連邦サイバーセキュリティ専門家、疑念があるにもかかわらず Microsoft のクラウドサービスを承認

 (propublica.org)
1 ポイント 投稿者 GN⁺ 2026-03-19 | 1件のコメント | WhatsAppで共有
  • 米政府の FedRAMP プログラム は、セキュリティ上の懸念があるにもかかわらず、Microsoft の Government Community Cloud High(GCC High) サービスを承認した
  • 内部評価報告書には 「全体的なセキュリティ状態を評価する自信がない」 と明記され、一部のレビュアーはシステムを「めちゃくちゃ」だと表現した
  • Microsoft は 暗号化アーキテクチャとデータフローダイアグラム などの中核的なセキュリティ文書を何年も整備できていなかったが、すでに政府機関が当該サービスを利用していたため、承認の決定が下された
  • 承認プロセスでは 第三者評価機関の利益相反Justice Department と Microsoft の間での圧力行使FedRAMP の人員削減 などが複合的に作用した
  • この件は、米政府の クラウドセキュリティ検証体制が形式的な手続きに転落 していることを示し、国家機密保護に深刻なリスクを提起している

FedRAMP 承認と Microsoft GCC High 論争

  • FedRAMP は政府機関向けクラウドサービスのセキュリティを検証するプログラムであり、Microsoft の GCC High は機微な政府データを扱うサービスである
    • 内部報告書によれば、Microsoft は「適切なセキュリティ文書が不足」しており、評価者たちはシステムのセキュリティ水準に確信を持てなかった
    • それにもかかわらず、2024 年末に FedRAMP は「条件付き承認」の形で GCC High を承認した
  • 承認決定は Justice Department と防衛産業 がすでに当該サービスを使用していたためであり、拒否した場合は政府運営に支障が出ることが懸念された
  • 承認書には「未知のリスクが存在するため、各機関は注意して使用すること」という 警告文 が含まれていた

Microsoft のセキュリティ文書不備と長期遅延

  • FedRAMP は 2020 年から Microsoft に データ暗号化フロー図 の提出を求めていたが、同社は「複雑さ」を理由に完全な資料を提出しなかった
    • Microsoft は一部のホワイトペーパーのみを提出し、データがいつ暗号化・復号されるのかを明確に説明できなかった
  • 他のクラウド事業者(Amazon、Google)は同様の資料を提供したが、Microsoft は数か月単位で不完全な回答を繰り返した
  • FedRAMP のレビュアーは Microsoft のシステムを「スパゲティパイ のように絡み合った構造」になぞらえ、データフローの不透明さがセキュリティリスクを高めていると指摘した

第三者評価機関と利益相反の問題

  • Microsoft に雇われた CoalfireKratos は、FedRAMP に対し非公式に「Microsoft から十分な情報を受け取れていない」と伝えていた
    • これらの機関は Microsoft から直接費用を受け取る構造にあり、独立性が損なわれる懸念 が提起された
  • FedRAMP は Kratos に「是正措置計画」を通知したが、同社は評価の正当性を主張した
  • Microsoft は「すべての要求に誠実に対応した」として、非公式報告(backchannel) の存在を否定した

政府機関の圧力と承認プロセスのゆがみ

  • 2023 年、FedRAMP は Microsoft の不十分な対応により審査を中断したが、Justice Department と Microsoft の間のロビー活動 により再開された
    • Microsoft 側の関係者は「市場参入が遅れている」として、Justice Department に FedRAMP 承認への圧力を要請した
    • 会議では Justice の CIO である Melinda Rogers が Microsoft 側に立ち、FedRAMP の審査方法を批判した
  • その後、White House は FedRAMP が「厳格な審査を実施すべきだ」とする指針を発表したが、GCC High はすでに複数の機関に広がっていた

人員削減と制度的限界

  • FedRAMP は予算削減により 職員約 20 人、年間予算 1,000 万ドル 規模まで縮小され、事実上 業界向けの形式的承認機関 に転落した
  • GSA は「プログラムの役割はセキュリティ水準を判断することではなく、情報を提供することだ」と述べ、実質的な検証責任を回避した
  • 専門家たちは、FedRAMP は「国民のデータを守るべき監視役としての役割を失った」と批判している

