データセンターはいまや戦争インフラ

業界が民間としての立場を維持するためには、ワークロード分離をめぐる根本的な判断が必要

2026年3月1日、イラン革命防衛隊のドローンが、アラブ首長国連邦およびバーレーンにあるAmazon Web Servicesの施設を攻撃しました。攻撃の正当化理由は、AWSが米軍のシミュレーションをホストしていたためです。オンラインシステムは停止し、施設は炎上しました。長年にわたり自らを中立的な商用インフラと位置付けてきたデータセンター業界は、この説明がもはや通用しない現実を静かに受け入れざるを得なくなりました。

この出来事がデータセンター業界にとって重要である理由は明確です。ひとたび特定のワークロードに軍事的意義が付与されると、中立性はもはやブランド、顧客構成、論理的分離によって決定されるものではなくなります。中立性は物理的インフラによって決まり、そして物理インフラは攻撃対象になり得ます。

個々の出来事ではなく、世界的な傾向

イランによるAWSへの攻撃は報復でした。2026年2月28日、米国とイスラエル軍は「Operation Epic Fury (エピック・フューリー作戦)」を開始し、イラン各地を攻撃しました。その中にはテヘランの少なくとも2カ所のデータセンターが含まれており、そのうち1つはイスラム革命防衛隊（IRGC）が実際に使用していました。翌日のドローン攻撃は、この作戦に対するイランの直接的な報復でした。IRGGは犯行声明を発表し、「これらの施設は米軍のAIシステムおよび情報シミュレーションをホストしていたため、正当な攻撃対象である」と明確に述べています。

事態はさらに悪化しました。3月11日には、テヘランにあるBank Sepahのデータセンターにミサイル攻撃が行われました。この施設は、イラン軍およびIRGGの給与支払いを処理していました。イランは、この攻撃により正式に声明を発表し、IRGGが正当な攻撃対象を拡大する権利を得たと宣言し、その対象には地域内の米国およびイスラエルの経済拠点や銀行が含まれるとしました。イランの国営系メディアは、正当な攻撃対象として新たに指定された企業リストを公表し、そこにはGoogle、Microsoft、Palantir、IBM、Nvidia、Oracleが含まれています。これらの企業が軍に対してクラウドやAIの基盤能力を提供しているため、民間企業としての中立性が失われたと説明しています。

これらの物理的攻撃は、同時にサイバー作戦も伴っていました。72時間以内に、組織的なハクティビスト連合が16カ国110組織に対して149件のDDoS攻撃を実施しました。イランの工作員は湾岸各地域のIPカメラを活用し、ミサイル攻撃のためのリアルタイム戦果評価を実施しました。物理攻撃とデジタル攻撃が共存した作戦でした。

この構図は、すでにウクライナとイスラエルで見られていました。2022年、ロシアが侵攻した際、AWSは1,000万GB以上に相当するウクライナ政府のデータを受け入れました。Microsoftはウクライナの16省庁にわたるデジタル業務を統合し、Google Cloudは政府間の通信維持のために50,000件のWorkspaceライセンスを提供しました。ウクライナのデジタルトランスフォーメーション担当大臣は、AWSが「文字通り我が国のデジタルインフラを救った」と述べています。この結果、物理的攻撃下においても国家機能は維持されましたが、同時に国家が所有または完全に統制していない民間運営のデジタルシステムに、国家の主権機能の中核が組み込まれる結果となりました。

また、台湾は、台湾海峡での危機を想定し、先手を打って18の政府および軍事システムを海外のハイパースケーラープラットフォームへ移行しています。これには市民データベース、出入国管理、国防通信を含む18の政府・軍事システムが含まれます。Microsoft、Google、AWSは、現地データセンターの建設を構築するとともに、衛星接続によるバックアップ通信にも取り組むことを約束しています。軍事的な即応体制のアーキテクチャは、すでに商用クラウド契約の上に成り立っています。

イスラエルの事例は、この流れをより明確に示しています。2021年以降、Project Nimbus（総額12億ドルの取り組み）は、政府および国防関連の業務をAWSとGoogle Cloudへ移行しています。この契約では、政治的または思想的理由によるいかなる政府機関や軍事組織に対してプロバイダーはサービス提供を停止することを禁止する条項が盛り込まれています。

2023年10月7日、イスラエルがハマスなどの武装組織から攻撃を受けた際、イスラエル国防軍 (IDF) の内部データセンターは同時接続ユーザー数が30倍に急増し、機能不全に陥りました。これらのユーザーは監視映像、傍受した通信、地理空間分析データなど、前例のない規模で流入する情報の処理を必死に試みていました。その結果、軍は重要な情報処理業務をAWS、Google Cloud、Microsoft Azureへ移行しました。Microsoftの従業員がIDF部隊に直接組み込まれていたとされている報道もありました。イスラエル軍の関係者は、AWSの分析能力について「Amazonで注文するような感覚で」戦場の情報が手に入ると述べています。

2025年9月、Microsoftはガザにおける大規模な民間人監視に自社技術が使用されているとし、IDF第8200部隊向けの一部のAzureサービスを停止しました。サービス停止の背景には、自社の利用規約に違反するとの判断があり、これは民間企業の利用規約が主権国家の軍事作戦能力を制約する一例となりました。

米国政府とAnthropicの関係は、この問題をさらに深刻化させています。同社が自社のモデルを完全自律型兵器に使用すべきではないと主張した際、米国国防総省は同社をサプライチェーン上のリスクとして位置付けました。裁判所に提出された資料では、Anthropicの従業員が同社のレッドラインを越えた場合、「国家安全保障システムを妨害または弱体化させる可能性がある」と警告されています。業界は長年、自分たちは立場ではなくインフラを提供していると主張してきましたが、米国防総省はこの区別を認めないと裁判で述べています。

