ドイツ BSIがセキュリティや主権機能の設計を支援したAWS 欧州ソブリンクラウドが開始した (2026.01.15)
こんにちは、丸山満彦です。
日本ではソブリンクラウドについてなんとなく話されている程度ですが、欧州では戦略的に体系立てて整理され、実装にむけて進んでいますね...で、AWSを利用した欧州ソブリンクラウドが開始されたという話です...
● BSI
| AWS European Sovereign Cloud startet: BSI unterstützt bei Ausgestaltung von Sicherheits- und Souveränitätsmerkmalen | AWS European Sovereign Cloud が開始:BSI がセキュリティおよび主権機能の設計を支援 |
| Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt den US-Cloud-Anbieter Amazon Web Services (AWS) bei der Ausgestaltung von Sicherheits- und Souveränitätsmerkmalen seiner heute gestarteten European Sovereign Cloud (ESC): einer eigenständigen Cloud-Infrastruktur, die sich vollständig innerhalb der EU befindet und deren Betrieb physisch wie auch logisch von der globalen AWS-Instanz unabhängig sein wird. | ドイツ連邦情報セキュリティ局(BSI)は、米国のクラウドプロバイダーである Amazon Web Services(AWS)が本日開始した European Sovereign Cloud(ESC)のセキュリティおよび主権機能の設計を支援している。ESC は、EU 域内に完全に設置され、物理的および論理的にグローバルな AWS インスタンスから独立して運用される、独立したクラウドインフラストラクチャである。 |
| BSI-Präsidentin Claudia Plattner: „Um mit digitalen Innovationen Schritt zu halten und gleichzeitig digitale Souveränität zu ermöglichen, verfolgt das BSI eine Doppelstrategie. Erstens: Der europäische Markt und die hiesige Digitalindustrie müssen gestärkt werden. Zweitens: Außereuropäische globale Produkte müssen so angepasst und eingebettet werden, dass eine sichere und selbstbestimmte Nutzung möglich wird. Voraussetzung dafür sind im Bereich Cloud-Computing innovative Angebote, die als europäische Instanzen sowohl technisch als auch organisatorisch unabhängig betrieben werden. Die Zukunft der Hyperscaler in Europa sind daher Angebote wie die AWS European Sovereign Cloud. Als Cybersicherheitsbehörde Deutschlands freuen wir uns, dass wir zu deren Konzeption beitragen können. Wir werden die Umsetzung der Sicherheits- und Souveränitätsmerkmale eng begleiten.“ | BSI のクラウディア・プラットナー会長は、「デジタルイノベーションに遅れを取らないよう、同時にデジタル主権を実現するため、BSI は 2 つの戦略を追求している。まず、欧州市場と欧州のデジタル産業を強化すること。次に、欧州以外のグローバル製品を、安全かつ自主的な利用が可能になるよう調整し、組み込むことだ。その前提条件としては、クラウドコンピューティングの分野において、技術的にも組織的にも独立して運営される、革新的なサービスが必要だ。したがって、ヨーロッパにおけるハイパースケーラーの未来は、AWS European Sovereign Cloud のようなサービスにある。ドイツのサイバーセキュリティ機関として、その構想に貢献できることを嬉しく思う。我々は、セキュリティと主権の特徴の実装を密接に支援していくつもりだ。」 |
| Stéphane Israël, Managing Director AWS European Sovereign Cloud and Digital Sovereignty: „Europa braucht Zugang zu führender Cloud- und KI-Technologie. Die Erweiterung der AWS Innovationen in Europa wird dabei helfen, das Wachstum unserer Kunden und ihre KI-Ambitionen voranzutreiben. Kunden wollen das Beste aus beiden Welten – sie möchten die komplette Palette der fortschrittlichen Cloud- und KI-Services von AWS nutzen können und gleichzeitig sicherstellen, dass sie strengste Souveränitätsanforderungen erfüllen können. Indem wir eine Cloud aufbauen, die in ihrer Technologie, ihrem Betrieb und ihrer Kontrolle vollständig europäisch ist, ermöglichen wir Organisationen, mit Zuversicht zu innovieren und dabei die vollständige Kontrolle über ihre digitalen Ressourcen zu behalten.