その後の波紋と倫理論争

  • ProPublica の報道後、Microsoft は 中国拠点エンジニアの国防関連業務への参加停止 を発表した
  • Justice Department は Accenture 元社員の FedRAMP 詐欺容疑での起訴 を通じて、クラウドセキュリティに関する虚偽報告の取り締まりを進めている
  • 2025 年には、FedRAMP 関連のサイバーセキュリティ政策を主導していた 元司法副長官 Lisa Monaco が Microsoft のグローバルアフェアーズ社長に迎えられ倫理的論争 が続いている
  • Microsoft は、すべての採用は「法規と倫理基準を順守した」と説明した

結論: 形式化したセキュリティ認証の危険

  • ProPublica は今回の事例を通じて、FedRAMP 認証は実際のセキュリティ保証ではない と指摘した
  • Microsoft GCC High は依然として 「未知のリスク(unknown unknowns)」 を抱えており、政府機関はそのリスクを自ら引き受けなければならない状況にある
  • 専門家たちは、米政府のクラウドセキュリティ体制は 「セキュリティではなくセキュリティショー(Security Theater)」 に転落したと評価している

関連記事

1件のコメント

 
GN⁺ 2026-03-19
Hacker Newsのコメント

  • 連邦機関が審査中でも製品を導入できたため、GCC Highは政府と防衛産業全体に広がった。
    結局、FedRAMP の審査担当者は、完全な審査が終わっていないにもかかわらず、すでにワシントン全域で使われているという理由で承認せざるを得なかった。
    つまり、基準は「このツールは安全か?」ではなく、「これを拒否できるほど 危険か、あるいは政治的に耐えられるか?」に変わってしまった。

    • FedRAMPは批判されるべきだ。遅すぎるうえ、業界からのフィードバックを無視している。
      その結果、政府に製品を売ろうとするほぼすべてのスタートアップが Palantir税 を払わされる構造になっている。年間20万〜50万ドル規模で、直接FedRAMP認証を取得しようとすると最低でも200万〜300万ドルと2〜3年がかかる。
      結局、ほとんどの企業はPalantir(または2F)に頼らざるを得ない。これは政府規制が強制した独占構造だ。
    • だからこそ、大手ベンダーはどんな代償を払ってでも先に足場を築こうとする。
      いったん定着すれば 離脱不可能 になり、事実上無限の収益源になる。
    • 本当に安全性を確保するには、複雑な構成より単純化のほうが重要だ。
      最も安全なのは、地下室に鍵付きのサーバーを数台置き、検証済みのソフトウェアだけを動かすことだ。

  • 最近 Entra ID を使ってみたが、MFA設定だけで12種類、ユーザー無効化が20種類、認証方式が4種類、条件付きアクセス ポリシーには50個の変数とテンプレートがある。
    カスタマイズの自由度は高いが、設定後は同僚がログインすらできなくなる。それが彼らなりのセキュリティ強化のやり方らしい。

    • Microsoftの SSOログインフロー は、私が見た中で最もバグが多い。リダイレクトが多すぎるし、「remember me」は決して機能しない。
    • Microsoftは機能は多いが、まともに動くものはほとんどない。
    • 追加設定の方法はあるが、アクセス不能な SharePoint文書 の奥深くに隠されている。
    • うちでも同じ経験をした。しかも毎週Entra IDの統計メールを強制送信してきて、配信停止もできない。
    • 現代のMicrosoftの問題は、3つのことを同時に追求している点だ。
      • Move fast and break things」式の高速リリース
      • We do not break user space」式の後方互換性への執着
      • 何十年も 製品を廃止しない こと
        この組み合わせのせいで、Microsoft製品は重複するAPIと未完成機能の 迷路 になってしまった。

  • Microsoftはセキュリティに弱く、だからこそ クラウドの集中化 はより危険だ。
    たとえば Storm-0558事件 では、盗まれた署名キー1つで、すべてのAzure ADアカウントの認証トークンを偽造できた。
    このレベルのアクセスが国家規模で悪用されれば、経済的な大惨事だ。

