TRAFEED

データセンター・クラウド・IoT機器の経済安全保障を一次情報で解説

公開2026-07-19濱本 隆太

データセンター・クラウド・IoT機器はいまや経済安全保障の中核テーマです。クラウドプログラムの特定重要物資指定、ISMAPとガバメントクラウド、基幹インフラの事前審査、NOTICEとIoTセキュリティ義務化まで、政府の一次情報にもとづいて企業がとるべき対応を整理します。

データセンター・クラウド・IoT機器の経済安全保障を一次情報で解説
シェア

こんにちは、株式会社TIMEWELLの濱本です。

自社が使っているクラウドはどの国の企業が運営していて、社内に置いてあるネットワークカメラはどこのメーカー製で、初期パスワードのまま動いていないか。この三つを即答できる情報システム担当者は、意外と多くありません。ところが、この当たり前に見える問いこそが、いま経済安全保障のど真ん中に置かれつつあります。データセンターとクラウド、そして無数のIoT機器は、もはや便利な道具ではなく、社会を止めないための基幹設備です。だからこそ国は、これらを「誰が握っているか」「攻撃で止められないか」という安全保障の物差しで測り始めました。

正直なところ、この分野は所管する役所がいくつにも分かれていて、制度の全体像がつかみにくいです。内閣府、経済産業省、総務省、デジタル庁、それにNICTや国家サイバー統括室まで顔を出します。この記事では、初めてこのテーマに触れるビジネスパーソンを想定して、政府の一次情報だけを頼りに、クラウドの物資指定から政府調達の基準、基幹インフラの事前審査、データセンターの立地、IoT機器のサプライチェーンまでを一本の線でつなぎ直します。自社の機器やソフトが輸出管理の網にかかりそうかを先に当たっておきたい方は、読み進める前に輸出管理コンプライアンス診断で30秒ほど手を動かしておくと、この後の話が自分ごとになるはずです。

この記事は、経済安全保障の全体像を扱うハブ記事から派生した、デジタルインフラに絞った詳細編にあたります。法律そのものの4本柱をまだ押さえていない方は、先に経済安全保障推進法の基礎に目を通してから戻ってきてもらうと、理解が早くなります。

クラウドは「特定重要物資」に指定された

まず、いちばん象徴的な事実から入ります。経済安全保障推進法(正式名称は「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律」、令和4年法律第43号)には、「重要物資の安定供給確保制度」という柱があります。途絶えると国民生活や経済活動が立ち行かなくなる物資を国が「特定重要物資」に指定し、国内での供給力を後押しする仕組みです。令和4年(2022年)12月に、この特定重要物資として11の物資が政令で指定されました。そのうちの一つが「クラウドプログラム」です12

同時に指定された物資の顔ぶれを見ると、この指定の重さがわかります。抗菌性物質製剤、肥料、永久磁石、工作機械と産業用ロボット、航空機部品、半導体、蓄電池、天然ガス、重要鉱物、船舶部品。医薬品や半導体、レアメタルと肩を並べて、ソフトウェアであるクラウドが「国が供給を守るべき物資」に列せられたわけです。目に見えないプログラムが、目に見える戦略物資と同格に扱われている。この一点だけでも、国がデジタル基盤をどう位置づけているかが伝わってきます。特定重要物資はその後も広がり続けており、令和6年(2024年)2月には先端電子部品(コンデンサーおよびろ波器)が、令和7年(2025年)12月には人工呼吸器、無人航空機(ドローン)、人工衛星、ロケット部品が追加指定されました2。指定品目の全体像は特定重要物資の詳細解説に整理していますので、そちらもあわせてどうぞ。

クラウドプログラムの主務大臣は経済産業大臣です。制度全体を統括するのは内閣府の経済安全保障担当ですが、クラウドの供給力強化を実際に所管するのは経済産業省になります。ここでいうクラウドプログラムは、IaaSやPaaSといったクラウドサービスの基盤となるソフトウェアを指すとされます。海外の巨大クラウドに依存しきった状態から、国産の基盤ソフトを持てる状態へ引き上げる。それが政策の狙いです。支援の中身は、助成金、長期・低利のツーステップローン(財政融資)、株式などの引受け、信用保証という四本立てです2

