- どんなに強固な電源・空調・通信回線があっても、サーバーが置かれた部屋に「人」が物理的に侵入できてしまえば、すべてのインフラ投資は無意味になる。
- データセンターは「敷地・建物・前室・サーバー室・ラック」の5層に渡る多層防御で守られており、各層でマントラップや生体認証など複数の手段が組み合わされている。
- 物理的な防御に加え、ISO27001やSOC2といった「目に見えない認証」の取得状況が、施設の信頼性と投資価値を客観的に測る指標になる。
これまでこのブログでは、データセンターを支える「電気」「空調」「通信」という3本の柱について、現役エンジニアの視点から解説してきました。前回のネットワーク記事の最後で、私はデータセンターを支える4本柱として「電気・空調・セキュリティ・通信」を挙げました。
今回はその最後の1本、「物理セキュリティ」を補完する番外編としてお送りします。電源も空調も通信も完璧なデータセンターが、たった一つの侵入で全てを失う——そんな恐ろしい現実から施設を守る、見えない要塞の話です。
第1章:データセンターの真の脅威は「人の侵入」
データセンターと聞いて、皆さんが「セキュリティ」という言葉から想像するものは何でしょうか?多くの方は、ハッカーによるサイバー攻撃や、巧妙なフィッシングメールを思い浮かべるかもしれません。
しかし、データセンターを運営する側にとって、サイバー攻撃と同じか、それ以上に怖いのが「物理的な侵入」です。なぜなら、サーバーが置かれた部屋に悪意ある人間が物理的にアクセスできてしまえば、ハードディスクを丸ごと持ち出すことも、不正な機器を取り付けてデータを盗むことも、極端な話、サーバーをハンマーで破壊することすら可能だからです。
銀行の金庫室と同じ発想で守る
ここでまた比喩を使います。データセンターの内部、特にサーバー室は、「銀行の金庫室」と全く同じ発想で守られていると考えてください。
銀行の現金は、(1) 外周の塀、(2) 玄関の警備員、(3) ロビーの監視カメラ、(4) 行員専用エリアのカードキー、(5) 金庫室の扉、(6) 金庫そのもの、というように、何重もの関門を突破しなければ辿り着けません。1つの関門が破られても、次の関門が侵入者を止めるという発想です。
データセンターのサーバーには、銀行の現金よりも遥かに価値の高い「データ」が詰まっています。金融機関の取引情報、企業の機密情報、個人の医療データ、政府の機密文書——これらが瞬間的に大規模に流出すれば、金銭的損失どころか社会的混乱すら引き起こします。だからこそデータセンターは、銀行と同等以上の多層防御で守られているのです。
投資の視点:物理セキュリティが弱いDCは大企業に選ばれない
金融機関、官公庁、医療機関、メガクラウド企業といった「機密性の高いデータを扱う優良テナント」は、入居先のデータセンターを選ぶ際、物理セキュリティに対して異常なほど厳しい目を向けます。Tier等級や冗長化と同じか、それ以上に重視されるのが、この物理的な堅牢性です。
つまり、物理セキュリティに本気で投資しているデータセンターは、結果的に長期・高単価で契約してくれる優良テナントを獲得できるのです。これは前回までの記事で繰り返してきた構造——技術への投資が収益力に直結する——と全く同じパターンですね。
第2章:データセンターを守る「5層の関門」
では、実際のデータセンターはどのように物理侵入を防いでいるのでしょうか。世界最大のデータセンター企業であるEquinix社の公式サイトでは、「24時間365日有人のセキュリティステーション、マントラップ、生体認証、堅牢なサイバーセキュリティ対策を含む5つのセキュリティチェックポイント」を通過することが必須と紹介されています。
この「5つの関門」という構造は、世界中のミッションクリティカルなデータセンターでほぼ共通の設計思想です。具体的にどのような関門なのか、外側から内側へと順に解説していきます。
第1層:敷地境界(フェンス・赤外線センサー・監視カメラ)
最も外側の関門は、敷地そのものへの侵入を防ぐ仕組みです。高さのあるフェンス、夜間でも侵入を検知する赤外線センサー、敷地内をくまなく監視する高解像度カメラ——これらが24時間365日、敷地全体を見張っています。
一見地味ですが、ここが最初の抑止力になります。「侵入しようと思っても、敷地に近づいた瞬間に検知される」という設計が、犯行を企てる側を最初から諦めさせる効果を持つのです。
第2層:建物入口(受付・身分確認・持ち物検査)
建物に入る瞬間、訪問者は警備員のいる受付で身分証明書の提示を求められます。事前に登録された訪問予定者でなければ、ここで立ち入りは拒否されます。
