Microsoftのクラウドを連邦政府のサイバー専門家らは「クソの山」と非難していたが圧力を受けて承認していた

Microsoftは機密性の高い情報を扱うユーザー向けのクラウドサービス群である「Government Community Cloud High(GCCH)」を、さまざまな政府機関や政府の請負業者に提供しています。しかし、アメリカ政府のクラウドサービス認証制度である米国連邦情報セキュリティ管理プログラム(FedRAMP)は繰り返しGCCHの問題を指摘していたにもかかわらず、政府内外の圧力を受けてGCCHを承認せざるを得なかったと、非営利報道機関のProPublicaが報じました。

Despite Doubts, Federal Cyber Experts Approved Microsoft Cloud Service — ProPublica
https://www.propublica.org/article/microsoft-cloud-fedramp-cybersecurity-government

近年のアメリカ政府は政府が所有・運用するサーバーから、テクノロジー企業が管理するクラウドサーバーへの移行を進めてきました。2011年にはバラク・オバマ政権の下、クラウドサービスの導入を促進するためにFedRAMPが設立されました。FedRAMPはクラウドサービスのセキュリティが基準を満たしているかどうかを審査する機関であり、FedRAMPが認可したサービスはすべての政府機関で利用可能となる仕組みで、調達の効率化が進むと期待されていました。

ところが、実際にはFedRAMPのチームが需要に対して小規模すぎたため、製品の認証を求めるテクノロジー企業からの依頼に対応しきれない事態が発生。連邦政府予算の獲得を狙うテクノロジー業界と、クラウドサービスへの移行を進めたい政府機関の双方にフラストレーションがたまり、多くの機関は代替策として「FedRAMPの基準を使って自分たちでクラウドサービスの独自審査を行う」という道を選んだとのこと。

こうした流れの中で、機密性の高い裁判記録や法執行記録をクラウドで処理する方法を模索していた司法省は、MicrosoftのクラウドサービスであるGCCHの導入を推進しました。司法省は独立した第三者機関や自らのチェックでGCCHが連邦政府の基準を満たしているかどうかを評価し、2020年初頭までに当時司法省の副最高情報責任者であるメリンダ・ロジャース氏が導入を発表。間もなくGCCHは司法省全体に展開され、Microsoftは連邦政府のクラウド事業という市場で足がかりを築きました。

しかし、2020年4月にようやくGCCHの審査を始めたFedRAMPは、司法省のチェックの質が低く、調査にとって重要な資料が欠落していることに気付いたとのこと。ProPublicaに証言した元FedRAMPのメンバーは、審査チームはデータがA地点からB地点へどのように移動するのか、そしてサーバー間を移動する時にどのように保護されるのかを示す「データフロー図」の提出をMicrosoftに求めたと語っています。FedRAMPはクラウドプロバイダーに対し、機密情報がハッカーに傍受された際も保護されるように、転送中のデータを暗号化することを求めています。

GCCHはOffice 365内の多くのサービスと機能を包括したものであり、FedRAMPはMicrosoftに対し、GCCHに含まれる各サービスにおけるデータフロー図の提出を求めました。しかし、Microsoftは要求が難しすぎるとして拒否したため、まずはメールプラットフォームであるExchange Onlineのデータフロー図を提出することを提案したそうです。

FedRAMPのメンバーによると、AmazonやGoogleといったその他のクラウドプロバイダーは、こうした詳細情報を日常的に提供しているとのこと。しかしMicrosoftは回答に数カ月を要し、提出した文書では「データが実際にどの段階で暗号化・復号されるのか」についての詳細が省かれており、FedRAMPは暗号化が適切に行われているかどうか評価できませんでした。

その後はFedRAMPとMicrosoftのやり取りが行き詰まり、FedRAMPがMicrosoftに回答してほしい内容を記したテンプレートを渡すものの、数カ月後にMicrosoftが不完全または無関係な回答をするというパターンが繰り返されました。FedRAMPの元レビュー担当者はProPublicaに対し、「私たちはExchange Onlineの先までたどり着けませんでした。Exchange Onlineの詳細な情報は得られず、内部の状況はまったく把握できませんでした」と語っています。