“ | ステファン・イスラエル、AWS European Sovereign Cloud and Digital Sovereignty マネージングディレクター:「ヨーロッパは、最先端のクラウドおよび AI テクノロジーへのアクセスを必要としている。ヨーロッパにおける AWS のイノベーションの拡大は、お客様の成長と AI に関する野心の推進に貢献するだろう。顧客は、両方の長所を最大限に活用したいと考えている。つまり、AWS の先進的なクラウドおよび AI サービスをすべて利用しながら、最も厳しい主権要件も満たすことを望んでいる。技術、運用、管理のすべてにおいて完全にヨーロッパのクラウドを構築することで、組織は自信を持ってイノベーションを推進しながら、デジタルリソースを完全に管理し続けることができるようになる。」 |
| Um Souveränität faktisch zu gewährleisten, sollte die AWS European Sovereign Cloud aus Sicht des BSI technische und strukturelle Souveränitätsmerkmale kombinieren: Zu den wichtigsten Aspekten gehört dabei neben der technischen Unabhängigkeit von der globalen Partition ein technisch und organisatorisch eigenständiges Personal der europäischen Cloud-Infrastruktur, das den Regelbetrieb (einschließlich der kontinuierlichen Schließung von Sicherheitslücken) sicherstellt und ausschließlich aus EU-Bürgern zusammengesetzt ist. Darüber hinaus ist es aus Sicht des BSI unabdingbar, durch technische Kontrollschichten zum einen zu verhindern, dass Nutzerdaten aus dem EU-Raum abfließen können, und zum anderen auszuschließen, dass eine externe Steuerung oder auch Abschaltung (sog. Kill-Switch) der Instanz vorgenommen werden kann. Dies betrifft auch Updates, welche in die ESC eingespielt werden. | 主権を事実上確保するためには、BSI の見解では、AWS European Sovereign Cloud は技術的および構造的な主権の特徴を組み合わせていなければならない。その最も重要な側面としては、グローバルパーティションからの技術的独立性に加え、欧州のクラウドインフラストラクチャの技術的および組織的に独立したスタッフがいることが挙げられる。このスタッフは、通常の運用(セキュリティギャップの継続的な解消を含む)を確保し、EU 市民のみで構成される。さらに、BSI の見解では、技術的な制御層によって、EU 域外へのユーザーデータの流出を防止するとともに、外部からの制御やインスタンスの停止(いわゆるキルスイッチ)を不可能にすることが不可欠だ。これは、ESC に導入されるアップデートにも当てはまる。 |
| Im nächsten Schritt wird das BSI den Status der Entkopplungsfähigkeit und die Umsetzung u.a. der genannten Souveränitätsmaßnahmen prüfen und bewerten sowie zur weiteren Optimierung der Souveränitätsmerkmale der AWS ESC beitragen. | 次のステップとして、BSI は、分離可能性のステータス、および上記の主権対策などの実施状況を検証・評価し、AWS ESC の主権特性のさらなる最適化に貢献する予定だ。 |
| Im Laufe des Jahres wird das BSI auf Basis des EU Cloud Sovereignty Framework allgemeine Souveränitätskriterien für Cloud-Computing-Lösungen veröffentlichen. Diese Kriterien sollen als Grundlage für die Bewertung des Autonomiegrades von Cloud-Lösungen dienen und u.a. auch in Beschaffungsprozessen eingesetzt werden können. | 今年中に、BSI は EU クラウド主権フレームワークに基づいて、クラウドコンピューティングソリューションの一般的な主権基準を発表する予定だ。これらの基準は、クラウドソリューションの自律性の程度を評価するための基礎として、また調達プロセスなどで活用することができる。 |
・2025.10 [PDF] Cloud Sovereignty Framework Version 1.2.1 – Oct. 2025
参考
主権目標
| # | Sovereignty Objectives | 主権目標 | Sovereignty Objectives Descriptions | 主権目標の説明 |
