データセンターのセキュリティとは？

データセンターセキュリティの要点

• 運用の継続性は、データセンターのセキュリティにとって重要な指標である。 ビル管理システム（OT）のセキュリティ侵害は、ネットワークレベルの攻撃と同様に、全停電を引き起こす可能性が高くなっている。
• ベースメントとクラウドのギャップは、セキュリティの最大の盲点です。 攻撃者は、セカンダリITシステムからのラテラルムーブメントを利用して、物理的な冷却や電力を妨害するケースが増えている。
• データセンター内のAIインフラには、パフォーマンス優先のセキュリティ態勢が必要だ。 従来のセキュリティ・エージェントに、高密度の機械学習やAIクラスタのコンピュート・サイクルを負担させるわけにはいかない。
• 暗号化されたデータの長期的な暴露を考慮し、将来の影響に備えましょう。

データセンターのセキュリティとは、施設の基盤となるOT、IoT、サイバーフィジカルシステムから、エンタープライズIT、クラウド、アイデンティティ、AI、ウェブアプリケーションに至るまで、施設の稼働を維持するあらゆるシステムにわたるエクスポージャーの統合管理です。 

サイロ化したセキュリティ・ツールやリアクティブな脅威検出・対応システムに頼っていては、データセンターのセキュリティ確保に必要なエンドツーエンドのプロアクティブな可視性を確保することはできません。 

ファイヤーウォールやアクセス・コントロールといった旧来のセキュリティ境界は、データセンターが今日のような高密度のAI工場ではなく、従来のサーバールームと同義だった時代のものだからだ。 現代のデータセンターは産業規模であり、物理的、運用上、サプライチェーン上の脆弱性を抱えている。こうした脆弱性は、セキュリティ・ツールも予想していなかったが、攻撃者はそれをエクスプロイトしようと躍起になっている。

データセンターのセキュリティ脅威には、内部配電の障害から物理的インフラの損傷、サプライチェーンの侵害に至るまで、業務を中断させるあらゆるものが含まれるようになりました。 

リスクの検出結果と軽減は、業務とデジタルの全体にわたってあらゆる資産を可視化することを意味する。 

サイバーエクスポージャーを一元管理することで、チームが一つ一つ構築した複雑なデータセンターのアタックサーフェス全体のサイバーリスクを一元的に把握することができます。 インフラを守る方法を、攻撃者が実際にインフラを通過する方法と一致させるのだ。

データセンターでは、物理的資産とデジタル資産が切り離せないフットプリントを管理する。 

A vulnerability in a core facility programmable logic controller (PLC) or a misconfiguration in internal power distribution systems is now a tier-one cyber risk. In a high-density environment, losing power to these systems, even for a microsecond, can result in the simultaneous failure of hundreds of servers.

攻撃者がHVACシステムを妨害すれば、最大28,500トンの冷却を必要とする100MWのハイパースケールセンターへの影響は即座に現れる。 3分から8分以内にCPUのパフォーマンスが低下し、9分から15分以内にクラスタが完全にシャットダウンし、ハードウェアに壊滅的なダメージを与える。 

データ施設のセキュリティを確保するためには、地下（電力と冷却）と、高性能グラフィックス・プロセッシング・ユニット（GPU）、GPUが実行する独自のAIモデル、およびGPUにアクセスするアイデンティティを含むコンピュート・スタック全体との間の可視性のギャップを埋める必要があります。

サイバーエクスポージャー管理プラットフォームで、データセンターのセキュリティ管理を強化しませんか？ 詳しくはTenable Oneをご覧ください。

物理的施設とデジタル・ネットワークを橋渡しする複合型攻撃は、大半の無駄のないデータ・センター・セキュリティ・チームの能力を凌駕する可能性がある。 この脆弱性は、言葉の根本的な違いとサイロ化したチームから生じている。 セキュリティマネージャーは機械の健全性を監視し、セキュリティオペレーションセンター（SOC）のアナリストはビットレベルの異常を監視する。 

冷凍機が機械的な警告を送ると、SOCのアナリストは通常、メンテナンスの問題として片付けてしまう。 単に、サーマルシャットダウン攻撃の第一段階として認識する文脈がないだけなのだ。