この制度が絵に描いた餅でないことは、実績の数字が示しています。供給確保計画の認定は、令和8年(2026年)7月14日時点で全物資合計151件にのぼり、予算確保額は約2.56兆円、最大助成額の合計は約1.68兆円に達しています2。クラウドプログラムもこの枠組みの中で、国内のクラウド基盤ソフトの供給力を底上げする対象になっています。国が本気で資金を投じて、デジタルの土台を国内に取り戻そうとしている。その本気度が、この予算規模から読み取れます。

政府がクラウドを買う基準(ISMAPとガバメントクラウド)

供給を守ると同時に、国は「政府自身が安全なクラウドしか使わない」というルールも整えてきました。その中核がISMAP(政府情報システムのためのセキュリティ評価制度、Information system Security Management and Assessment Program)です。政府がクラウドサービスを調達する際、あらかじめ定めた基準を満たして評価・登録されたサービスだけを「ISMAPクラウドサービスリスト」として公開し、原則としてその中から選ばせる仕組みになっています34。裏を返せば、リストに載っていないサービスは、いくら性能が良くても政府の入札の土俵に上がれません。

ISMAPには、低リスクの業務で使うSaaS向けに、審査を軽くしたISMAP-LIU(ISMAP for Low-Impact Use)という枠も用意されています。すべてのサービスにフル装備の審査を課すと登録が進まないため、リスクの低い領域は簡素化する。デジタル庁はこのISMAP-LIUの登録を促す特別措置も実施しています3。ISMAPの上位にあるのは、2021年9月28日に閣議決定されたサイバーセキュリティ戦略で、政府情報システムのセキュリティ方針全体がここから降りてきています3

もう一つ押さえたいのが、デジタル庁が整備するガバメントクラウドです。これは政府共通のクラウド利用環境で、迅速で柔軟、かつセキュアで費用対効果の高いシステム構築を目的にしています。注目すべきは調達の厳しさです。令和5年度の調達では、最新かつ最高レベルの情報セキュリティ確保や、データ保存の安全性確保を必須基準に据え、技術要件を305項目にわたって設定しました5。採択されたクラウド事業者には、AWSなどの外資系に加えて、国産の「さくらのクラウド」(さくらインターネット)が入り、2026年3月27日から本番環境の提供を開始しています5。国産クラウドが政府共通基盤の一角を担うところまで来た、という節目の出来事です。ガバメントクラウドは地方公共団体の情報システム標準化の基盤にも展開されており、自治体のシステムが順次この上に載っていきます5

なぜ民間企業がこの話を気にすべきなのか。理由は、政府調達の基準が民間取引にそのまま波及してくるからです。官公庁と直接取引していなくても、官公庁向けの元請けに部品やサービスを納めていれば、305項目の要件やISMAPの基準は間接的にあなたの会社へ降りてきます。デジタル庁は、政府情報システムのためのセキュリティ・バイ・デザインガイドラインを策定し、ゼロトラストアーキテクチャの適用方針や、常時リスク診断・対処(CRSA)というアーキテクチャの推進も打ち出しています3。こうした発想は、いずれ民間の調達仕様にも標準として組み込まれていくはずです。政府がつくる基準は、時間差で市場全体のルールになる。そう考えておいたほうが実務は動かしやすいと感じています。

該非判定の属人化を、AIで解消する。

経産省2024年度データによれば、外為法違反の52%は該非判定起因。TRAFEEDの機能・導入フローをまとめたサービスカタログを無料でダウンロードできます。

基幹インフラの事前審査に通信・重要設備が組み込まれた

経済安全保障推進法のもう一つの柱が、基幹インフラ役務安定提供確保制度です。令和6年(2024年)5月17日に運用が始まりました6。社会の土台を支える事業を「特定社会基盤事業」として定め、その担い手である「特定社会基盤事業者」が、重要な設備を導入したり、その維持管理を外部へ委託したりする前に、あらかじめ国へ「導入等計画書」を届け出て審査を受ける仕組みです。国はここで、サイバー攻撃などの妨害行為のリスクを事前にチェックします6

