データセンター・セキュリティーとは

データセンター・セキュリティーの根本的な目的は、保存されたデータの機密性、完全性、可用性を維持し、データ・プライバシーを守りながら事業中断を回避することです。 

データセンターへの脅威には、意図的な悪意ある攻撃、自然災害、意図しないインシデントや事故などが含まれます。 そのため、包括的なデータセンター・セキュリティー戦略では、ネットワーク・ハードウェア、電源システム、サーバー、建屋そのものを含む施設のあらゆる側面を対象にします。 

人々と企業は膨大なデータを生成し、日常的に利用しています。その量は日々指数関数的に増えており、特に人工知能（AI）や機械学習（ML）など、データ中心のテクノロジーの台頭により、この傾向は加速しています。

銀行口座や健康記録などの機微な個人情報から、重要な企業の知的財産（IP）、高度な国家機密、さらにはテキスト・メッセージやEメールまで、データセンターには価値の高い情報や、個人のプライバシーに関わる情報が幅広く保管されます。そのためデータセンターは、サイバー犯罪者にとって格好の標的となるだけでなく、障害が発生し得る脆弱なポイントにもなり得ます。したがって、確実に保護する必要があります。 

データセンターが停止すると、重要な業務運用、アプリケーション、サービスが中断する可能性があります。ダウンタイムが長引くほど、金銭的損失も拡大します。 さらに深刻なのは、データセンターの停止が、医療、公益事業、交通、インフラストラクチャーなどの重要サービスに危険な状況を引き起こしかねないことです。   

火災や洪水のような事象でもダウンタイムやデータ損失が発生し得ますが、データセンターでは標的型の攻撃に特に注意が必要です。 内部脅威がアクセス権限を悪用して企業データを不正に使用することもあれば、外部の脅威がシステムに侵入して大きな混乱を引き起こすこともあります。

データセンターには、物理サーバーと仮想サーバーが数十万台規模で存在することもあります。いずれもハッカーに狙われ得るため、状況に合わせたセキュリティー・ポリシーが必要です。 

データセンター・セキュリティーの重要性は、次の4つの主要な柱で捉えられます。

データセンターには、企業の知的財産（IP）からお客様のクレジット・カード情報まで、価値の高いデジタル資産が保管されています。こうした情報は、ハッカーやその他のサイバー犯罪者にとって魅力的な標的です。攻撃者は、元の所有者に身代金を要求して返還したり、個人的な利益のために悪用したりする可能性があります。 

バックアップとデータの冗長化により、部分的または全面的な停止が発生した場合でも、重要なデータが完全に失われたりアクセス不能になったりしないようにできます。 

また、データセンター・セキュリティーは、負荷が高まる局面でも事業継続性を確保するうえで重要です。安全性の高いデータセンターなら、日常的な運用の中でも迅速でスムーズなデータ・アクセスを提供し、業務停止を回避できます。さらに、一部の局所的なサイバー攻撃や自然災害が発生した場合でも、事業継続を支えます。 

例えば、ニューヨークの銀行支店で洪水が発生し、現地のオンサイト・サーバーとデータが破損したとしても、事故現場から離れた場所にある安全なオフサイト・データセンターに保管されたバックアップからデータを復元できます。 

データセンター・セキュリティーは、規制遵守の維持においても重要な役割を担います。医療保険の相互運用性と説明責任に関する法律（HIPAA）、一般データ保護規則（GDPR）、California Consumer Privacy Act（CCPA）などの規制では、企業や組織が機微なデータをどのように収集し、取り扱えるかが定められています。これらの法律は、厳格なガイドラインと、場合によっては重い罰則を通じて、お客様データの保護を担保します。データ・セキュリティー侵害が発生した場合、データの不適切な取り扱いについて組織が責任を問われる可能性があります。 

火災や洪水、物理的な侵入者、リモートからの攻撃者まで、データセンターはさまざまな脅威と課題に備える必要があります。 

事業のダウンタイムや利用者との関係悪化に伴う具体的なコストの算出は難しいものの、2025年データ侵害のコストに関する調査ではいくつかの推計が示されています。侵害の平均コストは、世界平均でUSD 444万、米国平均でUSD 1040万です。  

データセンターが直面する主な課題と脅威には、次のようなものがあります。

データセンターは、物理的または仮想的に不正アクセスを試みる人々から、境界を保護する必要があります。データセンターは、保存された重要データを盗んだり、身代金目的で利用したり、破壊したりする可能性のあるサイバー犯罪者や攻撃者、さらにはテロリストにとっても、よく知られた標的です。

ハッカーがクレジット・カード番号や銀行のパスワードなどの金融情報を狙う一方で、国家主体の攻撃者が、国家機密や極秘の防衛文書といったさらに危険な情報を標的にする可能性もあります。サイバー犯罪者は、リモートからデータセンターを標的にするだけでなく、敷地への不法侵入によって現地でのアクセスを試みることもあります。