サイバーエクスポージャー管理は、手作業によるデータの相関関係を取り除き、攻撃経路全体を自動的にマッピングすることで、この問題を解決します。 例えば、Tenable One は、設備に関する洞察とIT脆弱性を融合させ、機械的な異常の背後にある理由を提供し、従来のモニタリングでは見逃されていたセキュリティの意図を明らかにします。

AES（資産のエクスポージャースコア）は資産の重大度を重み付けするため、チームは実際の運用と脅威の状況に基づいて意思決定を行います。 例えば、100MWのGPUクラスタに対する冷却の脅威は、周辺サーバの定常的なソフトウェアパッチと同じキューに留まってはなりません。 トリアージのボトルネックをスキップして、実際にリスクの針を動かす修正に直行できる。

ほとんどの施設チームとSOCチームは十分に話し合っておらず、このギャップはセキュリティ上の問題である。

今日、攻撃者は、堅牢なエンタープライズファイアウォールと真っ向から対決する代わりに、ビル管理システム（BMS）や無停電電源装置（UPS）をエントリーポイントとして使用し、放置されたネットワークコントローラーを経由して、プライマリコンピュータスタックに直接侵入することができます。

内部に入れば、温度と湿度のコントローラーを調節して強制的にサーマルシャットダウンさせたり、横方向にピボットして冷却システムが生かしているサーバーからデータを引き出したりすることができる。 ほとんどのチームは、OTとITを別々のレンズを通して見ているため、それをキャッチできない。

サイバーエクスポージャー管理は、この可視性のギャップを埋める。 OT、IT、その他アタックサーフェスのあらゆる部分のデータを一元的に把握することで、設備コントローラーとコンピュートスタックがどのようにつながっているかがわかる。 SOCは、攻撃者にエクスプロイトされる前に、施設ベースの攻撃経路を可視化します。

そして、すべての環境におけるリスクを同時に定量化することで、サイロ化された推測をやめ、オペレーショナル・チェーン全体をカバーするプロアクティブな防御を開始することができる。

冷却と電力： データセンターのライフサポート・システム

重大な依存関係もまた、データセンター内に重大なリスクをもたらす。 

Uptime InstituteのAnnual Outage Analysis 2025によると、影響力のある停電の主な原因は依然として電力である一方、ITとネットワークの問題が重大な障害の4分の1近くを占めるようになっている。

2023年、シンガポールの大手データセンターで冷却装置の故障が発生し、250万件の銀行取引が停止した。 同様に2025年末、韓国で22時間に及ぶリチウムイオンバッテリー火災が発生し、858TBのデータが失われた。 これらの事象は、UPS、配電装置（PDU）、超早期煙検知装置（VESDA）を監視するサイバーエクスポージャー管理プログラムの一環として、OTセキュリティの必要性を強調しています。 

IT/OTと物理アクセスのコンバージェンス

データセンターのセキュリティは、以前は隔離されていた2つの世界の間の横方向の脅威となり、ビジネスネットワーク上の認証情報を1つフィッシングするだけで、攻撃者が物理的なセキュリティカメラやバッジリーダー、環境コントロールにアクセスする足がかりとなる、IT/OTセキュリティのコンバージェンスという課題を生み出しています。

脅威者によるアクセスを阻止するには、サイバーエクスポージャーをモニタリングし、脅威者が侵害されたユーザー認証情報を使用してサーバールームのロックを解除したり、物理アラームを非アクティブ化したりできないようにする。

外部のアタックサーフェスから内部の重大資産への攻撃経路分析を行うことで、露出したウェブサーバーが物理的な侵害にどのようにリードする可能性があるかがわかります。 データセンターのセキュリティを積極的に確保するためには、データセンターを1つの継続的なリスク・ファブリックとして捉える必要があります。

特殊な物理的脅威

高密度のラックをサポートするためにデータセンターのモジュラーインフラストラクチャを拡張すると、常にデジタル監視が行き届かない物理的脆弱性が生じます。 チームの意表を突くプレーをいくつか紹介しよう：

