あなたが2020年初頭の欧州企業のCxOであると想像してみてください。米中貿易戦争が激化していて、利用している主要なクラウドプロバイダー(本社は米国カリフォルニア州にあり、データセンターはアジア全域にある)の重要なテクノロジーやサービスが突然、輸出規制や関税の対象となったとします。その結果、あなたは突然、政治的制裁の矢面に立たされることになります。そして、インフラストラクチャが複数の地理的管轄区域にまたがっていることから、これまで想定していなかった存続に関わるコンプライアンスや貿易要件の対象となっていることに気づきます。
自社の事業継続のための運用手順書では、ベンダーのサポートやチームに国境を越えてアクセスできることが前提となっていました。ところが、自社の事業全体が自由に超えられると想定していた国境が、今まさに閉ざされてしまいました。
この事態を想定していなかったため、あなたも、誰も対策を講じていませんでした。
サイバーセキュリティとサイバーオペレーションの世界は、奇妙な時代を迎えています。私たちのほとんどが過去10年間をスピード、コスト、クラウドの効率性の最適化に費やしている間に、政治情勢は予測可能なパターンから予測不可能な嵐へと変化してしまいました。国境がまた考慮すべき要因になり、「ベンダーの国籍」が重大なリスク要因となり、今、私たちは予想していなかった状況に直面していますが、何らかの方法で乗り越えなければなりません。
私はこれまで何百人ものCISO、CIO、COO、取締役と対話してきましたが、その中で常に出てくる質問があります。「地政学的な緊張を考慮すると、実際にどの程度の主権が必要なのか?」 市場が混乱する中、あらゆるベンダーが主権ソリューションを打ち出しており、対応を急ぐあまりに、多くの企業がオペレーショナルレジリエンスではなく、政治的なパフォーマンスのために過剰な設計をしてしまうリスクがあります。
問題は、貴社のデータ主権戦略が地政学的な現実と衝突するかどうかではなく、いつ衝突するかということです。
この現状に対処するため、「最小限の主権」という概念を紹介したいと思います。これは、地政学的な状況が悪化した際に事業継続を保証するために必要な、最低限の主権的コントロールのレベルです。
システム全体の完全な主権ではありません。また、コンプライアンスの複雑さを増すことが目的でもありません 国境が閉鎖されたときに、自社の管理下に置かなければならない重要な復旧パスのことです。嵐を乗り切ることができる企業は、その瞬間が訪れるずっと前に、自社の最小限の主権を特定し、業務を適応させていることでしょう。
2026年1月:理論が現実になったとき
今年の初め、中国は国家安全保障上の懸念を理由に、国内企業に対して、米国およびイスラエルの企業が提供するサイバーセキュリティソフトウェアの使用を停止するよう指示しました。これは単なる政治的な方針転換ではなく、ベンダーの本社の所在地が単一障害点になり得る時代に突入したことを裏付けるものでした。
地政学的な分断は現在、AIやサイバー格差と並んで、世界的なリスクを根本から再形成している三つの力の一つです。世界経済フォーラムのグローバルサイバーセキュリティ展望2026では、「2026年のサイバーセキュリティリスクは、AIの進歩、地政学的な分断の深まり、サプライチェーンの複雑化によって加速している」と明言しています。
これはもはや理論ではなく、ITの運用で直面する新たな現実です。
なぜこれら3つの力が世界経済に支配的な影響力を持つようになったのでしょうか? 背景を理解するために、2025年に何が起こったかを見てみましょう。
ソルト・タイフーンの数年にわたる攻撃: 中国政府が支援する攻撃者が少なくとも8社の米国通信事業者を侵害しました。2025年8月までに、FBIは80か国にわたる200社への侵害を確認しました。データが盗まれただけでなく、国境を越えた通信と復旧作業を可能にするインフラストラクチャも標的にされました。
台湾のデジタル包囲: 国家安全保障局は、台湾の重要インフラに対するサイバー攻撃が1日平均263万件に上り、前年比で6%増加したと報告しています。病院、銀行、政府のシステム、通信ネットワークが執拗な攻撃の標的となりました。これこそが、持続する地政学的緊張がITの運用において現れた姿です。
サプライチェーン攻撃の倍増: Cybleの2025年の分析によると、サプライチェーンへのサイバー攻撃は月平均26件に急増し、2024年初頭の2倍に達しました。パロアルトネットワークスの調査によると、2023年の情報漏洩の3分の1近くがサードパーティのアクセスを介して発生しています。残念ながら、これらは異常な例ではなく、今やそれが当たり前の状況になっています。
実際、ガートナーの2025年11月の調査では、「西ヨーロッパのCIOとITリーダーの61%が、地政学的な懸念からローカルのクラウドプロバイダーの活用を増やすことを計画していることが分かりました」。さらに驚くべきことに、その53%が「地政学的な要因により、今後会社のグローバルクラウドプロバイダーの利用が制限されるだろう」と回答しており、44%が現在すでに利用を制限していると報告しています。
