ドローンがAWSを物理攻撃 一極集中リスクに情シスはどう備えるか：データセンターが「戦場」になる時代

元フランス空軍少将が、データセンターへの物理攻撃という衝撃的なシナリオを基に、特定クラウドへの過度な依存がはらむ経営リスクを警告。大手3社が市場の7割を占める現状は、軍事的には「脆い構造」であると断じる。

[Laurent Boite，Computer Weekly]

　2026年3月1日未明、イランのドローンがAmazon Web Services（AWS）の3つの施設を襲撃した。アラブ首長国連邦（UAE）にある2つのデータセンターが直撃を受け、バーレーンにある3つ目の施設も近隣への着弾により被害が出た。同社は顧客に、ワークロードを他リージョンへ至急移行するよう助言した。

　この影響で、湾岸地域一帯の銀行決済、配送サービス、企業向けソフトウェアが完全に停止した。同年3月23日と4月2日にも新たな攻撃が発生し、AWSの中東（バーレーン）リージョンは再び「サービス中断」を公式に宣言することとなった。

　軍事勢力がハイパースケーラーのインフラを意図的に破壊したのは、歴史上初めてのことだ。これは単なるセキュリティ事故ではない。ビジネスや組織にとっての重大な経営リスクだ。

あなたも標的になる

編集部のお薦め記事

　テヘラン（イラン当局）は、バーレーンのデータセンターが軍事作戦を支援していたと主張して攻撃を正当化した。AWS側はこれを否定しているが、真偽にかかわらず攻撃者の論理は容赦ない。人事データやビジネスアプリケーション、顧客ファイルをホストしているのと同じサーバが、軍事データも処理している可能性があるからだ。

　利用者がその事実を知る由はない。しかし「知らなかった」という言い訳は、物理的な攻撃から身を守る盾にはならない。

　恐らく、「物理的なデータセンターの破壊」をリスクマップに記載している企業の経営幹部はほとんどいないだろう。しかし、今こそ、それを追加すべき時だ。

36年の軍務から得た教訓

　機密事項には触れないが、軍では指導者が陸軍大学校（War College）に入る前に学ぶ最初の鉄則がある。「重要な機能を単一のノードに集中させてはならない」というルールだ。有能な敵は必ずその集中点を見つけ出し、たたいてくる。

　現在、AWS、Microsoft Azure、Google Cloudの3社で、世界のクラウド市場の7割以上を占めている。企業や組織は、軍事・民間を問わずあらゆるレジリエンス（回復力）の原則が禁じている「一極集中」という構造を、自らの手で作り上げてしまった。単にコスト削減を追い求めた結果だ。

障害にビザは不要だ

　この論理を取締役会で説明するのに、戦争という極端な例を持ち出す必要すらない。

　2025年10月20日、AWSの障害により病院は紙ベースの業務への退行を余儀なくされた。その9日後にはAzureの設定ミスが発生し、アラスカ航空やスターバックス、コストコ、通信事業者が8時間にわたってまひした。この経済損失は数十億ドルに達する。2025年6月から12月の間に、ハイパースケーラー大手3社はそれぞれ少なくとも1回の重大な障害を起こしている。

　情シス部門は次の問いに答えなければならない。重要システムの最大許容ダウンタイムはどのくらいか。ハイパースケーラーが機能停止した際、現在のアーキテクチャでデータをどう守るのか。これらの回答を持ち合わせていないなら、それはガバナンス上の問題であり、技術的な欠陥だ。

規制当局が発する世界的なシグナル

　規制当局も黙ってはいない。

　欧州では、NIS2指令（EU全域でサイバーセキュリティ水準を強化する法的枠組み）やDORA（金融デジタルレジリエンス法）が、重要機関や金融機関に継続計画の策定とクラウドプロバイダーの集中リスク管理を明文化している。

　米国では証券取引委員会（SEC）やサイバーセキュリティインフラセキュリティ庁（CISA）が同様の指針を出し、アジア太平洋地域でもシンガポール金融管理局（MAS）やオーストラリアのAPRAが同調している。この規制の動きは世界的かつ収束的だ。