Microsoft Azureのデータセンターでも、訪問者は事前登録された業務理由が必要で、政府発行の身分証明書を提示し、警備担当者がその身元を厳格に確認するプロセスが運用されています。これがグローバルなハイパースケーラーの標準です。
さらに高セキュリティな施設では、金属探知機や手荷物検査も実施されます。「カメラ付きの私物を持ち込ませない」「USBメモリの持ち込みを禁止する」といった運用は、想像以上に厳格です。
第3層:マントラップ(共連れ防止の二重扉)
ここからがデータセンター特有の関門です。「マントラップ(mantrap)」と呼ばれる二重扉構造が、サーバーエリアへの入口に設けられています。
マントラップの仕組みはシンプルです。1つ目の扉を開けて中に入ると、小さな前室があり、その奥に2つ目の扉があります。1つ目の扉が完全に閉まらない限り、2つ目の扉は絶対に開かないという排他制御がかかっています。
この目的は「共連れ(ともづれ)」の防止です。共連れとは、認証を通過した正規の人物の後ろにこっそり付いて、無断で入室してしまう手口のこと。マントラップでは前室に1人ずつしか入れない設計になっているため、認証されていない人間は物理的に通過できません。
国内のセキュリティ機器メーカーであるオプテックス社の解説でも、データセンターの不正侵入対策の代表例として、前室での人数検知システムによる共連れ防止が紹介されています。前室内に2人以上いた瞬間にシステムが検知し、サーバー室への扉を物理的にロックする、という仕組みです。
第4層:生体認証(指紋・静脈・虹彩・顔)
マントラップを通過しても、その先のサーバー室に入るためには生体認証が待っています。指紋、手のひら静脈、虹彩、顔——これらは個人ごとに異なり、複製や偽造が極めて困難なため、最終関門として最適です。
Microsoftのデータセンターでは、アクセスカードと生体認証リーダーを組み合わせた多要素認証が標準で運用されています。「カードを持っている」かつ「指紋が一致する」という二段階の確認を経て、初めてサーバー室の扉が開く設計です。
カードの貸し借りや盗難があったとしても、生体認証は本人でなければ通過できません。逆に、生体情報を偽造できたとしても、対応するカードを持っていなければ意味がない。これが多要素認証の強さです。
第5層:ラック単位の施錠
サーバー室に入った後でも、まだ最後の関門があります。それがサーバーラック単位の施錠です。
データセンターは複数のテナントが同じ部屋を共有する「コロケーション」形態で運営されることが多く、A社のサーバーとB社のサーバーが同じ部屋に並んでいる場合があります。仮にA社の作業員がサーバー室に入れたとしても、B社のラックの扉を物理的に開けることはできません。
最近のデータセンターでは、ラックの扉そのものに電子錠と認証システムが組み込まれており、認証された人物以外は扉に触れることすらできない設計が増えています。テナント企業ごとにアクセス権限が完全に分離されているのです。
第3章:「目に見えない」セキュリティ認証の世界
第2章までは、フェンスやマントラップといった「目に見える防御」の話でした。しかし、データセンターのセキュリティにはもう一つ重要な側面があります。それが、第三者機関による「目に見えない認証」です。
どれほど立派なマントラップを設置していても、その運用ルールが緩ければ意味がありません。誰がいつアクセスしたか記録されていなければ、事後の追跡もできません。これらの運用面の品質を客観的に評価するのが、各種のセキュリティ認証制度です。
主要な認証制度
データセンターやクラウドサービスでよく見かける主要な認証は4つあります。それぞれの特徴を整理しましょう。
ISO/IEC 27001(ISMS認証)
情報セキュリティマネジメントシステムの国際規格。組織全体でセキュリティを管理する仕組みが整っているかを評価します。データセンター事業者なら基本中の基本として取得しているレベルの認証です。
SOC2(Type1 / Type2)
米国公認会計士協会(AICPA)が定める基準で、内部統制を評価する報告書です。Type1がある時点でのスナップショット評価、Type2が一定期間(通常1年間)の運用状況の継続評価。Type2を取得している企業は、長期間にわたって基準を満たし続けているということを意味し、信頼性が一段上です。
PCI DSS
クレジットカード情報を取り扱うシステムに求められるセキュリティ基準。金融機関や決済関連のテナントを獲得するには必須です。
ISMAP(イスマップ)
日本政府が求めるセキュリティ要求を満たしているクラウドサービスを登録する制度。政府機関や官公庁のクラウド利用先として選定されるための事実上の必須要件になっています。日本独自の制度ですが、国内の公共系案件を取りに行くなら避けて通れない認証です。