| SOV-1 | Strategic Sovereignty | 戦略的主権 | Strategic sovereignty captures the degree to which the services of a cloud provider (or technology actor) are anchored within the European Union legal, financial, and industrial ecosystem. It assesses ownership stability, governance influence, and alignment with EU strategic priorities. | 戦略的主権とは、クラウドプロバイダ(または技術アクター)のサービスが、欧州連合の法的・金融・産業エコシステムにどの程度定着しているかを示すものである。所有権の安定性、ガバナンスへの影響力、EUの戦略的優先事項との整合性を評価する。 |
| SOV-2 | Legal & Jurisdictional Sovereignty | 法的・管轄主権 | Legal & Jurisdictional sovereignty evaluates the legal environment, exposure to foreign authority, and enforceability of rights that govern the services of a technology provider. It determines the extent to which the services are anchored in European jurisdiction and insulated from external legal claims. | 法的・管轄主権は、技術プロバイダのサービスを統治する法的環境、外国当局への曝露、権利の執行可能性を評価する。サービスが欧州の管轄権にどの程度定着し、外部からの法的請求から隔離されているかを決定する。 |
| SOV-3 | Data & AI Sovereignty | データ・AI主権 | Data & AI sovereignty focuses on the protection, control, and independence of data assets and AI services within the EU. It addresses how data is secured, where it is processed, and the degree of autonomy customers retain over AI capabilities. | データ・AI主権は、EU域内におけるデータ資産とAIサービスの防御、管理、独立性に焦点を当てる。データの防御方法、処理場所、顧客がAI機能に対して保持する自律性の程度を扱う。 |
| SOV-4 | Operational Sovereignty | 運用主権 | Operational sovereignty measures the practical ability of EU actors to run, support, and evolve a technology independently of foreign control. It focuses on continuity of operations, skill availability, and resilience against external dependencies. | 運用主権とは、EU関係者が外国の支配を受けずに技術を運用・支援・進化させる実践的能力を測るものである。運用継続性、技能の可用性、外部依存に対するレジリエンスに焦点を当てる。 |
| SOV-5 | Supply Chain Sovereignty | サプライチェーン主権 | Supply chain sovereignty evaluates the geographic origin, transparency, and resilience of the technology supply chain, focusing on the extent to which critical components and processes remain under EU control or exposed to non-EU dependencies. | サプライチェーン主権は、技術サプライチェーンの地理的起源、透明性、レジリエンスを評価する。重要部品やプロセスがEUの管理下に留まるか、非EU依存に晒されるかの程度に焦点を当てる。 |
| SOV-6 | Technology Sovereignty | 技術主権 | Technology sovereignty evaluates the degree of openness, transparency, and independence in the underlying technological stack, ensuring EU actors can interoperate, audit, and evolve solutions without lock-in to foreign proprietary systems. | 技術主権は、基盤となる技術スタックの開放性、透明性、独立性の程度を評価する。これにより、EU関係者が外国の独自システムに縛られることなく、相互運用、監査、ソリューションの進化を実現できることを保証する。 |
| SOV-7 | Security & Compliance Sovereignty | セキュリティ・コンプライアンス主権 | Security & Compliance sovereignty measures the extent to which security operations, compliance obligations, and resilience measures are controlled within the EU, ensuring independence from foreign jurisdictions and long-term operational assurance. | セキュリティ・コンプライアンス主権は、セキュリティ運用、コンプライアンス義務、レジリエンス対策がEU域内で管理されている程度を測定し、外国の管轄権からの独立性と長期的な運用保証を確保する。 |
| SOV-8 | Environmental Sustainability | 環境持続可能性 | Environmental sustainability assesses autonomy and resilience of cloud services over the long term in relation to energy usage, dependency and raw material scarcity. | 環境持続可能性は、エネルギー使用量、依存度、原材料の不足に関して、クラウドサービスの長期的な自律性とレジリエンスを評価する。 |
