を完了。Palo Alto Networksもセキュリティサービスで登録済みです。そして2026年1月には、CloudflareがCDN、WAF、DDoS防御、ゼロトラストサービス(Secure Web Gateway、Remote Browser Isolation)、Workers(サーバーレスプラットフォーム)を対象にISMAP登録を完了しました。
つまり、経済安全保障推進法を制定した日本政府自身が、これらの外資系プロバイダーを公共調達のセキュリティ基準を満たすものとして認定しているわけです。
本社への説明ポイント: 海外本社から「日本のクラウドは主権的に大丈夫なのか」と聞かれた場合、ISMAPの登録リストを示すのが効果的です。日本政府が認定したセキュリティ評価制度であり、主要プロバイダーはいずれも登録済みです。
判断フレームワーク:自社にクラウド主権対応は本当に必要か?
代替案の実際のコスト
「主権対応」のプライベートクラウドには、どの程度のコストがかかるのか。代表的なマネージドOpenStackサービスの場合、管理費用は物理サーバー1台あたり約15ドル/日、年間約4,275ドルです。初期構築のコンサルティング費用は75,000〜150,000ドル。
ただしこれはハードウェアをすでに所有している前提です。本番環境には最低10〜12ノード(コントロールプレーン、コンピュート、ストレージ)が必要で、日本国内のサーバー価格は1台あたり50〜150万円。ネットワーク機器、ラック、電力、冷却を加えると、VMを1台も立ち上げる前に1,000〜2,000万円のCAPEXが発生します。
AWSやAzureに月額5,000〜10,000ドルを支出している中堅企業であれば、損益分岐は3〜4年目。スケーリングの必要もなく、運用チームも確保できている前提でです。
東京では異なる抽象度が共存している。近代的なスカイラインの中の浅草寺は、正しいアプローチは流行ではなく文脈で決まることを思い出させてくれる。
M365やマネージドセキュリティサービスを利用している企業は、「インフラ管理ではなく成果に対価を払う」という選択をしています。そうした企業にOpenStack運用のためのプラットフォームエンジニアリングチームを構築せよというのは、タクシーで通勤している人にバスを購入してメカニックを雇えと言うようなものです。抽象度が合っていません。
セキュリティ予算の優先順位
日本で事業を展開する大半の企業にとって、本当のセキュリティリスクはクラウドプロバイダーの本社がどの国にあるかではありません。ID管理の設定ミス、構成ドリフトの見落とし、脆弱なパスワード運用、過剰な権限付与、フィッシングメールを見抜けない社員。こちらのほうがはるかに深刻です。
これらの問題は、プライベートクラウドに切り替えても解決しません。解決するのは地道なセキュリティ衛生活動です。条件付きアクセスポリシー、全面的なMFA導入、テナント分離、定期的なアクセス権レビュー、DNS監視、メール認証(SPF、DKIM、DMARC)、接続元を問わず検証するゼロトラストアーキテクチャ。
お客様から「500万円のセキュリティ投資先はどこがよいか」と聞かれたら、私たちの答えはM365 Business Premiumライセンス、Cloudflare Zero Trust、パスワード保管庫、そして構成ドリフトを検出する監視サービスです。プライベートクラウドではありません。
主権が検討に値するケース
この概念を全否定するつもりはありません。ESPAの重要インフラ指定事業者に該当する場合、アーキテクチャ変更を伴うコンプライアンス義務が生じます(ただしISMAP認定済みのハイパースケーラーも有効な選択肢です)。
機密情報や政府関連データを扱う場合、2025年5月施行のセキュリティ・クリアランス制度(英語)により、プロバイダー選定に影響する要件が加わります。
法務部門から米国CLOUD Actへの懸念がある場合は、専門的な法的分析が必要です。プロバイダー各社には過度な要請に異議を申し立てた実績があり、二国間の枠組みも進展しています。防衛関連や機密性の高いR&Dなど特定の業種では、法的助言を受ける価値があります。
それ以外の大多数の企業にとって、主権論は存在しない課題にマーケティング上の緊急性を与え、不要なソリューションを売ろうとしているにすぎません。
まとめ
クラウド主権という概念は的外れではありません。ただし、適用先を間違えています。規制の焦点は重要インフラ事業者と政府システムであり、中堅企業ではありません。主権推進派が必要だと主張するセキュリティ認証は、すでに現行のプロバイダーが取得済みです。そして代替案として提示されているプライベートクラウドは、外国のソフトウェアベンダーに管理を委ねるものであり、約束された独立性を実現できていません。
「データレジデンシー重視ですか、それともソフトウェアの完全な独立性ですか」と聞かれたら、自信を持って答えてください。データは日本国内にある。クラウドプロバイダーはISMAP認定済み。アーキテクチャはゼロトラストを採用。セキュリティは自社で管理できる範囲に構築されている。これが実質的な主権です。それ以外はセールストークです。
ガイドのダウンロード
日本市場における主要クラウドおよびホスティングプラットフォームの比較をまとめた参考資料を公開しています:
クラウド主権 日本市場リファレンスガイド
日本でのクラウド戦略についてご相談がありましたら、お気軽にお問い合わせください.
著者について
Rick Cogley(リック・コグレー)は、東京を拠点とするバイリンガルITマネジメント企業、株式会社イソリアの代表取締役CEOです。1999年以来、イソリアは日本で事業を展開する国際企業にB2B ITサービスを提供し、日本のビジネス文化の複雑さに対応しながら、世界水準の技術サポートを提供しています。