クラウドへの移行や、膨大な演算能力、ストレージ、ネットワーク帯域幅を必要とするAIワークロードの急増、そしてこれらを中断なく稼働させ続けるための精密な環境制御を背景に、データセンターの建設が急拡大しています。
こうしたビジネス上の重要性を背景に、データセンターは高度な攻撃者にとって格好の標的となっています。しかし、セキュリティ上の注目は主に2つの点に集中しがちです。それは、AIワークロードが実行されるクラウド環境と、常時稼働しているサーバー群(多くの場合、テナントが所有していますが、オペレーターの管理下にあります)です。一方、データセンターの稼働を支える建物管理、物理的セキュリティ、電力や冷却を提供するOT 要素は、依然として死角のままとなっています。
データセンターの所有者や運営者は、この死角に関連して、主に3つの課題に直面しています:
- 広大で、ほとんど保護されていないOT IoT 対象領域に対する理解の不足、およびその防御策
- 公益事業向けの個別のサイバーセキュリティ規制の対象となる、安定したエネルギー供給への依存
- 重要インフラへの指定。これには、厳格なサイバー・フィジカルセキュリティ要件が課される
以下に、サイバーリスクを低減し、事業継続性を維持し、稼働率の保証を確実に履行するための具体的な手順を説明します。
サーバーを支えるシステムのサイバーセキュリティ
大規模なデータセンターは、暖房、換気、冷却から無停電電源装置に至るまで、あらゆる機能を制御する数百ものサイバーフィジカルシステムによって稼働しています。さらに、敷地IoT 監視カメラ、入退室管理システム、消火設備、IoT これらに加わります。これらのシステムは、ITネットワークやインターネットとこれまで以上に密接に接続されていますが、多くの場合、誰も気づかないまま、デフォルトの認証情報がそのまま使用されたままになっています。 その多くは、24時間体制でアクセス可能なサードパーティベンダーによって遠隔管理されています。一方で、ほとんどメンテナンスが行われていないシステムも少なくありません。
「サイバーセキュリティには、システム全体の可視化が不可欠です。発電所、非常用電源、冷却システム、物理的アクセス制御システムは、いずれも悪用される可能性があり、データセンターや電力網の安定性に影響を及ぼす恐れがあります」— 世界経済フォーラム
相互に依存する単一のインフラストラクチャとしてではなく、個別のシステムとして緩やかに監視されるままに放置されると、攻撃者が目的を達成するために必要な足掛かりを的確に見つけ出すリスクが高まります。例えば、冷却設備を侵害すれば、回路に過負荷をかけ、ラック全体を停止させる強制シャットダウンを引き起こすことが可能です。
データセンターにおける主要なサイバー・フィジカルリスク
データセンターは、金銭目的のランサムウェア集団から、データセンターに依存するサービスを妨害しようとする国家系組織に至るまで、あらゆる種類の攻撃者の標的となり得る。データセンターがこれほど脆弱な状態にあるのは、サーバーの下層OT IoT がある。これらの資産は、接続性が高まり、リモートで管理され、場合によってはインターネットからもアクセス可能となっているため、IT管理体制を密かに迂回する侵入経路となり、深刻な混乱や広範囲にわたるサービス停止へと発展する恐れがある。
運用の中核を担う、インターネットに公開されたDCIM
データセンターインフラ管理(DCIM)システムは、ITシステムと施設管理システムを連携させ、電力、冷却、サーバーラック、および環境センサーを監視します。このシステムはITと施設管理の間の「グレーゾーン」に位置するため、見落とされがちであり、場合によってはインターネットにさらされていることさえあります。Cybleが2022年に実施した調査によると、公開インターネットからアクセス可能なDCIMツールやアプリケーションは2万件に上り、その多くは依然として工場出荷時のデフォルトパスワードのみで保護されていることが判明しました。
正確な環境条件を維持する冷却システム
原因がサイバー攻撃であれ、単なる故障であれ、冷却システムの停止は急激な温度上昇を引き起こします。熱によってサーバーが修復不可能なほど損傷してしまう前に、オペレーターがサーバーをシャットダウンできる時間は、わずか15分から20分しかない場合があります。
悪用可能なOTIoT
CCTVカメラや温度センサーなどの資産は、暗号化や認証機能が最小限に抑えられた簡易なオペレーティングシステムで動作しているため、攻撃者は境界防御をすり抜け、初期の足場を築き、重要なシステムへと攻撃の矛先を向けることが可能になります。 これがどのような結果を招くかは、すでに目の当たりにしています。2021年のVerkadaへの侵入事件では、攻撃者は企業、病院、その他の施設に設置された約15万台のインターネット接続カメラのライブ映像にアクセスしました。カメラ自体が最終的な標的となることは稀ですが、侵入の足がかりとなることは非常に多いのです。
サードパーティベンダーによるリモート保守
データセンター内では、数十社のベンダーがIoT リモートアクセス権限を保有しています。日常的に、メンテナンスのために技術者が絶え間なくログインしていますが、彼らと保守対象のシステムとの間には、セキュリティ対策が不十分な場合が少なくありません。