さくらインターネットの認証ポートフォリオに学ぶ
国内DC事業者の認証取得状況は、IR資料や公式サイトで確認できます。たとえばさくらインターネットの情報セキュリティ取組ページを見ると、以下のような認証を取得していることが分かります。
- ISO/IEC 27001(ISMS認証):全事業所およびデータセンターを対象に取得
- SOC2 Type2 報告書 / SOC3 報告書:石狩データセンターのコロケーション・ハウジングサービスのセキュリティと可用性を対象
- ISMAP:政府情報システム向けのクラウドサービスとして登録
- PCI DSS:クレジットカード情報の取り扱いに準拠
これは国内DC事業者として非常に手厚いポートフォリオです。SOC2 Type2まで取得しているのがポイントで、これは継続的な運用品質を1年間にわたって監査機関が確認した証拠になります。一時的に基準を満たしているのではなく、長期的にセキュリティ体制が維持されていることが客観的に示されているわけです。
第4章:投資家として見るべき「セキュリティ」のチェックポイント
ここまでの内容を、投資家視点で実用的なチェックリストにまとめます。データセンター関連銘柄を分析する際、以下の3点を企業の公開情報から確認すると、その施設の「真のセキュリティレベル」が見えてきます。
チェック①:物理的な多層防御の具体性
IR資料や施設紹介ページで、「マントラップ」「生体認証」「多要素認証」「24時間有人警備」といった具体的な単語が出てくるかを確認します。「セキュリティ万全」「強固な体制」といった抽象的な表現しか書かれていない場合、実態は標準レベルにとどまっている可能性が高いです。
チェック②:認証の取得範囲と種類
ISO27001だけでなく、SOC2 Type2を取得しているかを確認します。SOC2 Type2を取得している企業は、運用品質が継続的に維持されている証拠です。さらに、ISMAPに登録されていれば政府系案件への参入障壁を超えており、PCI DSSがあれば金融系テナントを獲得しやすい体制が整っています。
認証の「取得対象範囲」も重要です。「全社で取得」と「特定のデータセンターのみで取得」では大きく意味が違います。事業者によっては、看板にしている主力DCだけ手厚い認証を取り、他の施設は最小限という戦略を取っている場合もあるので、IR資料の脚注まで確認する価値があります。
チェック③:優良テナントの存在
最後の決定打は、その施設にどんなテナントが入っているかです。金融機関、官公庁、メガクラウド企業(AWS、Microsoft、Googleなど)といったセキュリティ要求の高い顧客が入居している事実は、その施設のセキュリティレベルが市場で認められている何よりの証拠になります。
逆に言えば、優良テナントが入っているDCは市場の厳格な審査をクリアし続けているとも言えるので、長期的な収益安定性が高いと判断できます。
まとめ:4本柱が揃って、データセンターは「真のインフラ」になる
これでこのブログの「インフラ4本柱」シリーズが完結しました。電気・空調・通信・セキュリティという4つの柱が揃って、初めてデータセンターは現代社会を支える真のインフラとして機能します。
本記事のポイントを振り返ります。
- データセンターの真の脅威は、サイバー攻撃だけでなく物理的な侵入。サーバー室に人が入れてしまえば、すべての投資が水の泡になる。
- 「敷地・建物・前室・サーバー室・ラック」の5層多層防御と、マントラップ・生体認証・多要素認証の組み合わせで、物理侵入は徹底的に防がれている。
- 物理的な防御に加え、ISO27001・SOC2・PCI DSS・ISMAPといった第三者認証の取得状況が、運用品質と投資価値を客観的に示す指標になる。
あなたが次にデータセンター関連企業のIR資料を見る際は、ぜひ施設のセキュリティ仕様と認証取得状況に注目してみてください。「目に見える防御」と「目に見えない認証」の両方に投資できている企業こそが、優良テナントから選ばれ、長期的に安定した収益を生み出す本物の参入障壁を築いているのです。
次回予告
これでインフラ4本柱(電気・空調・通信・セキュリティ)と、それを支える設計思想(Tier・冗長化)の解説が完結しました。次回からはいよいよ「ビジネスの裏側」に切り込んでいきます。データセンター事業者はどうやって稼いでいるのか——コロケーションとオウンド型の収益構造の違いを、現役エンジニアの視点で解説します。これまでの設備知識を武器に、いよいよ投資判断の本丸へと踏み込んでいきましょう。
コメント