クラウドインフラは地政学的リスクとは無縁だ、とどこかで信じていたとしたら、2026年3月1日の出来事はその確信を根底から揺さぶるものだった。イランのShahedドローンがアラブ首長国連邦(UAE)のAmazon Web Services(AWS)データセンター2施設に直撃し、バーレーンの1施設も近傍への攻撃で物理的な損傷を受けた。攻撃から約5週間が経過した4月7日時点でも、109以上のAWSサービスが停止したままで、CEOのMatt Garmanは「24時間体制で復旧作業を続けている」と述べるほかなかった。データセンターの冗長化によってリスクを無視できるという業界の暗黙の前提が、軍事兵器によって根底から覆された初めての事例だ。
UAEとバーレーンで何が起きたか:3施設が直接被害を受けた攻撃の経緯
2026年2月28日、米国とイスラエルがイランへの空爆を実施し、最高指導者を含む複数の高官が死亡した。その報復として翌3月1日、イランはShahedドローンによる大規模攻撃を湾岸地域に展開した。標的の一つが、AWSが「ME-CENTRAL-1」リージョンとして運営するドバイのデータセンター群だった。
UTC 00:40に最初のインシデント報告が入り、UTC 04:30には物理的損傷が確認された。AWSは「UAE内の2施設が直接攻撃を受けた(two of our facilities in the United Arab Emirates were directly struck)」と公式に発表した。バーレーンのME-SOUTH-1リージョンでは、「施設近傍へのドローン攻撃による間接的な物理被害(a drone strike in close proximity to one of our facilities caused physical impacts)」が生じ、3月2日 UTC 06:56に影響が報告された。
被害の内容は、ソフトウェアや電力の一時的な喪失にとどまらなかった。建物とサーバーラックの構造的損傷、電力供給システムの破壊、冷却システムの損傷、そして消火活動によるスプリンクラー作動で生じた水損害が重なった。修復にはハードウェアの物理的な交換と大規模な建築工事が必要で、Amazonはこれを「数ヶ月(several months)規模の復旧作業」と位置づけた。
109サービス・92のSaaS停止:何が止まり、誰が困ったか
ME-CENTRAL-1は3つの可用性ゾーン(Availability Zone)で構成されていたが、今回の攻撃でそのうち2つがダウンした。単一ゾーンへの冗長化しか設定していなかったシステムは、フェイルオーバーが機能せず、そのまま停止した。
停止したAWSサービスはEC2(仮想サーバー)、S3(ストレージ)、DynamoDB、RDS(リレーショナルデータベース)、Lambda(サーバーレス)など109以上に及んだ。影響の連鎖は中東のビジネス基盤に直撃した。Abu Dhabi Commercial BankやEmirates NBD、First Abu Dhabi Bankといった湾岸主要金融機関がサービス障害を報告した。
配車・デリバリーのCareem(Uber子会社)やデータクラウドのSnowflake、決済プラットフォームのHubpayも影響を受けた。セキュリティ企業ではPalo Alto Networks、Check Point、Wiz、ThreatLockerが名を連ね、開発ツールではVercel、Grafana、Dynatrace、JFrogが障害を報告した。ビジネスアプリ系ではSlackのドバイホスト分の検索機能、Asana、Twilioも止まった。StatusGatorの集計では92以上のSaaSプラットフォームが何らかの障害を報告している。
AWSは顧客に対してデータバックアップと他リージョンへの移行を推奨し、AWS Migration Hubを通じた移行支援を行った。「ongoing conflict makes operations unpredictable(継続する紛争が運用を予測不可能にしている)」という表現が示す通り、復旧作業そのものが戦時下という異例の条件下に置かれた。
中東への投資戦略と地政学リスクの現実
UAE(特にドバイ・アブダビ)とバーレーンは、膨大な石油収益を背景に金融・フィンテック・スマートシティの急成長市場となっており、クラウドサービスへの旺盛な需要があった。データの地域内保管を義務付ける各国の「データ主権」規制も、現地リージョンを持たないと大口顧客を獲得できない構造を生んでいた。地政学的リスクが低く見積もられていたのは、こうした強力な市場インセンティブがリスク評価を上回ったからだ。AWS ME-SOUTH-1(バーレーン、2019年開設)とME-CENTRAL-1(UAE、2022年開設)はこうした需要を取り込むために設置された。