主権効果保証レベル(SEAL)
| 主権効果保証レベル | Sovereignty Effectiveness Assurance Levels Descriptions | 主権有効性保証レベルの説明 |
| SEAL-0 | No Sovereignty: | 主権なし: |
| Service, technology or operations under exclusive control of non-EU third parties, governed entirely in non-EU jurisdictions. | サービス、技術、または運用が非EUサードパーティの独占的支配下にあり、完全に非EU管轄区域で管理されている状態。 | |
| SEAL-1 | Jurisdictional Sovereignty: | 管轄権主権: |
| EU law formally applies with limited practical enforceability; service, technology or operations under exclusive control of non-EU third parties. | EU法が形式的に適用されるが、実際の執行力は限定的である。サービス、技術、または運営は非EUサードパーティの独占的支配下にある。 | |
| SEAL-2 | Data Sovereignty: | データ主権: |
| EU law applicable and enforceable, with material non-EU dependencies remaining; service, technology or operations under indirect control of non-EU third parties. | EU法が適用され執行可能だが、EU域外への重要な依存関係が残存する。サービス、技術、または業務がEU域外のサードパーティの間接的な管理下にある。 | |
| SEAL-3 | Digital Resilience: | デジタルレジリエンス: |
| EU law applicable and enforceable, EU actors exercising meaningful but not full influence; service, technology or operations under marginal control of non-EU third parties. | EU法が適用可能かつ執行可能だが、EU関係者は実質的影響力を行使するものの完全な支配権は有さない。サービス、技術、または運用が非EUサードパーティの軽微な支配下にある。 | |
| SEAL-4 | Full Digital Sovereignty: | 完全なデジタル主権: |
| Technology and operations under complete EU control, subject only to EU law, with no critical non-EU dependencies. | 技術と運用は完全にEUの管理下にあり、EU法のみに従う。重要な非EU依存関係は存在しない。 |
主権目標の評価要素
| # | 主権目標 | Contributing factors | 評価要素 |
| SOV-1 | 戦略的主権 | - Ensuring that bodies having decisive authority over your services are located within EU jurisdiction, | - サービスに対する決定権限を持つ団体がEUの管轄区域内に所在することを保証する。 |
| - Evaluating the assurances against change of control. | - 支配権の変更に対する保証を評価する。 | ||
| - Degree to which the provider relies on financing coming from EU sources. | - プロバイダがEU域内からの資金調達に依存する度合い。 | ||
| - Extent of investment, jobs, and value creation within EU. | - EU域内における投資、雇用創出、価値創造の規模。 | ||
| - Involvement in EU initiatives, Consistency with digital, green, and industrial sovereignty objectives defined at EU level. | - EUイニシアチブへの関与。EUレベルで定義されたデジタル主権、グリーン主権、産業主権の目標との整合性。 | ||
| - Ability to sustain secure operations against requests to cease or suspend the service, or if vendor support is withdrawn or disrupted. | - サービスの停止・中断要求、あるいはベンダーサポートの撤回・中断が発生した場合でも、安全な運用を維持する能力。 | ||
| SOV-2 | 法的・管轄権主権 | - The national legal system governing the provider’s operations and contracts. | - プロバイダの運営と契約を規定する国内法体系。 |
| - Degree of exposure to non-EU laws with cross-border reach (e.g., US CLOUD Act, Chinese Cybersecurity Law). | - 域外適用のある非EU法(例:米国クラウド法、中国サイバーセキュリティ法)へのエクスポージャー度合い。 | ||
| - Existence of legal, contractual, or technical channels through which non-EU authorities could compel access to data or systems. | - EU域外の当局がデータやシステムへのアクセスを強制できる法的、契約上、技術的な経路の存在。 | ||