    • 実際には、署名キーを盗む必要すらなかった脆弱性もあった。関連記事 を参照。
    • とはいえ、こうした事故はどの企業でも起こり得る。結局は 人為的ミス の問題だ。

  • 専門家たちは正しかった。Azure は私が使った中で最悪のプラットフォームだ。
    新製品が既存のAzureコンポーネントを無理やり引き継いでいるせいで一貫性がなく、チーム間の連携もないため統合がまるでできていない。
    ログ形式からセキュリティの概念までばらばらで、Microsoftが SIEM というものを理解しているのかすら疑わしい。

    • 10年以上Microsoftで働いていたが、社内でも同じ問題を感じていた。
      たとえば社内システムの Cosmos は優れたデータ処理エンジンだが、外部公開は遅く、サポートもひどかった。
      Synapseは失敗し、Fabricが新バージョンだが社内でもほとんど使われていない。
      アカウントとセキュリティの環境が複雑すぎて、作業そのものが苦痛 だ。
      Azureが金を稼げているのは単にMicrosoftの規模のおかげだ。実態としては「失敗しながら成長している」。
      Cosmos関連論文リンク
    • こうした進化型の製品構造は、2018年以降の Microsoftの標準 だ。
      高速リリースとユーザーフィードバックに基づく改善のため、初期は実験的に感じられるが、数年経つとようやく使えるものになる。
    • ユーザーへの 無関心 があまりにも明白だ。反トラスト時代の帰結として、今では競争する必要すら感じていない。
    • Azureは顧客の財布で顧客を殴るようなものだ。アクセス権を与えるのではなく、所有権を奪って課金する
    • こうした現象はGitLabのような 「市場リーダー追随」 企業にも見られる。機能の完成度より、スプレッドシート上の機能数のほうが重要なのだ。

  • 司法省CIO はFedRAMP承認を強く後押しした翌年にMicrosoftへ入社した。これは承認そのものを無効にすべき案件に思える。

  • 記事中で「pile of shit」と言っていたのは、実際のサービスではなく セキュリティ文書パッケージ を指していたようだ。
    Microsoftが明確な情報を提供しなかったため、評価自体が困難だったという文脈だ。

    • 内部報告書によれば、Microsoftの セキュリティ文書の不備 により、評価者はシステムのセキュリティ状態を信頼できなかったという。
      ProPublicaがこれをクラウド全体の問題に拡大したのは、やや クリックベイト 的だ。
    • 結局、文書がないから評価不能、それでも承認とは……「次!」で済ませたようなものだ。
    • Microsoftは技術文書担当者をほぼ解雇してしまい、今では 自動生成されたAPI文書 しか残っていない。
      たとえば 
      Overrides the authorization for an identity.
AuthorizationOverride(string identity);
      この程度なので、セキュリティ関連設定の意味や影響範囲がわからない。

  • 要件自体がMicrosoftクラウドしか満たせないように設計されているようだ。
    だから ペンタゴンにWindows が入っているのだ。

  • Microsoftに関する 利益相反 が多すぎる。承認プロセスに関わった人物たちが、その後Microsoftに入社している。

    • 90年代後半ごろ、Microsoftはこのゲームのルールを完全に習得した。反トラスト訴訟の時期とも重なる。
    • もちろん、常に悪意があるわけではない。政府契約の担当者が製品に詳しいため、供給側へ移ることもある。
      結局、同じ ミッションを別のチームで遂行している と考えているのだろう。技術者として、現場で問題を解決するほうがよいと信じる場合もある。

  • FedRAMP は従うのも難しく、実際のセキュリティ水準も保証しない。二重に厄介な制度だ。

    • コンプライアンス環境で働いたことがなければ、この苦しさはわからない。

  • 「GCC Highの審査担当者は、評価可能な部分と不可能な部分の両方で問題を見つけたが、最終的にFedRAMPとMicrosoftが合意し、2024年のクリスマス翌日に承認された」というくだりを見ると、
    いったい いくらの献金 が動いたのか気になってしまう。