ガートナーは、2030年までに米国外の企業の75%以上がデジタル主権戦略を持つようになると予測しています。(ガートナーが「ジオパトリエーション」と呼ぶ)この変化は、企業がデータの所在、運用上の管理、ベンダーリスクについて考えるうえでの根本的なアーキテクチャの変化を示しています。
しかし、企業の88%がサプライチェーンのサイバーリスクを懸念している一方で、直接のサプライヤーのサイバーセキュリティ体制を評価しているのはわずか14%です。これは現代のデジタル史上最大かつ最も急速に増大しているリスク要因の1つですが、より広範なサプライチェーンについては、その割合は7%にまで低下します。
地政学的な衝撃によってベンダーへのアクセスが即座に断たれる可能性がある中で、懸念と行動の間にこのような乖離があるのは危険なことです。
主権が実際に意味するもの(そしてコンプライアンスだけでは不十分な理由)
データ主権はかつて、「データは物理的にどこに存在し、どの規制がそれを管理するのか」というコンプライアンス上の問題でした。
しかし、新たな地政学的現実を前に、3つの重要な側面について、より難しい問いを立てることが求められています。これらは、すべてのCxOが自社の現在のアーキテクチャについて尋ねるべき質問であり、完璧を期すためのチェックリストとしてではなく(それは現実的でも必要でもないかもしれません)、自社のデジタル主権上の脆弱性が実際にどこにあるかを特定するためのフレームワークとして考える必要があります。
データ主権: データは物理的にどこに存在しますか? どの管轄地域がそれを管轄していますか? 誰がアクセス令状を発行または管理できますか? 外国政府がその管轄地域に保存されているデータへのアクセスを要求した場合、貴社の法的な立場はどうなりますか?
運用上の主権: 誰が実際に復旧インフラストラクチャを運用していますか? ベンダーや政府の介入なしにフェイルオーバーできますか? ベンダーのサポートチームはどこにありますか? それらの管轄地域が制裁または制限を受けた場合でも復旧できますか? 暗号化キーは貴社が管理していますか、それともベンダーが保持していますか? ベンダーの管轄地域がロックアウトされた場合、それでもデータを復号してアクセスできますか?
ベンダー主権: ベンダーの本社はどこにありますか? エンジニアと運用チームはどこにいますか? 彼らが外国政府によって制裁、制限を受けたり、行動を強制される可能性がありますか? ベンダーの本拠地の管轄地域が地政学的な緊張の対象となった場合、復旧機能はどうなりますか?
残念ながら、あらゆる企業に対してこの3つの重要な側面すべてを完璧にカバーできるベンダーは存在しません。ヨーロッパに一切拠点を持たない米国拠点のベンダーは、アメリカの顧客にとっては理想的かもしれませんが、そのアーキテクチャによっては、米国の管轄権の管理や制裁を懸念するヨーロッパやアジアの企業にとっては主権リスクとなる可能性があります。地域ベンダーはデータの所在という課題を解決できても、すべての主要大陸でベンダーを運用する必要があるグローバル企業にとっては、運用規模が足りないことがあります。
重要なのは、あらゆる場所で完全な主権を達成することではなく、特定の脅威モデル、地理、規制環境に基づいて自社の脆弱性を理解し、それに応じてアーキテクチャを設計することです。真のビジネスレジリエンスを確保するには、3つの側面全体で主権を意識的に評価し、情報に基づいたトレードオフを行い、主要な前提が崩れた場合でも機能する復旧アーキテクチャをベンダーと協力して設計することが必要です。
売り込まれているものとの対比
最小限の主権とは、地政学的状況が悪化した場合に運用の継続性を保証するのに必要な、最低限の主権管理レベルを指します。最小限の主権は、優先順位付けのフレームワークであり、達成すべき目標ではありません。このフレームワークでは、重要な復旧パス(バックアップ、復元、IDシステム、キー管理、フェイルオーバーインフラストラクチャなど)を特定し、国境が閉鎖されたり制裁が課されたりした場合に、それらのパスが運用上独立した状態を維持できるようにすることに焦点を置く必要があります。
「最小限の主権」の定義は、企業の地理的状況、規制上の義務、脅威モデル、リスク許容度によって異なります。すべてのCxOが自問すべき質問は、「ビジネスが復旧可能であることを保証するには、最低限どの能力を自社の主権下で維持しておく必要があるのか」です。
ほとんどの企業にとって、最小限の主権とは、次の質問に正直に答え、評価することを意味します。
バックアップと復旧のインフラストラクチャ: 制裁やロックアウト命令の対象となる管轄地域のベンダーサポートチームに頼らずに、運用を復旧できますか? ベンダーの本社や主要な業務が制限の対象となった場合、代替の復旧パスはありますか?