データセンターは一般に3〜4カ所の可用性ゾーンを数十km間隔で分散配置し、1ゾーンが落ちても他が継続稼働する設計である。従来の冗長設計は、停電・火災・水害といった単一のリスクに対する防御を想定したものだ。今回の攻撃では、爆発による直撃と衝撃波による連鎖的な損傷が複数のゾーンを同時に無力化させた。消火活動由来の水損害が電気系統に追い打ちをかけ、このような複合的かつ同時発生的な損傷は、設計時の想定から完全に外れていた。
2021年から2024年にかけて、中東(特にUAEとサウジアラビア)はGoogle、Microsoft、Oracle、そしてAWSが競うように大規模データセンターを展開した地域だ。業界全体で300億ドルを超える投資計画が進行中だったが、今回の攻撃を受けてリスク評価は根本から変わった。クラウドビジネスの暗黙の前提は「物理的な場所はソフトウェアで抽象化されている」ということだったが、ドローンはその抽象化の下に実際の建物と冷却システムと配線があることを証明した。
AWS攻撃と同時に、ホルムズ海峡の閉鎖が中東地域のサプライチェーンを直撃した。カタールは世界のヘリウム生産の3分の1超を占めるが、海峡閉鎖により海上輸送路が遮断され、ヘリウムの出荷が大幅に滞った。ヘリウムはデータセンターの冷却システムや半導体製造に不可欠な材料であり、その供給不足は中東域内だけでなく域外のデータセンター建設コストをも押し上げた。単体の施設攻撃がサプライチェーン全体に波及するこの構図は、クラウドインフラの地政学的リスクを特定地域に限定して捉える視点が成立しないことを意味する。
「史上初」が問い直すもの:軍事目標化されたデジタルインフラの現実
歴史上、データセンターが軍事攻撃によって意図的に破壊された事例はこれまでなかった。自然災害や停電による障害はあったが、政府・軍が民間テック企業のインフラを標的に選んだケースは今回が初めてとなる。イラン側は「AWSがAnthropicのClaudeなど米軍のAI分析に使われている」ことを攻撃の正当化理由として挙げたとされる。AIインフラそのものが軍事的な標的として認識されたという点で、今後の紛争では民間デジタルインフラへの物理攻撃が一つの手段として定着する可能性がある。
Carnegie Endowment for International PeaceのSam Winter-Levy氏は「AIがより戦略的に重要になるにつれ、物理的攻撃はさらに一般的になる」と警告し、NED Data CentersのDaniel Efrati氏は「1分のダウンタイムが数百万ドルのコストになりうる」と指摘した。これに対応する物理的防衛コストは従来の想定をはるかに超える。防空システムの設置、強化コンクリートによる建屋の要塞化、地下施設化(英国・スウェーデン・中国ではすでに実施済み)といった対策はいずれも高コストで、それでも完全な保護を保証するものではない。
停戦は続くか:2026年5月時点の交渉状況と業界が直面する三つの道
2026年4月7日、パキスタンの仲介で米国とイランは2週間の停戦に合意した。その後の交渉経緯は次のように推移している:4月11〜12日にJD Vance副大統領がイスラマバードで協議するも「合意に至らず」→ 4月21日にトランプが停戦を数日延長 → 5月3日にイランが14項目の包括的提案を提出(Al Jazeera報道)。核濃縮期間の扱いを巡り、米国が20年間の停止を要求するのに対しイランは3〜5年を提示しており、双方の隔たりは依然として大きい。
業界が直面する選択肢はおおむね三つに収斂する。
第一は交渉成立シナリオだ。停戦は2週間ごとに更新が続いており、5月3日時点でのイランの包括提案提出は交渉継続の意欲を示している。イランが核濃縮期間の短縮を受け入れる代わりに経済制裁の解除を得られれば、正式な平和協定の締結に進む道筋が開ける。制裁解除はイランにとって石油輸出の回復と外資流入を意味し、長年の経済的圧力から脱する最大の政治的インセンティブになる。その場合、湾岸地域への投資再開と被害施設の復旧が同時進行する。AWS以外にも中東展開を進めていたGoogleやMicrosoftは新規投資の計画を凍結しており、交渉成立が確認されれば再起動に動くとみられる。
第二は膠着継続シナリオだ。現在と同様に断続的な停戦と交渉が続く場合、各社は湾岸地域でのサービスを最小限に縮小し、インドやシンガポールのリージョンへ需要をシフトさせる傾向を強める。既存顧客への対応は継続するが、新規投資は凍結が長期化する。
第三は決裂・再攻撃シナリオだ。イラン革命防衛隊(IRGC)はバーレーン施設への追加攻撃を公言しており、交渉が決裂した場合の報復は現実的な経営上の懸案だ。各社はまず湾岸施設を最重要サービスのみに絞る「部分的サービス縮小」を経由しつつ、インドやシンガポールへの顧客データ移行を急ぐ段階を踏む可能性が高い。残存施設への攻撃が拡大して湾岸域全体が機能しなくなれば、段階的移行が追いつかず即座の全撤退を迫られる。クラウドインフラの「どこに置くか」という設計思想そのものが、地政学リスクを中心に再編される転換点になるだろう。