一部の企業はこうした点を考慮し、クラウドコンピューティングへのアプローチを大きく変更しつつある。Microsoftは2016年、ドイツに建設した2つの新しいデータセンターから「Microsoft Azure」サービスを提供し始めた。「Microsoft Azure Germany」のサービスは、同社の一般的なクラウドコンピューティングサービスとは異なり、「データトラスティモデル」に基づいて提供され、顧客のデータはDeutsche Telekomの子会社であるT-Systems International(つまりMicrosoftとは資本関係のないドイツ企業)によって管理される。Microsoftは顧客の許可を得ない限り、Azure Germanyのデータセンターのデータにアクセスすることはできない。
またIBMは最近、欧州の顧客がデータにアクセスできるユーザーをより厳密なかたちで統制できるようにするために、欧州にある同社クラウドコンピューティング用データセンターの1つに格納されるデータの管理方法を見直すと発表した。この新たな統制により、フランクフルトに設置されているIBMデータセンター内の顧客データに対するアクセスは、EUを拠点とする同社従業員によってのみ行われるようになる。また、EUを拠点にしているスタッフは、EU圏外を拠点とする従業員が実施しようとしている、クライアントのデータに影響を与える可能性のある変更すべてをレビューし、承認する役割も担うことになる。
クラウドサービスを提供している企業のロケーションに関しては、最近特に厳しい目が向けられている。例を挙げると、英国家サイバーセキュリティセンター(National Cyber Security Centre:NCSC)は、ロシア企業が提供するクラウドベースのウイルス対策製品の一部について、利用にはリスクがともなうと警告している。ただNCSCは、政府のサプライチェーン内におけるクラウドサービスの利用についても、より幅広い範囲で警告している。
NCSCの最高経営責任者(CEO)Ciaran Martin氏は事務次官ら宛ての書簡に「生産国は重要だ。重要なのはそれがすべてではなく、国旗のみで判断できる簡単な話でもない。西欧の企業のなかには、そのサプライチェーンに、敵対国をも含む、非西欧諸国からの貢献者を抱えているところもある。しかし、国家の安全保障という観点に立てば、外国人の所有には明らかなリスクがある」と記している。
NCSCは、政府機関がクラウドベースのサービスを使用しているとの認識すら持っていない可能性を指摘しており、「クラウド上でのやり取りが持つ性質と、それがセキュリティ面に及ぼす影響を看過するのは簡単だ。配備した製品がクラウドサービスとやり取りするのかどうか、あるいはどのようにやり取りするのかを把握しておく必要がある。こうしたやり取りはほとんどの場合、何らかのかたちで存在するだろう。この点については、インストールされている製品だけではなく、OSそのものから考える必要がある」と記している。