　あえて厳しい言葉を使いたい。代替の回復プランを持たずに重要システムを単一のハイパースケーラーへ移行した組織は、規制の枠組みに違反している。ITリーダーはその事実を痛感しているはずだ。彼らには、対策を講じるための予算が与えられなかっただけなのだ。

クラウドの「真のコスト」

　クラウドがもたらす恩恵はシンプルだった。資本を縛り付けず、運用の複雑さを減らし、俊敏性を高めるというものだ。

　しかし、TCO（総所有コスト）の実態は明るくない。データ転送手数料や累積するサブスクリプション費用に加え、他社への乗り換えコストが膨大になった顧客に、ベンダーは一方的な値上げを突きつける。多くの調査によれば、ITリーダーの半数以上が、増大するクラウド費用を吸収するために他の予算を削っている。これは利用拡大による成長ではなく、ベンダーが「顧客は逃げられない」と確信しているが故の成長だ。

　技術的なロックインに続き、価格のロックインまでもが加わった。最高財務責任者（CFO）にとって、これは制御不能な構造的リスクだ。特定の原材料への依存と同様に、供給リスクとして計上すべき事案だ。

CLOUD法は単なる「契約条項」ではない

　米国の管轄下にあるプロバイダーがホストするデータは、たとえ海外に保管されていても、米国当局の法的命令によってアクセスされる可能性がある。CLOUD法（海外データ合法使用法）は、保管場所を問わずデータの提供要請を可能にする。

　グローバル組織にとって、これは現地のデータ保護枠組み（欧州のGDPRやアジアのPDPAなど）との摩擦を生む。契約上の措置だけで、この地政学的なコンフリクトを完全に排除することは不可能だ。

　国家の優先順位が強調される現代で、これは単なる理論上の懸念ではない。適切に評価されるべきカウンターパーティリスクだ。

　技術的な解決策は存在する。顧客が独占的に管理する鍵を用いた暗号化である。それにはインフラの制御権を手放さないことが前提となるが、残念ながら多くの組織がその支配力を失っている。

ハイブリッド構成とそれを支えるプレーヤー

　正直に言えば、筆者も長らくハイパースケーラーの運用能力を過小評価していた。彼らの拡張性や先進的なサービス、世界的な可用性は本物だ。問題は彼らの能力不足ではなく、われわれの「排他的な依存」にある。

　レジリエンスを確保する答えは、ハイパースケーラーを複製することではない。独立系のスペシャリスト、つまりオブジェクトストレージやセキュリティ、重要データ管理などの特定分野で世界をリードするベンダーを活用することだ。彼らなら、巨大プロバイダーに対抗し得る一貫したソリューションを構築できる。

　こうしたプレーヤーは既に存在する。インフラの基盤となり、重要データやバックアップ、アーカイブを担うオブジェクトストレージ層では、独立系ベンダーが世界トップクラスのメディアや通信会社、厳格に規制された金融機関を支えている。技術は既に確立されており、日米欧アジアの厳しいセキュリティ認証もクリアしている。

　足りないのは技術ではなく、多忙な決裁者がハイパースケーラーの営業担当者を前にしたときに、代替案を正しく評価できる「購買指針」だ。組織は自らの購買決定によって、毎年デジタル依存を深めている。これは不変の運命ではなく、選択の結果だ。

決断の時

　直近20カ月で3つの警告があった。2024年7月のパリオリンピックでの鉄道妨害工作、2025年秋のハイパースケーラー障害、そして2026年春の湾岸データセンター攻撃だ。いずれも共通していたのは「単一障害点」の存在と、実効性のあるバックアッププランの欠如だ。

　物理的なレジリエンスを制御できないクラウドに投じる1ユーロ、1ドルは、貸借対照表上の未評価リスクに等しい。規制当局はそれを見抜いており、保険会社は価格に反映させ始めている。取締役会も間もなく問いただしてくるだろう。

　4度目の警告を待つリーダーは、株主や規制当局、そして現場のチームから決して許されない責任を負うことになる。

　スキルも解決策もそろっている。あと何が必要か。「決断」だと言うのはあまりに単純すぎるかもしれないが、それこそが唯一の答えだ。