【コラム】データセンターの所在地やフロア情報が一般公開された場合に考えられるリスクとは

データセンターの所在地は、一般公開されていないことが通常です。またビル内にある場合、フロア案内図には記載がないことも多いです。 これは一般公開した場合のリスクが大きいことによるものです。この記事ではリスクを4つに分けて、どのような問題があるか考えてみたいと思います。

物理上の攻撃を受けるリスク

データセンターの所在地などを公開した場合に考えられる最も大きなリスクは、物理上の攻撃(いわゆるテロ)を受けるという点です。具体的には、以下のようなリスクが考えられます。

  • 電気や通信回線、水道など、インフラが破壊される
  • 建物の全部、または一部が破壊される
  • 有害物や爆発物が送りつけられる

所在地が明らかになることで、データセンターに供給される電気や通信回線がどこから来ているか、探しやすくなります。もしこれらの回線がすべて切断されれば、データセンターは運営できません。また水冷式を採用するデータセンターでは、水道や下水道が使えないことも重大な事態に直結します。

所在地が明らかになることで、データセンターに供給される電気や通信回線がどこから来ているか、探しやすくなります。

もしこれらの回線がすべて切断されれば、データセンターは運営できません。また水冷式を採用するデータセンターでは、水道や下水道が使えないことも重大な事態に直結します。

もう1つの大きなリスクは、建物の全部や一部が破壊されるという点です。窓ガラスを割ることや放火、重機や乗り物を使った攻撃まで、あらゆるケースが考えられます。

過去には航空機を使ってビルを破壊したテロも発生していますので、この点にも留意が必要です。

– Pixabay

またデータセンターの所在地が公開されることで、有害物や爆発物が届くリスクも発生します。企業に有害物などが送りつけられる事件は、ときどきニュース等で報道されていますから、決して対岸の火事とはいえません。それが単なる嫌がらせであっても、セキュリティ状のリスクは増大することとなります。

人や情報に対する攻撃のリスク

データセンターの所在地を公開した場合は、人や情報に対する攻撃のリスクも増大します。

従業員は日々通勤してきます。もし最寄り駅から徒歩という場合は、通勤経路上で聞き込みをするなどにより、機密情報を入手されることが考えられます。また従業員の後をつけるなどの行動も起こされるかもしれません。

もし車通勤の従業員が多い場合は無理やり車を止めさせ、脅迫しながら機密情報を強引に話させるなどのリスクも考えられます。

またデータセンター内部の従業員を脅迫するなどにより、犯罪者グループの入館を許可させる可能性もあります。もし犯罪者がサーバなどのIT機器を操作できる状態となった場合は、システムダウンや情報の流出といった重大な事態を招くことにつながります。

– torange.biz

インターネット経由での攻撃リスクも増加する

データセンターの所在地が公開されることで、インターネット経由での攻撃リスクも増大します。それは施設が「どこにあるかわからない」という状況から、「確実にその場所に存在する」という状況に変わるためです。つまり、攻撃すれば被害を与えられる重要施設が実在する、ということが示されるわけです。

このためデータセンター企業やそのエリアに損害や打撃を与えたいという人によって、攻撃のターゲットとなるリスクが増加します。

悪意がない立ち入りを招く点も要注意

データセンターの場所を公開することには、悪意がない立ち入りを招くというリスクも見逃せません。この点については、主にデータセンターと一般業務のフロアが混在する建物で注意が必要です。

もし館内案内図に「6階から15階はデータセンター」と書いてあったらどうでしょうか。他部署の従業員が、興味本位で立ち入る可能性があります。もしセキュリティが甘く友連れを許すことがあれば、一般の職員でもやすやすとデータセンター内に入れてしまいます。この結果空調を止めたり、電源を抜かれるなどの被害を受けるおそれがあります。

一方でデータセンター独自の建物であったとしても、その存在を知られることはあまり良い結果を生みません。

ここまで挙げたリスクの他に、一般人がSNSなどで「○○社のデータセンター」などと写真付きで投稿することが考えられます。今は画像や動画を気軽にネット上に投稿できる時代です。ついうっかり投稿してしまう事も考えられます。その人に悪意がなかったとしても、攻撃者の目に止まることで被害につながるおそれがあります。

従ってここまで解説した通り、データセンターの所在地やフロアを一般公開することには、さまざまなリスクがあります。

もちろん、従業員や業者あるいは利用ユーザーなどは当然所在地を知っており、完全な情報の秘匿は不可能です。しかしながら、被害を被るリスクを最小化するためには、関係者以外に不用意に情報を公開しない・させないことです。同時に従業員や関係業者等へのコンプライアンスの徹底を定期的に実施することも重要です。

DC ASIA

[参考文献]

日本データセンター協会「データセンター セキュリティ ガイドブック2017年版」

日経BP「データセンターはどこにあるのか」

日経BP「熱と闘うIT「新型ファンが排気拡散を防ぐ」「空調限界を水冷で補う」— サーバーに見る冷却技術のいま」

BUSINESS INSIDER JAPAN「17年前の9月11日、何が起きたのか ── 写真で振り返る」※2001年9月11日に発生した、9.11アメリカ同時多発テロの記録

時事通信社「製薬6社に青酸カリか=「偽薬流す」脅迫文も-東京」