AWSがCCFTにScope3を追加——クラウド調達・規制報告・セキュリティの「共通指標」化が加速します

今日の深掘りポイント

• AWSのCustomer Carbon Footprint Tool（CCFT）にScope 3排出が加わり、クラウド調達がサステナビリティKPIで評価される度合いが一段と高まります。結果として、クラウド利用の設計・運用・監査に「炭素の整合性（Carbon Integrity）」という新たなリスク管理軸が生まれます。
• ESG報告は会計監査級の統制を求められる局面に入りつつあり、排出データの改ざん・流出・なりすましは直接の財務・レピュテーション損失に繋がります。セキュリティ部門はBilling/Cost/ESGデータを「規制対象データ」として保護・改ざん検出・証跡保全まで含めて設計する必要があります。
• スコアリング指標の「immediacy（7.00）」「actionability（7.50）」が示す通り、次の報告サイクルに直結するため、SOC/FinOps/サステナビリティの三位一体によるユースケース実装（異常排出の検知、データ完全性検証、リージョン選定のSCP統制）を今期から動かすのが現実的です。

はじめに

AWSが顧客向けのCustomer Carbon Footprint Tool（CCFT）にScope 3排出データを追加したと報じられています。これにより、サプライチェーンを含む間接排出をクラウド利用の文脈で把握し、報告や意思決定に反映できるようになります。クラウドを「購入したサービス」としてScope 3に位置付け、企業のバリューチェーン排出の見える化を一段引き上げる動きです。

本件はCSRD（EUの企業サステナビリティ報告指令）やISSBのIFRS S2（気候関連開示）など、Scope 3の重要性が高い枠組みとの親和性が高いです。SECの気候開示も引き続き注目を集めていますが、いずれの枠組みにおいてもバリューチェーンをどう定量・検証するかが実務上のボトルネックでした。CCFTにScope 3が入る意義は、クラウドという大規模かつ横断的な支出項目についてデータの粒度・可用性が上がる点にあります。

提示されたスコアリング指標は以下の通りです（Score 56.50／Scale 7.00／Magnitude 6.50／Novelty 6.50／Immediacy 7.00／Actionability 7.50／Positivity 7.00／Probability 7.50／Credibility 7.50）。このプロファイルは「実装可能性が高く、今期のガバナンスと調達・報告プロセスに影響を与える」タイプの動きであることを示唆します。特にimmediacyとactionabilityの高さは、SOC/FinOps/サステナビリティ連携の即応が求められる根拠になります。

深掘り詳細

事実整理（何が変わったのか）

• AWSは顧客向けのCustomer Carbon Footprint Tool（CCFT）にScope 3排出データを追加したと報じられています。これにより、企業はAWS利用に係る間接排出（バリューチェーン由来）を把握し、自社の排出インベントリに反映できるようになります。報道はThe New Stackが伝えています。
  参考: The New Stack: AWS Adds Scope 3 Emissions Data to Customer Carbon Footprint Tool
• CCFTはAWSのBilling & Cost Managementの一部として提供され、利用者は自社のAWS消費に紐づくカーボンフットプリントを確認できます。AWSの公式プロダクトページも合わせて参照すると機能の位置付けが掴みやすいです。
  参考: AWS Customer Carbon Footprint Tool（製品ページ）
• Scope 3はGHGプロトコルにおいて、購入した製品・サービス、上流輸送、出張、販売した製品の使用・廃棄など、企業の直接活動外の排出を対象とするカテゴリーです。
  参考: GHG Protocol: Corporate Value Chain (Scope 3) Standard
• グローバルな開示基準では、ISSBのIFRS S2がScope 3を含む気候関連の重要情報開示を求める枠組みを提供しています（重要性に基づく開示）。AWSのScope 3提供は、開示の前提となるデータの可用性向上に資する位置付けです。
  参考: IFRS S2 気候関連開示

補足として、本レポートの関連データでは「企業の温室効果ガス排出量の約70%はScope 3」とされています。セクター差はありますが、バリューチェーン排出が総量の大宗を占めやすいという実務感覚と整合的です。