対象となる特定社会基盤事業は、当初は電気、ガス、石油、水道、鉄道、貨物自動車運送、外航貨物、航空、空港、電気通信、放送、郵便、金融、クレジットカードの14分野でした。その後、港湾運送や医療分野などが順次加わり、対象は段階的に広がっています6。この14分野の中に「電気通信」が含まれている点が、いまの話とまっすぐつながります。通信事業者が使う交換機やルーター、伝送装置といった重要設備を導入するとき、その設備の製造元はどこか、部品の由来はどこか、保守を委託する先はどこかまで、審査の目が及ぶからです。

一方で、注意しておきたい線引きもあります。クラウドやデータセンターそのものが、独立した対象分野として明記されているわけではありません6。あくまで電気通信という括りの中で、重要設備の一部として関わってくるのが現状です。ただ、通信とクラウドの境目は年々曖昧になっており、制度が今後どう手当てされるかは注視しておくべきところでしょう。事前審査の実務や、どんな設備が対象になり得るかは基幹インフラ事前審査制度の解説で詳しく掘り下げています。

ここで効いてくるのが、設備を納める側の立場です。届出と審査の義務を負うのは通信会社や電力会社といった事業者本人ですが、その事業者に機器やシステムを供給するベンダーは無関係でいられません。事業者が国へ届け出るとき、供給元や再委託先の情報を求められるため、納入する側は実質的に審査の一部を分担することになります。つまり、機微な通信機器やサーバを扱うメーカーほど、自社の供給網の健全性を説明できる状態にしておく必要が出てくるわけです。

データセンターの国内立地と電力という新しい制約

ソフトの次は、それを載せる「箱」の話です。総務省は、データセンターやAI・クラウドを地域に集約してデジタルインフラを整備する政策を進めていますが、その政策目的を明確に「データ・サーバーの安全保障と経済安全保障」と位置づけています7。データセンターの立地そのものが安全保障のテーマだと、政府が正面から言っているわけです。これは意外と知られていません。

背景には、首都圏への一極集中という弱点があります。国内の主要なデータセンターが東京圏に集まっていると、大規模災害やサイバー攻撃で一気に機能が止まりかねません。そこで総務省は、北海道の石狩や苫小牧、関西地域などを整備の対象に据え、拠点を地方へ分散させようとしています7。あわせて、国際通信を支える海底ケーブルの整備や、インターネットエクスチェンジ(IX、通信事業者どうしが相互接続する拠点)の地方分散も進め、「デジタルインフラ整備に関する有識者会合」を設けて議論を重ねてきました7。データを国内に確保し、経路を冗長化する。これは輸出管理とは別方向からの、データ主権の確保策だと捉えられます。

もう一つ、この分野で無視できないのが電力です。データセンターは大量の電力を消費する施設で、AIの普及によってその需要はさらに膨らんでいます。国内のどこにデータセンターを建てられるかは、系統電力を確保できるか、再生可能エネルギーを使えるかに左右されます。石狩が候補地になっているのも、再エネの立地に恵まれているからという事情があります。省エネルギー政策や脱炭素、いわゆるGXの文脈とデータセンターは密接に絡んでおり、電力インフラの整備が産業立地と経済安全保障の鍵を握る局面に入っています。なお、データセンターの電力需要の将来予測や省エネ規制の具体的な数値は所管省庁の一次資料で確認すべき論点であり、ここでは断定を避けておきます。確かなのは、電力という物理的な制約が、デジタル基盤の国内立地を左右する時代になったということです。

監視カメラとIoT機器のサプライチェーンリスク

ここからは、もっと足元の機器の話に降りていきます。オフィスや工場に置かれたネットワークカメラ、ルーター、各種IoT機器。これらが経済安全保障の穴になり得る、という認識が制度に反映されてきました。日本には、米国のように特定ブランドを名指しで政府調達から締め出す法律はありません。その代わり、複数の仕組みを重ねてリスクに対処しています。