権限のない利用者がデータセンターに保管されているデータにアクセスするだけでも深刻ですが、データが盗まれるとなればさらに重大です。機器の盗難により、データセンターとそのお客様のサービスが停止する可能性があります。データの盗難は、業務中断だけでなく、恐喝やなりすましなど、より深刻な事態を招きかねません。 

データセンターにとって最大の脅威は意図的な攻撃ですが、火災、洪水、暴風雨などの自然災害もデータセンターに大きなリスクをもたらします。データセンターには、一般的なオフィスビルよりも大量の電力を必要とし、はるかに多くの熱を生み出す繊細な機器が収容されています。 

物理的脅威と自然災害は、データセンターに保管されているデータだけに影響するわけではありません。ハードウェアとインフラストラクチャー自体にも影響します。また、データのバックアップと復旧計画が同一施設に保管され、インシデントで複数のサーバーが影響を受ける場合、事業継続性も脅かされます。データセンターのハードウェアは、交換にコストと時間がかかり、精密な構成と調整も必要です。火災、洪水などの災害が発生すると、被害を受けたデータセンターが数カ月、場合によっては数年にわたり停止する可能性があります。

データセンターは、ルーター、スイッチ、サーバーなど、接続されたコンピューティングとストレージのリソースからなる大規模なネットワークを収容するために構築されています。   

これらのシステムを保護するために、データセンターのセキュリティー・チームは、問題となる前に脆弱性を特定して修復できる必要があります。また、既存のセキュリティー対策を監視し、データ漏えいやランサムウェア感染など、実際に発生した問題に迅速に対応できる必要があります。  

こうした脅威に備えるため、多くのデータセンターは、Open Compute Project（OCP）が提示するデータセンター・セキュリティー要件に準拠しています。OCPは、データセンター製品の設計とベスト・プラクティスの促進および共有に取り組む非営利団体です。IBM、Meta、Intel、Nokia、Microsoft、Google、Nvidia、Cisco、Goldman Sachsなど、400社を超える企業が参加しています。 

OCPのデータセンター・セキュリティー要件は次のとおりです。

1. 抑止（Deter）： データセンターは、サイバー犯罪者や脅威アクターが攻撃を開始することを抑止するために、可能な限りの対策を講じる必要があります。
   
   
2. 検知（Detect）： データセンターのセキュリティー運用では、利用可能なあらゆるツールを活用して、潜在的な脅威をリアルタイムで特定する必要があります。セキュリティー侵害による被害は、時間の経過とともに拡大する可能性があります。侵害をできるだけ早く検知することは、データセンター・セキュリティーにとって不可欠です。
   
   
3. 遅延（Delay）： セキュリティー侵害が発生した場合、データセンターは、機密データをすぐに特定し所在を突き止められないようにするため、さまざまな手法を用いる必要があります。遅延の戦術により、侵入口と重要なデータ資産の間に障壁を設けます。  
   
   
4. 対応（Respond）： セキュリティー・インシデントが発生した場合、データセンター・セキュリティーの担当者は、資産を保護し、データに対する安全な管理を取り戻すために、迅速かつ計画的に対応する必要があります。 

OCPのような要件を満たすために、組織はさまざまなデータセンター・セキュリティーのツールとテクノロジーを導入します。データセンターのセキュリティー対策は、所在地、用途、その他の要因によって異なります。ただし、現代のほとんどのデータセンターでは、安全性とコンプライアンスのために、いくつかの基本的な対策が組み込まれています。 

例えば、侵入検知システムは不正アクセスを検知するためにネットワーク・トラフィックを監視し、警報システムは施設などの物理的な場所を保護します。火災検知や消火システムなど、他のデータセンターの物理セキュリティー対策は、悪意ある攻撃者への対策にとどまらず、防御策の範囲を広げます。これらの対策は、データ損失につながり得る自然災害やその他の事故から、データセンターのインフラストラクチャーを保護します。

大別すると、データセンター・セキュリティーのテクノロジーは、物理セキュリティー、ネットワーク・セキュリティー、一般的なサイバーセキュリティーの3つの主要な柱に分けられます。

データセンターの物理セキュリティー対策は、データセンターの施設そのものを強化します。例には次のようなものがあります。

• 照明とカメラ： 外周および屋内の照明は、裏口などの重要なエリアを照らすことができます。照明は侵入を試みる者への抑止に役立ち、侵入や不法侵入の記録を残せる監視カメラ（CCTV）の視認性向上にもつながります。 
  
  
• 警備員： データセンターのセキュリティー・チームには、定期的に施設内を巡回する警備員が含まれることがよくあります。
  
  
• 物理アクセス制御： データセンターのアクセス制御システムでは、キーカードなど追跡可能な認証情報を使用して、不正アクセスを抑止すると同時に、誰が施設に入退室したかを確認し追跡することがよくあります。安全性の高い壁、フェンス、ゲート、錠などの障壁も、データセンター・セキュリティーの重要な要素です。 
  