キー管理: 暗号化キーはどこに保存され、誰がそのアクセスを制御していますか? ベンダーの管轄地域がロックアウトされた場合、データを復号してアクセスできますか? すべてではないにしても、最も機密性の高いワークロードに対して、BYOK(Bring Your Own Key)またはHYOK(Hold Your Own Key)機能が必要ですか?
IDと認証のレジリエンス: 主要ベンダーのAPIがジオブロック(地域制限)や制限を受けた場合でも、IDインフラストラクチャは機能しますか? 代替の管轄地域にフェイルオーバー用のアイデンティティプロバイダーを用意していますか?
フェイルオーバーの独立性: ベンダーの介入や国境をまたぐ依存関係なしに、セカンダリサイトにフェイルオーバーできますか? セカンダリサイトは真に独立していますか、それとも同じベンダーの運用チームに依存していますか?
地政学的状況がビジネスに不利益をもたらす方向に変化したとき、これらの質問に答えられるかどうかが、実際の対応力を左右します。パフォーマンスとコストは最適化したものの、ビジネスのリスク要因として評価したことのない管轄地域にあるベンダーに、意図せずして運用の主権をアウトソーシングしてしまっていることに気づく企業は少なくありません。私がCxOとの会話で聞いた最も懸念される発言の1つは、「ベンダーの助けなしに復旧できるかどうか、実際にはわかりません」というものです。
これが、現在の地政学的な状況において許容できないリスクをもたらす主権のギャップです。
私たちは重要な転換点に達しています
率直に言うと、私たちは主権の危機に瀕しています。主権は今や、サイバーレジリエンスにおける主要なリスク層となっています。しかし、ほとんどの企業はそれに対して正式な戦略を講じておらず、国境が閉鎖されたり制裁が課されたりした場合の計画も策定していません。主権は、コンプライアンスのチェックボックスを埋めるだけの作業で済ますのではなく、次の要素を含める必要があります。
ベンダーの管轄地域、データの場所、運用管理ポイント全体の継続的な可視性
地政学的なイベントが発生した時にベンダーへのアクセスを前提としないレジリエンス計画
国境が閉鎖され、APIがジオブロックされた時に機能する復旧アーキテクチャ
サイバーセキュリティ体制だけでなく、地政学的な脆弱性も含めたベンダーリスク評価
外国からの介入なしにフェイルオーバーおよび復旧を実行できる実証済みの能力
しかし、極めて重要なこととして、主権をサイバーリカバリー戦略の中核要素とし、バックアップ、障害復旧、インシデント対応と同等の位置づけで組み込む必要があります。
取締役会への呼びかけ
主権は緊急の課題です。主権が失われれば、復旧も失敗し、それは恒久的なものになる可能性があります。主権は、企業の最重要議題として取り上げられるべきです。しかし、建設的な取締役会レベルの会話を持つためには、いくつかの厳しい質問に直面する準備ができていなければならないと、私は同僚から学びました。
もし今日、自社の主要ベンダーの管轄地域でロックアウト命令が出された場合、彼らの支援なしにどれくらいの速さで復旧できますか?
自社の復旧インフラが運用上独立していることを、規制当局や顧客に証明できますか?
自社が依存しているクラウドプラットフォーム、SaaSの復旧・バックアップシステムは、主権戦略の対象に含まれていますか?それとも、リスクにさらされていますか?
どのワークロードに主権管理を必要とし、どのワークロードはベンダー管轄リスクを受け入れられるかを、意識的に選択済みですか?
