AWS re:Invent 2024：デジタル主権、ソブリンクラウドに関するセッションレポート

本記事はAWS Jr.Champions Adventcalendar 2024の11日目の記事です。

はじめに

NTTデータの西川です。
普段は公共部門の技術集約組織でクラウドの導入支援に従事しています。

2024年12月2日から6日にかけてラスベガスでre:Invent 2024が開催されました。公共部門の観点で私が興味を持ったセッションが幾つかあったのでメモを取りつつ視聴していました。本ブログで紹介するセッションの内容はSovereignty（主権）に関連するものです。個人的には限られた一部のユースケース以外では必要性は高くないと思いつつ、公共部門において重要なトピックだと認識しています。

取り上げるセッション：AWS re:Invent 2024 - Digital sovereignty: Overcome complexity and enable future-readiness (SEC229)

上記セッションの内容について抜粋してまとめてみました。興味がある方は是非Youtubeで本編をご覧ください。

「ソブリンクラウドとは？」となる方は下記をご覧ください。
公共部門の観点で振り返るAWS re:Invent 2023&ソブリンクラウド

セッション概要

タイトル

Digital sovereignty：Overcome complexity and enable future-readiness
（デジタル主権：複雑さを克服し、将来への対応を可能にする）

概要

グローバル企業がますますクラウドサービスに依存する中、データ主権やセキュリティに対する懸念が高まっている。本セッションでは、AWSのVice President of Sovereign CloudであるMax Peterson氏がデジタル主権とAWSの関係性について言及している。具体的にはAWSが提供する高度なセキュリティ機能、AWS European Sovereign Cloud、具体的な事例紹介などを含む。

主なトピック

• デジタル主権とは何か？
• AWSのソブリンクラウドオファリングについて紹介
  • コンフィデンシャルコンピューティング
  • 暗号化
  • AWS Digital Sovereignty Pledge
  • AWS Outposts
  • Landing Zone Accelerator on AWS
  • AWS Dedicated Local Zones
  • AWS European Sovereign Cloud

セッション詳細

デジタル主権とは何か？

• そもそもデジタル主権という言葉の意味は多岐に渡る。なぜなら世界各国がそれぞれの独自要件を持っているため。
• どんな種類のワークロード、産業、部門がデジタル主権の要件を満たす必要があるかについての統一的なガイダンスが存在していない。
• 考慮される観点例：データ、居住地、運用、アクセス制限、回復力など。（data, residency, operator, access restrictions, resilience）
• 重要なシステムを構築する際には生存可能性、独立性、透明性が重要となる。（survivability and independence and transparency）
  
• 2024年に行われたIDCの調査によると、世界の84%の組織が今後1年以内にソブリンクラウドソリューションを使用しているか、使用を計画している。
  

AWSにおけるデジタル主権に対する取り組み

• 2024年に行われたIDCの調査によると、グローバルソブリンクラウドサービスプロバイダーの1位にAWSが選ばれている。
  

• AWSは設計上、主権を備えており、業界をリードする包括的な技術的対策、運用管理、契約上の保護を提供している。これにより顧客はデータの保存場所、データへのアクセス権、データの使用方法を顧客側で制御でき、AWSサービスの設計と運用に関する透明性と保証が担保されている。
  

• AWSは継続的に第三者のレビュー、証明、認定、認証を求め、獲得している。これらは顧客がAWSが現在および将来のコンプライアンススキームを満たすことを証明可能な保証を提供するのに役立つ。140以上のセキュリティ基準とコンプライアンス認証をサポートしており、世界中の顧客とパートナーに、これらの管理を直接継承し、ローカルの法律や規制への準拠を迅速化する能力を提供している。
  

• コンフィデンシャルコンピューティング

  • Nitroは非常に強力な物理的および論理的なセキュリティ境界を提供するように設計されている。これによりAWSの誰も顧客のEC2ワークロードにアクセスできないような制限が課されている。
  • Nitroのセキュリティ設計はNCCと呼ばれるグローバルなサイバーセキュリティ企業による独立した報告書によって重要な検証がなされている。
    

