日本で提供しているIoTのサービスを、そのまま中国で展開しようとした場合の懸念点について、有識者の話で伺ったこと、自力で調べたことをメモする。
やりたいこと
中国本土のIoT Gatewayからセンサーデータを収集し、日本から参照したい。
できれば中国でも参照したい。
懸念されること
データの越境移転制限
中国は越境データを規制している。中国のIoT Gatewayが収集したデータが「個⼈情報」および「重要データ」にあたる場合、日本のサーバに直接送信することはできない。いわゆるデータローカライゼーションというやつ。平たく言うと、自国で収集したデータは他国に出せないということ。
2017年に施行された中国サイバーセキュリティ法で、中国で収集・生成した「個⼈情報」および「重要データ」は原則、中国国内に保存しなければならないと規定がある。重要データとは、中国の国家の安全、経済発展および公共の利益と密接に関係するもの、とされている。(なるほど、わからん)
IoT Gatewayは中国のサーバに送信し、保存した後、中国のサーバが日本のサーバに収集データをコピー(同期)する形になるだろうか。
中国のインターネット事情
中国のインターネット事情を語る上で避けて通れないのが、グレートファイアウォールと呼ばれるネット検閲システムの存在だ。
日本で見られるサイトの多くが中国では、グレートファイアウォールによってERR_CONNECTION_TIMED_OUT
で遮断される。サイバーセキュリティ法の施行以前は個人レベルのVPN接続で回避できていたらしいが、現在では中国政府が認めたVPNサービス以外は遮断される。
中国のインターネットインフラはChina Telecom(中国電信)、China Unicom(中国聯合通信)、China Mobile(中国移動通信)の3大プロバイダでほぼ掌握、海外へのインターネット出口も3社が整備している状態。
3社間の相互接続帯域が逼迫していて過剰なトラフィックを処理しきれず、中国国内同士の通信であってもレイテンシが大きい。特に中国電信(上海・広州などの南部地域)と中国聯通(北京・天津などの北部地域)の間で起こるネットの不具合は中国の南北問題と呼ばれている。(現在は解消されつつある)
日中間、そして中国国内のインターネット通信速度は遅く、かつ不安定であることに留意する必要がある。
クラウドサービス事業者
データ越境移転とアクセス品質面を考慮すると、グレートファイアウォールの内側、中国本土にサーバを立てるしかないとなり、中国で使えるクラウドサービスの選定が必要になる。
中国にもAWSやAzureはあるものの、中国のそれはグローバルリージョンとは別物と捉えた方が良い。
それぞれの運営は中国企業が行っており、AWS中国はSinnet(北京リージョン)かNWCD(寧夏リージョン)、Azure中国は21Vianetという会社と契約することになる。
グローバルアカウントとは連携しておらず、AWSアカウントもMicrosoftアカウントも、中国専用として新規に発行される。アカウントを発行できるのは中国現地法人に限られるため、日本で取得を代行してくれるパートナーを探す必要がある。
AWSもAzureも、中国リージョンをリージョン間VPCピアリング接続の対象外としているので、通信の品質を確保しようとすれば割高な国際専用線を購入しなければならない。
こうした種々の課題に解決しようとするなら、世界3位の中国発パブリッククラウドAlibaba Cloudの一択となるのが今の中国の現状である。
Alibaba Cloudには下表の3サイトがあり、日本サイトであればSBクラウド社(ソフトバンクとアリババグループの合弁会社)が窓口となり日本企業でも契約できる。
サイト | URL | 備考 |
---|---|---|
中国サイト | https://cn.aliyun.com | 日本からのユーザ登録はまず無理と思われる |
国際サイト | https://www.alibabacloud.com | |
日本サイト | https://jp.alibabacloud.com | 日本リージョンの運営はSBクラウド社 |
Alibaba Cloudの、中国リージョンと東京リージョンのVPC間接続には、CEN(Cloud Enterprise Network)という安価な専用線サービスを利用する。CENはインターネットと⽐べ圧倒的な安定性と低レイテンシが期待できる。
その上で、Alibaba Cloudの東京リージョンと、AWS/Azureの東京リージョン(既設)を、インターネットまたはVPN Gatewayで接続するというマルチクラウド構成が現実的な選択肢となるだろうか。(下図)
IoT Gateway
- 日本で販売しているIoT Gatewayを中国に持ち込む場合、中国政府の認証(CCC認証やSRRC認証)を取得する必要がある。
- エッジの通信に使うデータ通信専用SIMが、現地SIMの場合、GWメーカーの動作保証・実績はあるか? グローバルSIMの場合、中国国内の通信であっても国外を経由するという懸念がある。(例えばSORACOM社のグローバルSIMだと、AWSフランクフルトリージョンを経由する)
- 暗号化通信を⽤いる場合、中国の商⽤暗号管理条例に抵触しないか?
ICPライセンス
中国のWebサイトはすべて許可制。Webサイトを開設するにはICP登録が必要になる。
違反すると、Webサイトの即時停⽌(80/443ポートの遮断)だけでなく、サーバの没収や罰⾦処分の対象となる可能性がある。申請できるのは中国現地企業のみ。
上図はAlibaba Cloud中国サイトのWebサイトであるが、ICP番号(「浙」の字は、浙江省通信管理局への届出という意味)と、浙江省公安局への届出番号が表記されている。