なぜ沈黙が構造的なものなのか

データセンター業界が自らの現状を正しく認識できていないのは、単なるコミュニケーションの問題ではありません。それは、業界構造そのものが現状を認識することを困難にしています。業界は、自らが生み出した絡み合いに自ら取り込まれています。

インフラの絡み合いとは、主権国家の軍事利用と民間利用が、民間企業によって管理されるデジタルシステムに不可分に依存する状態を指します。この状態は、3つのメカニズムを通じて機能しています。それがいかにして、依存関係を生み出し、なぜ持続するのかを以下の3項に示します。

第一は、ロックインです。独自仕様のソフトウェア、データ形式、ライセンス契約が生み出す乗り換えコストはきわめて高く、その結果、ひとたび政府や軍事システムがハイパースケーラー環境へ移行した後は、元に戻すことが経済的にも運用的にもほぼ不可能になります。ウクライナは単純に国内サーバーへ戻ることはできません。イスラエルも、Project Nimbusが4年間かけて統合してきたものを一夜にして再構築することもできません。しかも、この依存関係を生み出した契約は、場合によっては離脱を阻む契約でもあります。例えばProject Nimbusでは、政治的理由によってAWSやGoogleがサービス提供を停止することを明確に禁止しており、紛争環境に関係なくハイパースケーラーが国家の活動を支援し続ける構造を固定化しています。

第二は、ソフトウェアが定義する運用上の必須事項です。戦略的機能は、もはや特定の施設に結び付いていません。それらは可動性があり、スケーラブルで、不透明なワークロードとして実装されています。このことが、かつてインフラの種類ごとの法的・政治的区分を支えていた可視性を消し去ります。ウクライナの戦場管理システムDELTAは、ピーク時には1日あたり約1,500のロシアの標的を特定しており、そのために必要な計算能力は、複数の欧州小国の政府ITインフラ全体を上回っていました。この需要は現在の国家インフラでは満たすことができず、それが生み出す依存関係は短期間で解消できるものではありません。

第三は、連合レベルでの地政学的影響力です。ハイパースケーラーがグローバルなクラウドアーキテクチャと相互運用性の標準を支配しているため、同盟国間の連携そのものが、主に米国に本社を置く少数のプロバイダーとの協調に依存するようになっています。NATOのマルチクラウド戦略や、米国国防総省の90億ドル規模の「共同戦闘用クラウド能力(JWCC)」契約は、同じ認識を示しています。つまり、ハイパースケーラーはもはや軍に製品やサービスを提供する単なるベンダーではなく、軍の構造的構成要素となっています。

これら3つのメカニズムが、業界が沈黙を続ける理由を説明しています。業界は構造的にこれらの問題に組み込まれており、自らの立ち位置を言語化することは、自らが構築してきたものと向き合うことを意味します。そして、その議論は最近のイランによる攻撃により、さらに困難なものとなっています。

業界が価格に反映していない法的リスク

ジュネーブ条約第一追加議定書第52条(2)によれば、「ある対象物が軍事行動に効果的に貢献し、かつその無力化が明確な軍事的利益をもたらす場合、その対象物は正当な軍事目標としての要件を満たす。」とあります。

このしきい値は機能的なものであり、量的なものではありません。軍事業務が一定割合を占めなければならないという規則はありません。共有の物理インフラ上に重要な軍事機能が1つでもあれば、施設全体が軍事目標となる可能性があります。2026年3月の攻撃に関する法的分析は、すでに理論的に確立されていたことを裏付けています。物理的な同一拠点への配置が決定的な要因です。異なる仮想マシン、異なるアベイラビリティゾーン、暗号化されたパーティションなどの論理的な分離では、物理的な標的選定の問題は解決しません。軍事業務が標的化の法的根拠となる場合、建物全体が破壊されます。

業界には、このようなリスクへの対応策を体系的に検討するための制度的枠組みが存在しません。サイバーインシデント、運用上の障害、自然災害についてはリスクモデルが存在しますが、軍事目標としての法的再分類については、リスクモデルが存在しないのです。2026年3月の攻撃は、ハイパースケールクラウドプロバイダーに対する初の軍事攻撃として確認さました。今後、これらの施設とその施設でホストされていたワークロードをめぐって判例が確立されることになるでしょう。

沈黙がもたらす代償

データセンター業界は、自らが明言を避けている地政学的現実の中で既に活動しているのです。インフラ全体がどのような状態になっているのか、またそこからいかなる義務が生じるのかについて、公的な場で一貫した議論はこれまで行われていませんでした。

これらの義務は抽象的なものではありません。業界が民間企業としての地位を主張し続けるのであれば、現在先送りされている決断を下す必要があります。それは、軍事業務と民間業務の論理的な分離ではなく、物理的な分離、インフラが戦略システムに関与する場合の公開情報開示の枠組み、紛争環境に関係なくプロバイダーが国家の活動を支援し続けることを強制するような契約の見直し、そして地政学的な標的選定リスクを、サイバーリスクや運用上の障害と並んで織り込んだリスクモデルの構築です。

問われているのは、業界自身が将来像を定義するのか、それとも次の訴訟提起、標的リスト、炎上する施設の出現を待ってから定義するのか、ということです。

この記事は海外Data Centre Dynamics発の記事をData Center Cafeが日本向けに抄訳したものです。