| - Applicability of international regimes, which may restrict usage or transfer. | - 使用や移転を制限する可能性のある国際的な規制の適用性。 | ||
| - Location of intellectual property creation, registration, and development (EU vs. third countries), legal jurisdiction where IP is created and developed. | - 知的財産の創出、登録、開発の場所(EU対第三国)、知的財産が創出・開発される法的管轄区域。 | ||
| SOV-3 | データとAIの主権 | - Ensuring that only the customer, not the provider, has effective control over cryptographic access to their data. | - 顧客のみが、プロバイダではなく、自らのデータへの暗号アクセスを効果的に制御できることを保証する。 |
| - Visibility into when, where, and by whom data is accessed, including auditability of AI model usage, mechanisms guaranteeing irreversible removal of data, with verifiable evidence. | - データがいつ、どこで、誰によってアクセスされたかの可視性。これにはAIモデル使用の監査可能性、データの不可逆的削除を保証するメカニズム、検証可能な証拠が含まれる。 | ||
| - Strict confinement of storage and processing to European jurisdictions, with no fallback to third countries. | - 保存と処理を欧州の管轄区域に厳格に限定し、第三国へのフォールバックを一切認めないこと。 | ||
| - Extent to which AI models and data pipelines are developed, trained, hosted, and governed under EU control, minimizing dependency on non-EU technology stacks. | - AIモデルとデータパイプラインがEUの管理下で開発、トレーニング、ホスティング、ガバナンスされる範囲を拡大し、EU外の技術スタックへの依存を最小限に抑えること。 | ||
| SOV-4 | 運用主権 | - Ease of migrating workloads or integrating with alternative EUcontrolled solutions without vendor lock-in. | - ベンダーロックインなしに、ワークロードの移行や代替となるEU管理ソリューションとの統合が容易であること。 |
| - Capacity for EU operators to manage, maintain, and support the technology without requiring non-EU vendor involvement | - EU 事業者が、EU 域外のベンダーの関与を必要とせずに、技術を管理、保守、サポートする能力。 | ||
| - Existence of an EU-based talent pool with the expertise to operate and sustain the service. | - サービスを運用・維持する専門知識を持つEU拠点の人材プールが存在すること。 | ||
| - Assurance that operational support is delivered from within the EU and subject exclusively to EU legal frameworks | - 運用サポートがEU域内から提供され、EUの法的枠組みのみに従うことが保証されていること。 | ||
| - Availability of full technical documentation, source code, and operational know-how enabling long-term autonomy. | - 長期的な自律性を可能にする完全な技術文書、ソースコード、運用ノウハウが利用可能であること。 | ||
| - Location and legal control of critical suppliers or subcontractors involved in service delivery. | - サービス提供に関わる重要なサプライヤーや下請け業者の所在地と法的管理。 | ||
| SOV-5 | サプライチェーン主権 | - Geographic source of key physical parts, manufacturing location - countries where hardware is manufactured or assembled | - 主要な物理部品の地理的調達源、製造場所 - ハードウェアが製造または組み立てられる国々 |
| - Jurisdiction and provenance of embedded code controlling hardware, firmware | - ハードウェアを制御する組み込みコードの管轄権と来歴証明、ファームウェア | ||
| - Origin of Software: where and by whom software is architected and programmed, location and jurisdiction governing software packaging, distribution, and updates. | - ソフトウェアの起源:ソフトウェアが設計・プログラミングされた場所と担当者、ソフトウェアのパッケージング、配布、更新を管轄する場所と管轄区域。 | ||
| - Degree of reliance on non-EU vendors, facilities, or proprietary technologies | - 非EUベンダー、施設、または独自技術への依存度 | ||