AIを支える変電所のセキュリティ確保
データセンターには継続的かつ安定した電力供給が必要ですが、AIワークロードは極めて多くの電力を消費するため、その必要性は一層切実なものとなっています。この需要に対応するため、大規模な施設では、冗長性、稼働時間、コスト管理のために、自ら制御可能な専用電源を求める傾向が強まっています。小規模なサイトであっても、バックアップ用の発電機を備えているのが一般的です。ハイパースケール・キャンパスでは、ほぼ例外なく専用の変電所を建設しており、1つのキャンパスだけで都市規模の電力を消費することもあります。コロケーション事業者も、独自の変電所を建設・運営している場合があります。
その需要は今や、電力網そのものを再構築するほどに膨れ上がっている。データセンターは、電力需要の中で最も急速に拡大し、かつ最も複雑な要因の一つとなっている。国際エネルギー機関(IEA)の推計によると、2024年には世界の電力消費量の約1.5%をデータセンターが占め、その消費量はわずか1年間で約12%増加した。 世界経済フォーラム(WEF)は、データセンターを、電力を消費する一方で、オンサイト発電を通じて電力を生産する大規模な「プロシューマー(生産者兼消費者)」と位置づけ、これが電力網のレジリエンス(回復力)に複雑な影響を及ぼすと指摘している。具体的な危険性は「急激さ」にある。つまり、電力網に突然接続されたり、切り離されたりする大規模な負荷は、従来の計画では想定されていなかったような不安定さを引き起こす可能性がある。
これはすでに一度発生している。2024年7月10日、世界でも最もデータセンターが密集している市場であるバージニア州北部で送電線の故障が発生し、約1,500MWに及ぶデータセンターの負荷がほぼ同時に非常用電源に切り替わった。NERCの事象調査報告書によると、この急激な負荷喪失により系統周波数と電圧が上昇し、系統の安定性を維持するために運用担当者は対応を余儀なくされた。NERCは、系統においてこれほど大量の負荷が瞬時に失われる事態に備える必要は、これまで歴史的になかったと指摘している。
規制対象の公益事業としてのデータセンター事業者
データセンターの膨大な電力消費量と電力系統への影響を踏まえ、規制当局はもはや傍観する立場を脱した。2026年5月4日、NERCは、顧客主導による大規模な負荷削減と、数秒単位で発生する著しい振動を観察した結果、極めて異例となるレベル3の「必須措置」警報を発令した。これらは運用者に反応する余地をほとんど、あるいは全く与えず、大規模電力システムの信頼性を脅かすものである。 この警報では、登録事業者が実施すべき7つの措置が示されており、対応期限は2026年8月3日となっている。これと併せて、NERCが正式な基準を更新するまでの間の「信頼性の架け橋」として位置付ける新たな自主的ガイドライン『新興の大規模負荷に対するリスク軽減策』も発表された。
データセンター事業者にとって、物理的な規模がコンプライアンス上の課題となるのはまさにこの点です。事業者が、大規模電力系統と連系する独自の変電所やオンサイト発電設備を建設・運用する場合、「大規模顧客」の範疇を超え、NERC登録事業者の領域に入り込む可能性があります。そうなれば、NERCの重要インフラ保護(CIP)義務を負うことになり、NERCが求める継続的かつ立証可能なコンプライアンス証明が求められることになります。 言い換えれば、稼働時間を保証する変電所によって、OT が公益事業と同等のサイバーセキュリティ規制OT 可能性があります。いずれにせよ、電力供給を支える制御システム、リレー、発電設備、および建物システムは、現在では信頼性確保の観点と規制遵守の観点の両方において重要な要素となっています。
重要インフラにおけるサイバーセキュリティ規制への準拠
現在、主要な経済圏のほとんどにおいて、データセンターは重要インフラ、あるいは重要国家インフラ(CNI)として正式に分類または規制されています。データセンターが集中する場所には、必ずサイバーセキュリティの監視体制が伴います。

データセンターのサイバーセキュリティに対する包括的なアプローチ
経営者や運用担当者にとって、その意味するところは明白です。ITやクラウドのみを対象としたサイバーセキュリティ戦略では不十分なのです。最も重大なリスクの多くは、データセンターを稼働させているサイバーフィジカルシステムに潜んでおり、そこに設置されたサーバーそのものにあるわけではありません。解決策は、IT、OT IoT 単一の相互接続されたリスク領域IoT 扱い、クラウドに対してすでに実施しているのと同じレベルの監視を、その基盤となる物理的な設備にまで拡大することです。
ここで、Nozomi Networks 真価を発揮します。同プラットフォームは、施設内のOT IoT 可視化し、実際の運用リスクに基づいて脆弱性をランク付けします。さらに、電力、冷却、物理セキュリティシステムを常時監視して脅威や異常を検知し、AIを活用したSOC支援機能を提供することで、アナリストが重要な業務に集中できるよう支援します。これにより、オペレーターがSLAとコンプライアンスの両方を確実に遵守できるようサポートします。
AIを支えるインフラのセキュリティ強化について、弊社がどのようにお役に立てるか、ぜひお問い合わせください。