一つ目がNOTICE(National Operation Towards IoT Clean Environment)です。総務省とNICT(国立研究開発法人情報通信研究機構)、ICT-ISAC、通信事業者などが2019年2月20日に始めた取り組みで、グローバルIPアドレスで接続されたIoT機器を対象に、容易に推測されるIDやパスワードで侵入できてしまう脆弱な機器を調査し、該当する利用者へインターネットサービスプロバイダ経由で注意喚起します8。対象にはルーターと並んで、ネットワークカメラ、つまり監視カメラが明示的に含まれています。放置された初期パスワードのカメラが乗っ取られ、大規模なサイバー攻撃の踏み台にされる。その現実の脅威に対する、国ぐるみの対策です。法的な裏づけはNICT法(国立研究開発法人情報通信研究機構法)の改正で整えられました8

二つ目が、端末設備等規則の改正によるIoT機器のセキュリティ義務化です。総務省はこの規則を改め、ネットワークにつながるIoT機器などに対して、アクセス制御機能、初期設定のパスワードを変更させる機能、ファームウェアを更新する機能などの具備を、技術基準として義務づけました。根拠は電気通信事業法第52条の技術基準適合です9。この技術基準は、一般に2020年(令和2年)に施行されたとされます。工場出荷時のパスワードのまま使わせない、更新できない機器は売らせない、という最低ラインを、規則で線引きしたわけです。ハードウェア側から脆弱性の芽を摘む発想だと理解すると腑に落ちます。

三つ目が、政府調達そのもののサプライチェーンリスク対応です。政府は2018年(平成30年)12月10日の関係省庁申合せ「IT調達に係る国の物品等又は役務の調達方針及び調達手続に関する申合せ」により、政府のIT機器や役務の調達で、悪意ある機能の混入といったサプライチェーンリスクを考慮する枠組みを整えたとされます。特定の企業名や国名を明記する運用ではありませんが、通信機器などの調達方針に反映され、その後のガバメントクラウド305項目要件やISMAP、基幹インフラの事前審査と連動しながら、政府調達のセキュリティ基準を形づくってきました。政府横断のサイバーセキュリティや調達サプライチェーンリスクは、いまは国家サイバー統括室(NCO、旧NISC)が担っています10。この申合せの正式名称や現行の有効性は原典で確認すべき事項として、ここでは慎重に触れておきます。

企業が今すぐやるべきこと

制度の話を一通り並べてきましたが、では民間企業として何から手をつけるべきか。私は、突き詰めるとこの分野の対応は「誰から機器やソフトを買い、誰に何を提供・輸出しているか」を制度の基準で判定し、記録し続ける作業に帰着すると考えています。地味に聞こえますが、ここが崩れると他の対策が土台ごと揺らぎます。

やるべきことは、大きく三つに整理できます。一つ目は取引先スクリーニングです。サーバやネットワーク機器、監視カメラ、高性能GPUといった調達先や、データセンター・クラウド事業のパートナーを、米国のEntity List(エンティティリスト)などの否認リストや、間接的な支配関係まで踏み込んだ実質支配の観点で照合します。政府調達のサプライチェーンリスク申合せや基幹インフラの事前審査で問われるのは、まさにこの供給網の健全性です。照合の考え方は制裁リスト・否認リストの完全ガイドにまとめてあります。

二つ目は該非判定です。データセンターやクラウド、AI基盤で使う半導体、サーバ、高性能GPU、通信機器、暗号製品は、外為法やEAR(米国輸出管理規則)の規制対象になりやすい品目です。海外へ輸出するときはもちろん、日本国内で外国人技術者に技術情報へアクセスさせる「みなし輸出」でも該非判定が必要になります。該非判定の基本は経産省の該非判定ガイドライン解説を、みなし輸出の落とし穴はみなし輸出リスクガイドを参照してください。三つ目が、供給網の可視化と記録です。誰から買い、誰に渡したかを証跡として残せて初めて、審査や監査に耐えられます。

この三つを人手で回すのは、正直かなりの負担です。制度は毎年のように拡大し、特定重要物資の追加指定や基幹インフラの分野拡大が続きます。手作業では追いつきません。私たちが提供しているTRAFEEDは、この取引先スクリーニングと該非判定の負担をAIで軽くするために作ったサービスです。否認リストや実質支配の関係を自動で照合し、経済産業省の基準に準拠した該非判定を高速化し、各国の法規改正も当日に反映します。岡山大学との共同実証で判定精度95%以上を確認しており(過去審査データにもとづく自社調べ)、特許第7862062号を取得、20を超える組織に導入いただいています。もちろん、最終的な該非判定はお客さま自身の輸出管理責任者が行うもので、AIはその判断を速く正確にするための道具にすぎません。押し売りをするつもりはありませんが、スクリーニングと該非判定、そして継続的な監視を一つのワークフローにまとめられる点は、デジタルインフラを扱う調達部門や輸出管理部門にとって現実的な選択肢になるはずです。