• 多くのデータセンターでは、AIワークロードのためにバッテリーエネルギー貯蔵システム（BESS）や自家発電を稼働させている。 電力消費は莫大だ。 電力、ガス、水道網とデータセンター間の接続は、地域的混乱を引き起こそうとする国家行為者にとって格好の標的である。
• セカンダリストレージに物理的なハードディスクをまだ使っている場合、火災抑制はほとんどのCISOが予想もしない脅威である。 高デシベルのVESDA放電は、イナーゲン、FM200のようなガス放出の引き金となる。 ガスは回路にダメージを与えないが、放電による音圧はハードディスク・ドライブのプラッターを物理的に粉砕するのに十分なほど強い振動を発生させる。
• コンポーネントの老朽化もセキュリティ上の問題だ。 耐用年数を過ぎたリチウムイオンバッテリーは火災の危険性があります。 これらのシステムに障害が発生した場合、ハードウェアの交換費用とダウンタイムは、一般的なデータ漏洩よりも大きな打撃を受ける。

サイバーエクスポージャー管理は、BESSコントローラーとハードウェアライフサイクルデータから情報を取り込む。 サイバーエクスポージャー・アセスメント・プラットフォーム（EAP）は、老朽化した電力部品やパッチが適用されていないエッジ資産を、リスクの高いエントリーポイントとして特定することができます。 リスクベースの優先順位付け 、恣意的な保守スケジュールではなく、実際の脅威レベルに応じてハードウェアの交換を指示する。 

このような物理的な健全性の指標をSOCと同期させることで、攻撃者がデータセンターの構造的な腐敗をエクスプロイトしてデジタル資産にアクセスするのを阻止することができます。

高密度のAI環境では、ノード間通信の量が従来の境界ベースのセキュリティを圧倒する可能性がある。 

標準的なファイヤーウォールは南北のトラフィックを処理する。 何千ものGPUがボトルネックを発生させることなく並列にパラメーターを同期させなければならない分散トレーニングに必要な、大規模で低レイテンシーの東西バーストには追いつけない。

サイバーエクスポージャー管理は、トレーニングフローを中断することなくラテラルムーブメントを検出するために、これらのGPUクラスタ間の特定の通信経路をマッピングすることによって、このパフォーマンスとセキュリティのトレードオフを解決します。 

この高速ネットワークデータを資産の重大度と関連付けることで、サイバーエクスポージャー管理は、敵対者がクラスタの膨大なスループットを武器にする前に、東西ファブリックを横断する不正なデータシフトを特定します。

コンピュートへのパフォーマンス課税の撤廃

データセンター内で高性能のAIトレーニングデータや機械学習ワークロードを実行する場合、すべてのコンピュートサイクルが貴重な資産となります。 

従来のセキュリティ・エージェントは、多くの場合、AIモデルには支払えない性能税を課している。 この税金とは、従来のセキュリティ・ソフトウェアが貴重な計算サイクルを消費し、データ・パイプラインに待ち時間を発生させることを指す。 

高密度のAIや機械学習のワークロードとGPUクラスタは、学習と推論のために利用可能なパワーのすべてを必要とするため、パフォーマンスが低下すると、大規模な言語モデルの学習時間が直接増加し、セキュリティがボトルネックになります。 

ボトルネックを回避するには、ハイブリッドで適応的な評価に基づくアタックサーフェス管理アプローチでエージェントレスを実現する：

• Push security processing off the host CPU/GPU onto specialized data processing units (DPUs) to get deep visibility into the host and hypervisor without touching the compute cycles you need for model training.
• Run deep-packet inspection on east-west traffic, including VXLAN, at line rate. You can catch anomalies and lateral movement without injecting latency into your data pipelines.
• Use zero-trust segmentation so a vulnerability in a PDU can't become a foothold into a high-performance training cluster.
• Audit your cloud and AI software stack, including orchestration layers like Kubernetes and specialized model libraries, using snapshot-based scanning to find vulnerabilities and misconfigurations without placing an active load on a GPU cluster.

Read "Securing AI data centers" to learn more about this non-disruptive approach.