| - Visibility into the entire supplier and sub-supplier chain, including audit rights. | - サプライヤー及び下請けサプライヤーの全チェーンに対する可視性、監査権を含む。 | ||
| SOV-6 | 技術主権 | - Ability to integrate with other technologies through well-documented and non-proprietary APIs or protocols, extent to which the solution adheres to publicly governed and widely adopted standards, reducing dependency on single vendors | - 文書化され非専有のAPIやプロトコルを介した他技術との統合能力、公開ガバナンスされ広く採用された標準への準拠度合い、単一ベンダーへの依存低減 |
| - Whether software is accessible under open licenses, with rights to audit, modify, and redistribute, ensuring transparency and adaptability | - ソフトウェアがオープンライセンスで利用可能か、監査・修正・再配布の権利が付与されているか。透明性と適応性を確保する | ||
| - Visibility into the design and functioning of the service, including architectural documentation, data flows, and dependencies | - サービスの設計と機能に関する可視性。これにはアーキテクチャ文書、データフロー、依存関係が含まれる。 | ||
| - Degree of EU independence in high-performance computing capabilities, including processors, accelerators, and software ecosystems. | - プロセッサ、アクセラレータ、ソフトウェアエコシステムを含む、高性能コンピューティング能力におけるEUの自立性の度合い。 | ||
| SOV-7 | セキュリティとコンプライアンスの主権 | - Attainment of EU and internationally recognized certifications (e.g., ISO, ENISA schemes) | - EUおよび国際的に認められた認証(例:ISO、ENISAスキーム)の取得 |
| - Adherence to GDPR, NIS2, DORA, and other EU frameworks | - GDPR、NIS2、DORA、その他のEU枠組みへの準拠 | ||
| - Security Operations Centres and response teams operating exclusively under EU jurisdiction, control over security monitoring/logging - customer or EU authority ability to oversee logs, alerts, and monitoring functions directly. | - EUの管轄下で専ら運営されるセキュリティオペレーションセンター(SOC)および対応チーム。セキュリティ監視・ロギングの管理権限 - 顧客またはEU当局がログ、アラート、監視機能を直接監督する能力。 | ||
| - Transparent, timely, and EU-compliant reporting of breaches or vulnerabilities, maintenance Autonomy - ability to develop, test, and apply security patches independently of non-EU vendors | - 侵害や脆弱性に関する透明性のある、タイムリーでEU準拠の報告、保守自律性 - 非EUベンダーから独立してセキュリティパッチを開発、テスト、適用する能力 | ||
| - Capacity for EU entities to perform independent security and compliance audits with full access. | - EU 事業体が完全なアクセス権を持って独立したセキュリティおよびコンプライアンス監査を実施する能力。 | ||
| SOV-8 | 環境持続可能性 | - Adoption of energy-efficient infrastructure (e.g., low PUE) and measurable improvement targets. | - エネルギー効率の高いインフラ(例:低PUE)の採用と測定可能な改善目標。 |
| - Circular economy practices ensuring reuse, refurbishment, and responsible end-of-life treatment of hardware. | - ハードウェアの再利用、改修、責任ある廃棄処理を保証する循環経済の実践。 | ||
| - Transparent measurement and disclosure of carbon emissions, water usage, and other sustainability indicators. | - 炭素排出量、水使用量、その他の持続可能性指標の透明性のある測定と開示。 | ||
| - Sourcing of renewable or low-carbon energy to power infrastructure and operations | - インフラと運営に電力を供給するための再生可能エネルギーまたは低炭素エネルギーの調達。 |
参考...
● EUR-Lex
EUのデジタル主権を支える包括的サイバー安全保障戦略...
データ法
NIS2指令
データガバナンス法
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.11.08 英国 王立防衛安全保障研究所 (RUSI) 諜報機関が商用クラウドサービスを利用するということはどういうことか?
Comments