• AWS Digital Sovereignty Pledge

  • re:Invent 2022でAWS Digital Sovereignty Pledgeを発表。
    

  AWS Digital Sovereignty Pledge：
  2022年11月、私たちは新しいAWS Digital Sovereignty Pledgeを発表しました。これは、すべてのAWSのお客様に、クラウドで利用できる最も高度な権限制御機能のセットを提供するという私たちの約束です。その2つの柱は、データアクセスに対する検証可能な制御と、あらゆる場所ですべてを暗号化する機能です。私たちはすでに、データをどこに置き、誰がアクセスし、どのように使用するかをお客様がコントロールできるように、さまざまなデータ保護機能、認定、契約上のコミットメントを提供しています。
  引用元：AWS Digital Sovereignty Pledgeの実現： 妥協のないコントロールの実践

  • AWS Digital Sovereignty Pledgeを発表して以来、顧客により多くのコントロールと選択肢を提供し、デジタルソブリンティーのニーズを満たすための多数の新しい発表を行っている。分散型クラウドからエッジコンピューティング機能に至るまで、どこでも顧客要件を満たす広範なサービスを提供している。
    

• AWS Outpostsのアップデート

  • インスタンスストアでバックアップされたEC2インスタンスに対し静的安定性を提供するようになった。ネットワークの切断が発生した場合でも、Outposts上のEC2で実行中のワークロードが通常通りに動作し続けることを意味する。その接続が再び利用可能になった際には、ダウンタイムを最小限に抑えながら回復するのを支援する。
  • Outpostsの衛星回復力の機能を発表した。パートナーが管理するソリューションで、地上ネットワーク接続が利用できない場合に、LEO衛星接続を通じてトラフィックを親リージョンに戻すことが可能となる。これは、自然災害や一時的な接続断絶が発生した場合でも、お客様がAWSのフルパワーを活用し続け、AWSを利用した運用を継続できるようにするための一つの方法となる。
  • 顧客はPure StorageやNetApp等の外部ストレージシステムに接続することができ、AWSマネジメントコンソールからOutposts上で実行されているEC2にこれらのブロックデータボリュームを直接接続できるようになった。Outpostsを使用している企業のお客様が大量の機密情報を外部ストレージシステムに保存している場合や、単にコンプライアンスや法的要件を満たすためにローカルデータアーカイブを希望している場合に有用となる。
    

• Landing Zone Accelerator on AWSのアップデート

  • 顧客が特定のセキュリティ基準を満たすのを支援するために、地域ごとの実装を提供し、サービスや機能、セキュリティの設定に関する詳細なガイダンスとベストプラクティスを提供する。これにより地域ごとのポリシーや規制要件に適合する方法の提供が可能となる。
    

  Landing Zone Accelerator on AWS：
  Landing Zone Accelerator on AWS ソリューションは、AWS のベストプラクティスと複数のグローバルコンプライアンスフレームワークに合わせて設計されたクラウド基盤をデプロイします。このソリューションを使用すると、厳しい規制の対象となっているワークロードを処理し、複雑なコンプライアンス要件を満たす必要があるお客様は、マルチアカウント環境をより適切に管理および統制できます。他の AWS のサービスと連携して使用すると、35 以上の AWS のサービスで包括的なローコードソリューションを提供します。
  引用元：Landing Zone Accelerator on AWS

• AWS Dedicated Local Zones

  • シンガポール政府の事例紹介。
  • インフラはAWSによって完全に管理されるが、特定の顧客またはコミュニティ専用に構築され、顧客が指定したロケーションまたはデータセンターに配置され、機密データやその他の規制対象のワークロードの実行が可能となる。これにより、シンガポールで最大限にパブリッククラウドを活用し、規制の厳しいワークロードには専用ローカルゾーンを利用して、従来通りのサービスやAPIを活用する柔軟性が提供されている。
  • アップデート：顧客は専用ローカルゾーンでS3を利用できるようになり、これにより従来通りのAPIを使ったオブジェクトストレージサービスを利用可能となった。
    