インサイト（現場への示唆）

• 調達・クラウド選定のKPIが変わる可能性が高いです。コスト・レイテンシ・回復性に加え、「排出係数（リージョンごとの電力カーボン強度）」が純粋なSRE/FinOps/アーキテクチャ判断の一次変数になります。SCP（Service Control Policy）で使用リージョン制約をかけるなど、技術統制がサステナビリティKPIに直結します。
• ESG報告（CSRD/IFRS S2等）での第三者保証（Assurance）を見据え、排出データの「完全性・出所保証・証跡保全」をセキュリティの設計要件に内在化すべき段階です。具体的には、CCFT出力の改ざん検出（ハッシュ・署名・WORM保管）、生成プロセスの不可否認性（監査証跡の一元保全）、アクセス権限の職務分離が求められます。
• 組織横断の連携が前提になります。SOCは異常な計算資源利用（例: クリプトジャッキング）を「コスト・排出の二重異常」として検知し、FinOpsはコスト異常検知と重ね、サステナビリティは排出異常として可視化するクロスドメイン検知が可能になります。
• レピュテーションと収益への直接影響が増します。取引先の調達ゲートでScope 3成績が用いられるほど、排出データの流出や改ざんは契約喪失や監督当局対応コストに直結します。セキュリティ事故の損害試算に「CO2e影響と規制報告インパクト」を織り込む必要があります。

なお、ランキングスコアの読み替えです。

• Score 56.50は相対評価で上位（本件はランキング2位）に位置する強度を示し、セキュリティ上の優先度再配分が必要な事案であることを示します。
• Immediacy 7.00とActionability 7.50は、今期の報告・監査・調達プロセスで即効的に使える変更であることを示します。SOC/FinOps/ESGの連携ユースケースが作りやすく、PoCから本番運用までの距離が短いことを意味します。
• Probability 7.50とCredibility 7.50は、AWSという大手プラットフォームの公式機能拡張が市場標準を事実上形成しやすいことを反映し、同業他社・サードパーティでも同様のデータ要求・フォーマット整備が進む確度が高いことを示します。

脅威シナリオと影響

以下は本件に付随して立ち上がるセキュリティ課題の仮説です。MITRE ATT&CKを併記し、具体的な観測点と影響を整理します。

• シナリオ1: ESG/排出データの改ざん（サプライヤー提出値や社内集計の不正）

  • 手口（仮説）: ESGデータパイプライン（S3/ETL/BI）に対する権限濫用やマルウェアにより、CCFT出力や統合ファイルの数値を上書きするです。
  • ATT&CK: T1565.001/003（Data Manipulation: Stored/Physical）、T1078（Valid Accounts）です。
  • 影響: CSRD/IFRS S2などの保証付開示で不備判定、監督当局対応とレピュテーション毀損、取引先調達ゲート脱落につながります。監査対応コストも跳ね上がります。
  • 検知・抑止: CCFTエクスポートをS3 Object Lock（WORM）で保存し、KMS署名とハッシュ鎖で改ざん検出を実装するです。CloudTrailでBilling/Cost/オブジェクト変更の証跡を集中保全するです。

• シナリオ2: クリプトジャッキングによる排出スパイク

  • 手口（実務で頻出）: 資格情報窃取でEC2/コンテナを不正起動し、計算資源を乗っ取るです。
  • ATT&CK: T1496（Resource Hijacking）、T1552/1556（Credentials in Files/Forge Web Tokens）、T1078（Valid Accounts）です。
  • 影響: コスト増だけでなくCCFT上のCO2eが急騰し、ESG指標悪化・調達ゲートで不利になります。
  • 検知・抑止: 使途不明のスパイクを「コスト×排出×リージョン」の三指標で可視化し、FinOps異常検知とSOCの振る舞い検知を連携するです。SCPで不許可リージョンを封じ、GuardDutyやCloudTrail Lakeで横移動・起動イベントを監視するです。

• シナリオ3: リージョン移転/設定改変による「高炭素」化のサボタージュ

  • 手口（仮説）: 権限を得た攻撃者や内部不正により、ワークロードをカーボン強度の高いリージョンへ移す、スケーリング閾値を過剰にするなどで排出を意図的に悪化させるです。
  • ATT&CK: T1098（Account Manipulation）、T1106（Native API）、T1562（Impair Defenses）です。
  • 影響: 排出KPIの悪化で契約・入札に影響、社内のサステナビリティ目標未達が発生します。
  • 検知・抑止: SCPで利用リージョンをホワイトリストし、例外はJITアクセスに限定するです。IaCのドリフト検出とConfig Conformance Packで逸脱を即時に検知するです。