残念なことに、現状では企業の多くがこれらの質問に答えられず、攻撃者はまさにその隙をついているのです。
今後の道筋:主権はレジリエンスの中核
世界で地政学的な分断がますます進む中、主権はレジリエンスの中核であることを認識する必要があります。主権には、データがどこにあるかを決定するだけでなく、誰がそれにアクセスできるか、誰がそれを操作できるか、そして誰がそれをシャットダウンできるかを管理することも含まれます。
では、主権が侵害されると何が起こるのでしょうか? 現在の地政学的な状況では、事業継続は、ID基盤、システム、重要なデータセットがオンラインに復旧すれば再開できるのではありません。ランサムウェアが復号されれば、再開できるのでもありません。復旧インフラが自社の管理下にあり、いかなる外国の組織もそれをブロック、アクセス、または操作できないことを証明できた時に初めて、事業継続を確保することができます。
主権上のレジリエンスを確保するための戦略がなければ、レジリエンスアーキテクチャの他のすべての層は砂上の楼閣です。だからこそ、国家主体の攻撃者や高度な脅威グループは、害を及ぼすだけでなく、迅速な復旧を無力化するために、ベンダーへの依存関係を標的にすることが増えています。一度主権が失われれば、元に戻る道のりは長く、費用がかかり、不確実性が高くなることを、攻撃者は知っています。これにより、彼らは恐喝、身代金要求、さらには全体的な攻撃作戦において、より大きな影響力を持つことになります。
主権はもはやコンプライアンスや法務戦略に追いやられるものではなく、今やオペレーショナルレジリエンスや、企業が最も重要な局面でコントロールを取り戻す能力の中核となっています。
ビジネスリーダーが直ちに取るべき戦略的行動
主権上の課題を解決するには、3つのアクションを即時に取らなければなりません。
自社の主権上の脆弱性の監査:
すべての重要なベンダーの管轄地域、データの場所および運用管理ポイントをマッピングします。
地政学的な制限によって復旧インフラストラクチャへのアクセスが即座に断たれる可能性のある場所を特定します。
どのベンダーが現在または将来の制裁対象となる管轄地域にスタッフを配置しているかを文書化します。これらの作業は、バックアップおよびリカバリベンダーから始めます(彼らはあなたの最初で最後の防衛線です)。
マルチ主権レジリエンスのためのアーキテクチャ設計:
国境が閉鎖されたときに機能する復旧アーキテクチャを設計します。
ジオブロックにも耐えられるIDおよびAPIアーキテクチャを構築します。
ベンダーの支援なしでフェイルオーバーシナリオをテストします(ベンダーが障害復旧を支援できるとは限りません)。
最小限の主権の定義:
事業の復旧を保証するために、主権管理下に置く必要がある最小限の機能セットを特定します。
政治的パフォーマンスのために過剰な設計をするのはやめてください。
重要な復旧パス(バックアップ、ID、キー管理、フェイルオーバー)に焦点を当てます
どのワークロードに主権管理が必要で、どのワークロードがベンダーの管轄リスクを受け入れられるかを特定し、それらの重要なパスが運用上独立していることを確認します。
主権なきレジリエンスは、いずれ限界が来るレジリエンスにすぎません!
主権を戦略的優先事項として認識している企業と、未だにコンプライアンスのチェックボックスと見なしている企業との間のギャップは急速に拡大しています。世界経済フォーラムの2026年展望は、企業や政府は「主権の課題が続き、能力のギャップが拡大する中で、適応を迫られる圧力が高まっています」という厳しい指摘で締めくくられています。
すべてのビジネスリーダーが答えなければならない質問は単純です。地政学的緊張が急上昇したとき(そしてそれは起こるでしょう)、事業の継続性を保証できますか?
それとも、あなたの復旧戦略がもはや通用しない仮定の上に構築されていたことに気づくのでしょうか?
業界は、主権を地域的な懸念事項や規制上の負担として扱うことから脱却しなければなりません。地政学とサイバーセキュリティが今や不可分となった時代において、主権は現代のサイバーレジリエンスの基盤です。
次にどこかの政府がベンダー制限命令を出したり、経済的に維持困難な運用を強いる貿易制裁を課した時に取締役会が問うのは、コンプライアンスを守っているかではなく、準備ができていたか、です!
出典および参考文献
世界経済フォーラム『グローバルサイバーセキュリティ展望2026』
ガートナー『地政学的リスクによりCIOの61%がローカルクラウドへの依存度を高める予定であることが調査で明らかに』 (2025年11月)
ロイター『2025年の台湾に対する中国のサイバー攻撃は1日平均260万件』 (2026年1月)
ロイター『中国政府が国内企業に米国およびイスラエルのサイバーセキュリティソフトウェアの使用停止を指示』(2026年1月)
パロアルト ネットワークス『2025年のサプライチェーンの混乱:地政学がルールをいかに書き換えているか』
Cyble『2025年にサプライチェーン攻撃が急増: 通常の2倍のペース』
Cybersecurity Dive『相次ぐ通信攻撃で少なくとも米国企業8社が被害に』
(2024年12月)
Rubrik『RubrikがRubrik Security Cloud Sovereignを発表』 (2026年1月)