• AWS European Sovereign Cloud

  • データの居住地、運用の自立性、レジリエンシーに関する多様な要件を満たすために、顧客に更なる選択肢を提供するためのもの。この新しい独立したクラウドはEU内で完全に設置および運用され、現行のAWSリージョンから提供されるのと同じセキュリティ、可用性、パフォーマンスを提供するが、EUの規制に対応するための特定の重要な機能も備えている。
  • AWS European Sovereign Cloudの最初のAWSリージョンは、2025年末までにドイツのブランデンブルク州で立ち上げる予定。
  • このプロジェクトには、インフラの整備、雇用創出、スキル開発のために78億ユーロが投資されており、これまでのヨーロッパへの長期的なコミットメントを基盤にしている。そして、EU全体のソブリン要求に対する継続的なサポートを提供することとなる。
    
  • 最初のリージョンは、複数のアベイラビリティゾーンを持ち、それぞれが異なる地理的場所に配置され、間に十分な距離をとっているため、単一の出来事が継続性やアクセスに影響を与えるリスクを軽減できるようになる。
  • 既存のAWSリージョンと同様に、AWS European Sovereign CloudはNitroシステムを使用して、顧客データの機密性、セキュリティ、整合性を確保する。
    
  • AWS European Sovereign Cloudの独立した運用を確保するために、日々の運用、技術サポート、顧客サービスはすべてEU内に住むスタッフから提供され、EU法に従う。すべてのAWSのEU内スタッフは、現地およびEU法を守るために適切に訓練され、権限を与えられている。たとえば、一般データ保護規則（GDPR）のような法律に違反する可能性がある要求を拒否することができるようになっている。
    
  • AWS European Sovereign Cloudはフル機能のAWSクラウドであり、コンピューティング、ストレージ、データベース、分析、ネットワーキング、機械学習、AIなど、同じ幅広いサービス群を提供します。6月に利用可能なAWSサービス群を発表した。

  初期サービス抜粋

  • 人工知能：Amazon SageMaker、Amazon Q、Amazon Bedrock
  • コンピューティング：Amazon EC2、AWS Lambda
  • コンテナ：Amazon EKS、Amazon ECS
  • データベース：Amazon Aurora、Amazon DynamoDB、Amazon RDS
  • ネットワーキング：Amazon VPC
  • セキュリティ：AWS KMS、AWS Private Certificate Authority
  • ストレージ：Amazon S3、Amazon EBS)
    参考：Announcing initial services available in the AWS European Sovereign Cloud, backed by the full power of AWS

  • AWS European Sovereign Cloudでは、顧客がAWSマーケットプレイスを活用できるようになり、厳選されたデジタルカタログを購入、構築、テスト、実行できるようになる。これにより、他のAWS商業リージョンと同様に、AWSパートナーがAWS European Sovereign Cloud専用のソリューションを展開し、顧客が迅速に利用できるようになる予定である。
    
  • デジタルソブリンクラウド要件とサービスに関する高度な経験を持つAWSパートナーのコミュニティを確立しており、これにより顧客は、これらのパートナーが持つスキル、ソリューション、そしてユニークなデジタルソブリンクラウドニーズに対応した過去の実績を容易に特定すること可能となる。

以上がセッション内容の抜粋でした。

おわりに

AWS re:Invent 2024のデジタル主権、ソブリンクラウドに関するセッションについて一部内容を抜粋してまとめてみました。
デジタル主権にまつわる海外動向が分かる興味深い内容だったと思います。冒頭で触れた通り、個人的には中長期的にガバメントクラウドとの棲み分けが必要となってくると思います。クラウド利用料のコストが高くなってしまうことなど多岐に渡る導入障壁が予想されるので、一部のユースケースのみにおいてソブリンクラウドが利用されることになる可能性が高いと考えています。今後も注視していきたいと考えています。

興味がある方は是非Youtubeで本編をご覧ください。
※ 本ブログに記載した内容は個人の見解であり、所属する会社、組織とは関係ありません。