まとめ

データセンター、クラウド、IoT機器の経済安全保障対応は、「調達」「輸出管理」「サイバー」の三つが重なり合う領域です。最後に、この記事で押さえてほしい要点を整理します。

  • クラウドプログラムは令和4年12月に特定重要物資へ指定され、経済産業省が所管。認定は令和8年7月時点で151件、予算確保額は約2.56兆円にのぼります。
  • 政府調達はISMAPクラウドサービスリストが原則で、ガバメントクラウドは305項目の技術要件を設定。国産のさくらのクラウドも採択されました。
  • 基幹インフラ制度では電気通信が対象分野に入り、重要設備の導入・委託が事前審査の対象。設備を納めるベンダーも供給網の説明を求められます。
  • データセンターの国内立地は「データ・サーバーの安全保障と経済安全保障」と位置づけられ、地方分散と電力確保が論点になっています。
  • IoT機器はNOTICEと端末設備等規則、2018年の政府調達申合せで多層的に手当てされ、監視カメラも明示的な対象です。

制度は所管がばらけていて、全体像は確かにつかみにくいです。それでも、企業がやることの核は一つに収れんします。誰から買い、誰に渡すかを制度の物差しで判定し、記録し続けること。ここを仕組みにできた会社から、経済安全保障の要求は「重い負担」ではなく「当たり前の作法」へと変わっていきます。自社のどこから着手すべきか迷ったら、経済安全保障・輸出管理の個別相談から気軽に声をかけてください。抽象論のうちは遠く見えても、自社の一品目に落とし込んだ瞬間に、この話は一気に自分ごとになります。


Footnotes

  1. 内閣府「経済安全保障(経済安全保障推進法)」 https://www.cao.go.jp/keizai_anzen_hosho/index.html

  2. 内閣府「重要物資の安定的な供給の確保に関する制度(サプライチェーン強靱化)」 https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/supply_chain/supply_chain.html 2 3 4

  3. デジタル庁「サイバーセキュリティ」 https://www.digital.go.jp/policies/security 2 3 4

  4. ISMAPポータル「政府情報システムのためのセキュリティ評価制度」 https://www.ismap.go.jp/csm

  5. デジタル庁「ガバメントクラウド」 https://www.digital.go.jp/policies/gov_cloud 2 3

  6. 内閣府「基幹インフラ役務の安定的な提供の確保に関する制度」 https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/infra/infra.html 2 3 4

  7. 総務省「データセンター、AI・クラウドの地域集約によるデジタルインフラ整備」 https://www.soumu.go.jp/menu_seisaku/ictseisaku/digital_infrastructure/index.html 2 3

  8. NOTICE「サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び注意喚起」(総務省・NICT) https://notice.go.jp/ 2

  9. 総務省「端末設備等規則(IoT機器のセキュリティ技術基準・電気通信事業法第52条)」 https://www.soumu.go.jp/main_sosiki/joho_tsusin/tanmatu/index.html

  10. 国家サイバー統括室(NCO・旧NISC) https://www.cyber.go.jp/

外為法違反の52%は該非判定起因 — 御社は大丈夫ですか?

2024年度の経産省統計で、輸出管理違反の過半が該非判定に起因。まず5問(約2分・メール不要)のライト診断。詳細は10問本編へ。

この記事が参考になったらシェア

シェア

メルマガ登録

AI活用やDXの最新情報を毎週お届けします

ご登録いただいたメールアドレスは、メルマガ配信のみに使用します。

無料診断ツール

輸出管理のリスク、見えていますか?

まず5問(約2分・メール不要)のライト診断。必要なら10問本編で詳細レポートまで。

輸出管理の実務、一緒に整理しませんか

該非判定・取引先調査・法令追随など、現場の運用を伺いながら整理します。まずはお問い合わせフォームから(カレンダー直結ではありません)。

関連記事