MM総研が8月末に発表した「クラウド市場調査」はユーザー企業の調査からクラウドの市場規模を推定するという本格的なものだが、同時に聞いているユーザー側の「クラウド選択のポイント」の集計結果は驚くべきものだった。これまで、どのような調査でも選択の基準は「運用コストの安さ」、「導入コストの安さ」など料金面が断然トップに来たが、今回の調査では、これらのコスト面の項目を上回って、第一位は「セキュリティへの対応力の高さ」となった。単なる料金の比較ではなく、内容に踏み込んで、とりわけ、「セキュリティ」を重視する傾向が強まった。クラウドサービスがユーザー企業に定着するのに従って、クラウドに求めるユーザーの要求も進化を遂げたようだ。

セキュリティを重視する背景には、いくつかの状況の変化がある。昨年以来、企業に対するサーバー攻撃が多様になってきて、独自に防衛することも難しくなっている。より安全なクラウド利用を検討する動きになっているのも一つかもしれない。ウィルスなどの対策も専門事業者の方が防御は強固だろうし、対策ソフトの頻繁な更新もクラウドサービス利用の方が面倒なく、確実だろう。

しかし、ここにきてセキュリティに関心が集まるもう一つの理由は、元米国CIA職員の暴露がきっかけになって明確になった、情報システムに対する米国治安当局の権限である。すでに専門家の間では常識だったが、米国は2001年の同時多発テロの直後に成立したパトリオット法によって、治安当局はテロに関連する場合にはサーバーを差し押さえて捜査する権限をもっている。元CIA職員が「暴露」したので不正なことをしていると錯覚しているが、実は、ある意味では治安当局の情報収集は「合法的」だったのである。こうなると、クラウドサービスで米国のサーバーに保管されているデータは、治安当局からモニタリングされる危険はないのか。テロとの関係が疑われれば、日本企業の情報も米国当局にわたる危険はないのか、不安である。

当然、米国のクラウド事業者は「ない」と否定したいところだろうが、実は否定していないのが実情である。数年前から米国のクラウド事業者は一斉に日本にデータセンターを置き始めた。ユーザーに接近するというのが表向きの理由だが、それは「クラウドには国境がない」と宣伝してきた内容とは反する行動である。疑ってみれば、日本国内への移行は、パトリオット法の危険回避なのかもしれない。ただし、パトリオット法は、米国にデータセンターがある事業者は米国外でもパトリオット法の適用を受ける制度になっている。

そこで、さらに工夫して、日本国内にデータセンターをもつ外資系クラウドサービス会社は、独自のデータセンターをもたず、日本企業のデータセンターの中のサーバーを借りるという迂回作戦を取り始めている。それでもパトリオット法の網は追いかけてくるらしい、しかし、米国治安当局が日本企業のデータセンターの中に突然、立ち入ってサーバーを押さえることはできないだろう。日本の司法当局に委託する、という手続きを取らざるを得ないし、日本の司法当局がそれを許すか。少なくとも、「突然」の危険は弱まる。

日本のユーザー企業はこれまで以上にクラウドサービスを処理するデータセンターの所在国を意識するようになる。筆者は5年ほど前に「クラウドコンピューティングバイブル」という本を出版し、その中で「クラウドの登場で国境はなくなった」と指摘したが、これは間違いだった。技術は国境を乗り越えたが、法律や制度は、まだ、頑強に国境を主張し始めた。まだ、地球は一つではない。