技術 約7分で読めます

AWSのデータセンターがドローンで燃えた。SLAは助けてくれない

AWS クラウド セキュリティ DR

2026年3月1日、AWSの中東リージョン(ME-CENTRAL-1 / UAE、ME-SOUTH-1 / バーレーン)がドローン攻撃で物理的に破壊された。クラウドインフラが軍事行動で被害を受けた史上初の事例になった。

「クラウドだから安心」と思っていた人にとっては悪夢みたいな話だが、もっと悪夢なのはSLAの中身を読んだときだ。

何が起きたか

2月28日、米国・イスラエルがイランへの大規模攻撃(Operation Epic Fury)を実施。イランは報復として湾岸全域の米軍基地・民間インフラにドローン・ミサイルを撃ち込んだ(Operation True Promise 4)。

AWSへの被害はこうだ。

  • ME-CENTRAL-1(UAE): 2施設がドローン直撃。火災が発生し、消防が主電源・非常用発電機を遮断。消火活動による水損害も
  • ME-SOUTH-1(バーレーン): 近傍着弾の爆風で物理的損傷。単一AZ停電が波及

UAEリージョンで38サービス、バーレーンリージョンで46サービスが障害。EC2、S3、RDS、Lambda、EKS、VPCなど主要サービスが軒並みダウンした。AWSは顧客に「データのバックアップと別リージョンへの移行」を推奨、「運用環境は依然として予測不可能」と警告している。

波及被害として、Anthropic Claude(フロントエンドがグローバルダウン)、Snowflake、Emirates NBD、ADCBなどの金融機関も影響を受けた。

SLAは助けてくれない

force majeure条項に「war」が明記されている

AWS Customer Agreement Section 11.3:

Except for payment obligations, neither party nor any of their affiliates will be liable for any delay or failure to perform any obligation under this Agreement where the delay or failure results from any cause beyond its reasonable control, including acts of God, labor disputes or other industrial disturbances, electrical or power outages, utilities or other telecommunications failures, earthquake, storms or other elements of nature, blockages, embargoes, riots, acts or orders of government, acts of terrorism, or war.

「war」と「acts of terrorism」が明示的に列挙されている。今回のドローン攻撃はどう見てもforce majeureの範囲内で、AWSにはサービス提供義務がない。SLAクレジットの対象外。

「Except for payment obligations」の破壊力

この条項の冒頭にある「Except for payment obligations(支払い義務を除いて)」が本当にエグい。

つまりこういうことになる。

  • AWSの義務(サービスを提供する)→ force majeureで免除される
  • 顧客の義務(料金を支払う)→ force majeureでも免除されない

サービスが止まっていても、顧客は払い続ける。契約上はそうなっている。

止まっているのに課金され続けるもの

Reserved Instance(RI) は「キャパシティを予約する契約」であって「使った分だけ払う契約」ではない。全額前払いならすでに1年/3年分を払い済みで返金なし。月額払いでも毎時課金が継続する。インスタンスが物理的に存在しなくても。

Savings Plans も同様。コミットした金額は使用量に関係なく課金される。

EBSボリューム はアタッチ先のEC2が死んでいても、ボリュームが存在する限り課金。S3 もデータが存在する限り課金。

On-Demandインスタンスだけは停止中の課金がないが、そもそもOn-Demandで本番を動かしている会社は少ない。コスト最適化のためにRIやSavings Plansを買っているはずで、それが裏目に出る。

そもそもSLAクレジットは補償ではない

仮にforce majeureが適用されず、SLAクレジットが出たとしてもどうなるか。

Uptime Instituteの分析によると、ダウンタイムの平均損害額は 973,000。回答者の2973,000。回答者の2%は 40M以上の損失を報告している。

一方、AWSのSLAクレジットはこんな感じだ。

  • 月間稼働率99.0%未満(7時間18分以上のダウン): 月額の10%
  • 月間稼働率95.0%未満(36時間以上のダウン): 月額の30%

月額3t4g.nanoインスタンスが36時間ダウンしても、クレジットは3のt4g.nanoインスタンスが36時間ダウンしても、クレジットは1未満。しかもクレジットは現金ではなく、AWSでしか使えないサービスクレジット。自分でダウンタイムを測定して申請しないともらえない。