AI学習データのセキュリティと機械学習のライフサイクル

データセンターのセキュリティは、ストレージレイヤーの取り込みパイプラインから、ユーザーにサービスを提供する推論エンドポイントに至るまで、データを追跡し、防止する必要があります：

• モデル中毒： トレーニングデータセットが保存されている高速ストレージ層への不正アクセス。
• Prompt injection: 本番クラスタ上で実行されている推論サービスのエンドポイントを標的とした悪意のある入力。
• シャドー AI: 従業員や開発者が無許可でAIモデルを立ち上げ、企業のセキュリティ監視なしにシステムが機密データを処理する暗部を作り出している。

継続的なサイバーエクスポージャー管理は、データ・リネージ全体をマッピングし、モデル提供インフラの設定ミスを特定します。 これらの脆弱性を物理的施設のリスクと関連付けることで、冷却システムの侵害やパッチが適用されていないシステムによって、システムのインテグリティが損なわれることがないようにします。

エージェント型AIはデータセンターにとって重大なリスクである。 これらのAIシステムは、独自のコードをその場で書き換えるポリモーフィック・マルウェアや、ペタバイト単位のトラフィックをスキャンして人間よりも早く脆弱性を発見する自動偵察エージェントを動かすために、独自の判断を下す。

データセンターのAIリスクに対抗するには、自律型AIエージェントの脆弱性評価を定期的に実施し、攻撃者がセキュリティ・ロジックを変更するような悪意のある指示を与えていないことを確認する。

サイバーエクスポージャー管理を使用して、コンピュートファブリック内のすべての自律エージェントの動作ログと権限セットを分析することにより、この脅威を軽減します。 サイバーエクスポージャー管理は、権限超過のエージェントや、エージェントの命令セットへの不正な変更を特定することで、攻撃者が自社の自動化をインフラストラクチャに敵対させることを防ぎます。

アイデンティティ中心のログイン攻撃： ディープフェイクとMFAバイパス

敵もまた、"侵入 "から "ログ・イン "に軸足を移している。 今日、彼らは既知の脆弱性として、誰かを騙して認証情報を与えることで、データセンターの人的要素を悪用される可能性がある。 この境界を守るには、アイデンティティ中心のセキュリティが必要である。

ここでは、データセンターに影響を与える可能性のある攻撃方法をいくつか紹介する：

• 攻撃者はAIが生成した音声や動画を使ってアイデンティティをなりすます。
  • さらに、侵害されたカメラ映像によって、敵対者は侵入ポイントで暗証番号を読み取ったり、脅迫やソーシャル・エンジニアリングのためにオペレーターの顔を撮影したりすることができる。
  • サイバーエクスポージャー管理は、異常なアクセス要求をベースラインの行動遠隔測定およびデバイスのレピュテーションスコアと関連付けることにより、これらの異常を検出します。
• 中間者攻撃（AiTM）とプッシュボミング。
  • これらは、アクティブなセッショントークンを盗むことで、多要素認証（MFA）をバイパスするのに役立ちます。
  • サイバーエクスポージャー管理プラットフォームは、脆弱性のあるセッション構成を特定し、トークンの盗難や過剰なプッシュ通知を示すリスクの高い認証パターンにフラグを立てることで、このリスクを軽減します。
• Active Directoryの攻撃経路を悪用される可能性は、危険なエントリーポイントを活用します。
  • 攻撃者がバッジシステムハックを介して物理的なアクセスを得ると、ハードウェアハッカーモジュールをインストールしてファイヤーウォールを迂回し、持続的なリモートアクセスを確立し、壊滅的なシステム拒否インシデントを引き起こすことができる。
  • サイバーエクスポージャー管理は、このような複雑なアイデンティティ関係をマッピングし、低レベルのファシリティ資産から最も機密性の高いドメインコントローラーまでの隠れた経路を、攻撃者にエクスプロイトされる前に浮上させます。
• Credential relay attacks exploit traditional MFA methods by intercepting and replaying authentication tokens in real-time.
  • これは、ユーザーが正規のルートで認証に成功した場合でも、攻撃者がセキュリティコントローラーをバイパスできるようにするためである。
  • サイバーエクスポージャー管理は、トークンリレーを可能にする新技術LANマネージャー（NTLM）のように、特定のサービスアカウントとレガシープロトコルをマッピングすることで、これらの攻撃を妨害する。 これらのアカウントがビジネス・クリティカルな資産にリンクしているチョーク・ポイントをすべて検出できれば、敵に武器にされる前に、リレーしやすいコンフィグをオフにする措置を講じることができる。