  
• センサーと警報：侵入センサーと警報は、インシデントをリアルタイムでセキュリティー・チームに通知すると同時に、不法侵入が見過ごされていないことを侵入者に警告する役割も果たします。

データセンターは性質上、利用者や組織がデータにアクセスして取得できるよう、ネットワーク・アクセスを許可する必要があります。しかし、ネットワーク・アクセスは幅広い脆弱性も招くため、次のようなネットワーク・セキュリティー機能で対処する必要があります。

• ファイアウォール： ネットワーク・ファイアウォールは、データセンターへの出入りのネットワーク・トラフィックを監視するために導入されます。設定次第では、地理的位置など既知の不審な指標やその他の要因に基づいて、利用者のアクセスを拒否できます。
  
  
• 暗号化： データセンターとの送受信データを、検証済みで認証された利用者のみが読めるようにするために、暗号化が使用されます。
  
  
• 仮想プライベート・ネットワーク： 仮想プライベート・ネットワーク（VPN）は、データセンターと外部拠点の間で行うネットワーク通信に対して、追加のセキュリティー・レイヤーを提供します。リモートアクセスVPNは、信頼できないネットワーク上でもセッションをエンド・ツー・エンドで暗号化したまま、データセンターと外部デバイス間で安全にデータを転送できるようにします。さらに、管理者パネル、データベース、アプリケーション・プログラミング・インターフェース（API）など、ハッカーに狙われやすい対象は、VPNの背後に置くことで直接アクセスから保護できます。セキュリティーをさらに強化するため、VPNでは、認証を追加で求め、多要素認証（MFA）などを適用できます。

ネットワーク固有の保護に加えて、データセンター・セキュリティーには、次のようなより広範なサイバーセキュリティー対策も含まれます。

• パスワード・ポリシー： 厳格なセキュリティー標準により、利用者の認証に使用するパスワードの強度を確保し、推測されにくくします。また、定期的なパスワード変更を義務付けることで、権限のない利用者が正当な認証情報を悪用して機密性の高いシステムにアクセスすることを難しくできます。 
  
  
• デジタルアクセス制御： IDおよびアクセス管理（IAM）ツールは、組織がITシステム内でデジタル・アイデンティティーとユーザーのアクセス権限をプロビジョニングし、保護できるようにします。一般的なデジタルアクセス制御には、利用者が2つ以上の認証情報を提示して本人確認を行い、システムにアクセスすることを求めるMFAや、利用者が業務に必要な最小限の権限のみを持つことを徹底する最小権限の原則などがあります。 
  
  
• 生体認証セキュリティー・システム： 生体認証セキュリティー対策では、顔、網膜、指紋の識別ソフトウェアなどを用い、固有の身体的特徴によって利用者のIDを検証します。この種のシステムはハッカーによる突破が難しく、高いレベルのセキュリティーを提供します。 

データセンターのセキュリティー・チームは、次のようなサイバーセキュリティー・ソフトウェア・ソリューションも導入する場合があります。

• ウイルス対策ソフトウェア： 定期的に更新されるウイルス対策ソフトウェアは、最新のサイバー脅威の特定と対応に役立ちます。
  
  
• エンドポイントの検知と対応（EDR）ソフトウェア： エンドポイントの検知と対応（EDR）ソフトウェアは、リアルタイム分析とAI駆動の自動化を活用して、組織のエンド・ユーザー、エンドポイント・デバイス、IT資産を保護します。
  
  
• ネットワーク検知および対応（NDR）： ネットワーク検知および対応（NDR）テクノロジーは、人工知能、機械学習、行動分析など、シグネチャーに依存しない手法を用いて、ネットワーク上の不審または悪意あるアクティビティーを検知します。
  
  
• データ検知および対応（DDR）： データ検知および対応（DDR）ツールは、データの移動とアクティビティーを追跡することで、オンプレミス、クラウド、マルチクラウド環境にまたがり、あらゆる形式と場所のデータを監視し、保護します。
  
  
• データ損失防止（DLP）： データ損失防止（DLP）ソリューションは、ネットワークを移動するデータ・パケットを検査し、クレジット・カード番号、ヘルスケア・データ、顧客記録、知的財産などの機密情報の使用を検知します。これにより、データの種類ごとに適切なアクセス制御と利用ポリシーを適用できます。
  
  
• ユーザーおよびエンティティーの行動分析（UEBA）：  ユーザーおよびエンティティーの行動分析（UEBA）ソフトウェアは、行動分析、機械学習アルゴリズム、自動化を適用して、異常で潜在的に危険な利用者とデバイスの振る舞いを特定します。