さらに、SLAクレジットの計算からはRI前払い分が除外される。最も高額な支出が補償の計算基礎から外れている。

SLAクレジットは「補償」ではなく「ペナルティ」に過ぎない。プロバイダーの収益にほとんど影響しない程度の金額で、顧客の実損害はカバーしない設計になっている。そして今回はforce majeureだから、そのペナルティすら発生しない。

マルチAZも無力だった

AWSのアベイラビリティーゾーン(AZ)は、論理的障害やソフトウェア障害に対する冗長性を提供する。電源系統も独立しているし、物理的にも分離されている。

だが今回、UAEリージョンの3AZ中2AZが同時にドローンの直撃を受けた。マルチAZ構成を組んでいた顧客でも、リージョン全体が使えなくなった。

AZの設計思想は「データセンター単位の障害に耐える」であって、「リージョン全体が戦場になる」ケースは想定していない。マルチAZはあくまでリージョン内の冗長性であり、リージョンそのものが消滅するリスクには対応できない。

じゃあどうすりゃいいのか

AWSの4段階DRパターン

AWSは公式ホワイトペーパーで4段階のDR戦略を定義している。

1. Backup & Restore(最安、RPO/RTO: 時間〜日)

データだけ別リージョンにバックアップしておき、障害時にインフラごと再構築する。S3 Cross-Region Replication(CRR)やRDSのスナップショットを別リージョンにコピーするのが基本。

コスト: S3のリージョン間転送は$0.02/GB(US間)。中東→欧州はもう少し高い。ストレージ費用は二重にかかる。復旧には時間がかかるが、「データだけは絶対に失わない」最低ラインとして有効。

2. Pilot Light(低〜中コスト、RPO/RTO: 分〜時間)

コア部分(DBなど)だけ別リージョンで常時稼働させておく。障害時にアプリケーション層を別リージョンにデプロイして切り替える。

「データは常にレプリケーション済み、インフラはIaCで即座にデプロイ可能」という状態を維持する。多くの組織はここが現実的なラインになる。

3. Warm Standby(中〜高コスト、RPO/RTO: 分)

本番環境の縮小版を別リージョンで常時稼働。障害時にスケールアップして切り替える。Route 53のヘルスチェックとフェイルオーバールーティングを組み合わせる。

4. Multi-Site Active/Active(最高コスト、RPO/RTO: ほぼゼロ)

複数リージョンで同時に本番トラフィックを処理する。理想的だが、インフラコストがほぼ2倍。アプリケーション側もマルチリージョン対応の設計が必要で、データの整合性管理が複雑になる。

最低限やっておくこと

Active/Activeは理想だがコストが見合わない組織も多い。少なくとも以下は検討しておきたい。

  • S3 CRR: データだけは別リージョンに複製しておく。リージョンが消滅してもデータは残る
  • RDSのクロスリージョンリードレプリカ: DBのリアルタイム複製。障害時にプロモートしてプライマリにできる
  • IaCの整備: CloudFormationやTerraformでインフラを完全にコード化しておけば、別リージョンへのデプロイが数分で終わる
  • Route 53フェイルオーバー: DNSレベルでの自動切り替え設定

マルチクラウドは現実的か

「AWSがダメならAzureに切り替える」というマルチクラウドDRは理論的には最強だが、実際にはかなり厳しい。各プロバイダーのマネージドサービス(RDS、Lambda、EKSなど)に依存している場合、そのままでは別プロバイダーでは動かない。Kubernetes + Terraformでポータブルにしておくか、最初からマルチクラウド前提のアーキテクチャを組む必要がある。

コストも運用負荷も跳ね上がるので、よほどの理由がない限りは「同一プロバイダーのマルチリージョン」が現実的な選択肢になる。

データ主権の問題

中東リージョンを使っている理由が「データを中東に置く法的要件」だった場合、別リージョンへの移行はそう簡単ではない。UAEのデータ保護法やバーレーンのPDPLなど、個人データの国外移転に制限がある場合、DRのためとはいえ欧州リージョンにレプリケーションできるかは法務確認が必要になる。

S3 CRRだけでも設定しておけば、リージョンが物理的に消えてもデータは残る。月数ドルの保険料だと思えば安い。