• シナリオ4: ESGデータの恐喝・なりすまし配信（「気候データランサム」）

  • 手口（仮説）: 収集済み排出データ（CCFT含む）を窃取し、虚偽の改竄コピーをメディア・投資家にばらまくと脅すです。
  • ATT&CK: T1530（Data from Cloud Storage Object）、T1567.002（Exfiltration to Cloud Storage）です。
  • 影響: 株価・信用リスク、監督当局照会、取引先のサプライヤー監査再実施などの高コスト対応が必要になります。
  • 検知・抑止: DLPとCASBで外部送信を制御し、外部公表用の「署名付き公式版」以外は出さない運用にします。外部への提示には電子署名・タイムスタンプを必須化し、検証可能性を高めるです。

セキュリティ担当者のアクション

• データ分類の更新: CCFT出力と統合ESGデータを「規制影響データ」として機密区分を引き上げ、保管・移送・共有に署名と暗号化、WORM保管を適用するです。
• 職務分離: Billing/Cost/ESGデータの閲覧・抽出・加工・承認を分離し、最小権限（aws-portal/billing/ce関連アクション）を設計するです。監査ログは別アカウント・別KMSで隔離するです。
• 改ざん検出の実装: CCFTエクスポートに対してハッシュチェーンを適用し、S3 Object Lockやバージョニングで不可逆履歴を残すです。承認フローで署名検証を自動化するです。
• 異常排出の相関検知: 「コスト×排出×リージョン」の三指標で時系列相関を取り、Resource Hijackingや設定逸脱の検知精度を上げるです。SOCダッシュボードにCO2eスパイクのカードを追加するです。
• リージョン統制: 事業継続とレイテンシ要件を満たす範囲でリージョンのホワイトリストをSCPで適用し、例外は期限付きJITで運用するです。
• データ出自の証跡: 収集→統合→報告の各段階にタイムスタンプ・署名・実行者を付与し、監査時に「いつ誰がどのデータをどの式で加工したか」を再現可能にするです。
• サードパーティ連携点の棚卸し: ESG/FinOps/ETL/BIベンダーとのAPI接続・ファイル授受を洗い出し、Trusted Relationship（ATT&CK T1199）経由の侵害面を縮小するです。
• インシデント対応手順の拡張: サイバー事故の初動で「排出データ・報告スケジュール・対外開示」への影響評価チェックを追加するです。広報・IR・サステナビリティと事前に合意した訓練を行うです。
• 監査耐性の強化: CSRD/IFRS S2を想定し、外部保証を受ける前提でコントロール設計を文書化するです。データ完全性のコントロール証憑を継続的に蓄積するです。
• 教育とKPI: プロダクト・SRE・FinOps・ESG・セキュリティ横断で「高炭素化リスク」の具体例（クリプトジャッキング、リージョン逸脱）を共有し、是正のMTTRと排出スパイク検出率をチームKPIに加えるです。

参考情報

• The New Stack: AWS Adds Scope 3 Emissions Data to Customer Carbon Footprint Tool（2025年報道）: https://thenewstack.io/aws-adds-scope-3-emissions-data-to-customer-carbon-footprint-tool/
• AWS Customer Carbon Footprint Tool（製品ページ）: https://aws.amazon.com/aws-cost-management/aws-customer-carbon-footprint-tool/
• GHG Protocol: Corporate Value Chain (Scope 3) Standard: https://ghgprotocol.org/standards/scope-3-standard
• IFRS S2 気候関連開示（ISSB）: https://www.ifrs.org/issued-standards/issb-standards/ifrs-s2-climate-related-disclosures/

本稿は上記の公開情報に基づき、サイバーセキュリティ実務に直結する視点で再構成したものです。記載した脅威シナリオの一部は仮説であり、各社のリスクプロファイルに合わせた検証と内規整備を推奨します。