今収穫し、後で解読する

HNDL（Harvest Now, Decrypt Later）戦略は、長期的に機密データを保管するデータセンターにとって主要な懸念事項である。 敵は今日、暗号化されたデータを吸い上げ、暗号に関連する量子コンピュータが利用可能になれば、それを解読するつもりでいる。 

ポスト量子暗号標準を使用する技術の製品分類に関するCISAガイダンスによると、長期的なデータ・ハーベスティングを防御するために、影響の大きいシステムや国家重大機能（NCF）をポスト量子暗号（PQC）に優先的に移行すべきである。

データセンターのライフサイクルは長いため、現在導入しているハードウェアが数年後に陳腐化しないよう、量子力学に対応したものでなければならない。 

サイバーエクスポージャー管理は、暗号資産の継続的なインベントリーにより、この移行をサポートします。 ソフトウェア・スタックやクラウド・ストレージ層内で、RSA（Rivest-Shamir-Adleman）やECC（楕円曲線暗号）などのレガシー暗号化の特定のインスタンスをピンポイントで特定することができます。 

このような脆弱性のあるアルゴリズムを陳腐化する前に表面化させることで、PQC基準を最も価値の高いデータ資産に体系的に適用することができます。

分離され、サイロ化されたセキュリティ・ツールは、データセンターのセキュリティ戦略に盲点を生じさせます。 サイバーエクスポージャー管理のような、より統合的なアプローチでは、コンバージド環境全体を単一のアタックサーフェスと見なす。

複数のダッシュボードをナビゲートする代わりに、Tenable Oneは企業全体のデータを1つのサイバーエクスポージャー・スコアに統合します。 このデータを単一のビューに統合することで、セキュリティチームは、複雑なクロスドメインの攻撃経路が運用のダウンタイムを引き起こす前に阻止することができます。

データセンターのセキュリティ戦略は、電力システムのNERC CIPコンプライアンスやインフラの耐障害性のNIS2など、データセンターの厳しいセキュリティコンプライアンス基準も満たす必要があります。 

Tenable Oneは、データセンター全体のあらゆる資産とサイバーエクスポージャーを継続的かつ自動的に可視化し、コンプライアンスを継続的に改善します。

サイバーエクスポージャー管理ガイドをダウンロードして、統一されたサイバーエクスポージャー管理プラットフォームが規制当局への報告をいかに効率化するかをご覧ください。

クラウド、AI、量子力学など、進化するデジタル化経済を支えるために、ますます多くのデータセンターが建設される中、いくつかの共通の疑問が生まれ続けている。 ここでいくつか答えてみよう。 

2026年におけるデータセンター・セキュリティの主なリスクは？

2026年における最大のリスクは、IT/OTコンバージェンス攻撃に関するもので、攻撃者が企業ネットワークから横方向に移動し、冷却や電力などの物理コンポーネントを妨害したり、デジタル資産を狙ったりするものです。 それ以外にも、エージェントAIは攻撃の拡張速度を変えつつあり、将来の量子暗号化に備えて暗号化データの採取が現実的な懸念となっている。

AIはデータセンターのセキュリティにどのような影響を与えるのか？

セキュリティチームは、AIを活用したサイバーエクスポージャー管理により、悪用される前に攻撃経路を予測します。 攻撃者はエージェント型AIを使って、多くのチームが対応できるよりも早くエクスプロイトを自動化する。 その上、高密度の機械学習ワークロードとAIを訓練するためのデータを保護することは、AIセキュリティ戦略がコンピュート・パフォーマンスを低下させることなくハードウェアを保護しなければならないことを意味する。

なぜデータセンターにとってOTセキュリティが重大なのか？

OTは、HVACやUPSのようなデータセンターのライフサポート・システムを管理する。 これらのシステムはネットワーク上にあるため、サイバー攻撃は過熱や発火といった物理的な影響を引き起こす可能性がある。 この種の障害は通常、従来のソフトウェア侵害よりも多くのダウンタイムを引き起こし、復旧もかなり難しい。

Ask for a demo to see how Tenable One can help you simplify your data center security strategy.