FedRAMPとの交渉でMicrosoft側の窓口となったジョン・バーギン氏は、やり取りが長引いた原因は明確な基準を提供しなかったFedRAMPにあると主張しています。しかし、連邦政府機関の顧客が利用するクラウドサービス構築に携わる2人の関係者によると、Microsoftのエンジニアでさえ自社製品のアーキテクチャを解明するのに苦労しているとのこと。問題となっていたのは、Microsoftがクラウドサービスの構築に使用した数十年前のレガシーソフトウェアのコードだったとされています。

あるFedRAMPの審査員はGCCHのデータフローについて、ワシントンからニューヨークまで移動するのにトラックを使うのではなく、バス・フェリー・飛行機を乗り継いで迂回(うかい)するようなものだと指摘。データが適切に暗号化されていない場合、これらの迂回経路がそれぞれデータ傍受の機会になってしまうと説明しています。Microsoftの広報担当者は、同社が特有の課題に直面していることを認めつつも、クラウド製品は連邦政府のセキュリティ要件を満たしていると主張しました。

やり取りが停滞したまま2023年に入ると、中国のハッカーがMicrosoftの政府向けクラウドサービスに侵入し、政府高官のメールを盗み出す事態が発生。この件でFedRAMPの暫定責任者を務めていたブライアン・コンラッド氏は、連邦政府の最高情報セキュリティ責任者を務めていたクリス・デルーシャ氏と話し合いを持ち、Microsoftに厳しい対応をすることを決定。コンラッド氏はMicrosoftに対し、GCCHに関する取り組みを終了すると伝えました。

中国ハッキンググループがアメリカ政府組織のメールボックスに不正アクセスしたと判明 - GIGAZINE

MicrosoftにとってFedRAMPとのやり取りを打ち切ることは、「GCCHにはセキュリティ上の懸念がある」というシグナルを市場に送ることを意味します。そこでMicrosoftのバーギン氏らは司法省関係者に働きかけて、GCCHがFedRAMPの承認を得られるように支援を求めたとのこと。

この際に助力したのが、当時は司法省の最高情報責任者に昇進していたロジャース氏です。GCCHの導入によるIT化を高く評価されていたロジャース氏でしたが、FedRAMPがGCCHを承認しない限り、GCCHがハッキングを受けた際の責任を負わされるという立場にありました。また、司法省としてもすでに広く導入されているGCCHを撤回するには多額のコストと技術的困難が伴うため、GCCHの承認を押し進めるメリットがありました。

結局、多方面からの圧力を受けたFedRAMPは2024年の夏にGCCHを再審査することになりました。ProPublicaが入手した調査結果の概要によると、FedRAMPはGCCHに含まれる多くのサービスのうちExchange OnlineとTeamsの2つしか調査できなかったとのこと。しかし、この2つだけでもリスク管理の根本的な問題が特定され、依然としてMicrosoftから十分なセキュリティ文書が得られなかったとされています。あるチームメンバーはGCCHについて、「このパッケージはクソの山だ」と非難したそうです。

これらの調査結果にもかかわらず、FedRAMPにとってGCCHを却下するという選択肢はありませんでした。ProPublicaが入手した文書には、「承認を発行しないと、すでにGCCHを使用している複数の機関に影響が出る」と記されており、結局FedRAMPは政府による継続的な監視を条件として承認を発行。2024年12月末にGCCHはFedRAMP認証を取得しましたが、FedRAMPは認証パッケージに添付した文書の中で、GCCHの欠陥を列挙し、未知のリスクが存在することを指摘したと報じられています。

その後もGCCHは政府機関で使われ続けていますが、2025年にはMicrosoftが国防総省のシステム保守に中国人エンジニアを使用していたことが判明。ProPublicaに証言した司法省の職員によると、Microsoftはこの取り組みについて司法省に伝えておらず、当時のProPublicaによる報道により初めて中国人エンジニアの使用を知ったとのこと。

Microsoftは国防総省のシステム保守に中国人エンジニアを投入しており機密性の高いデータがハッキングの危機にさらされている - GIGAZINE

2025年には、アクセンチュアの従業員が陸軍のクラウドプラットフォームのセキュリティに関して虚偽報告を行ったとして提訴されました。ProPublicaは、皮肉なことにクラウドプロバイダーが主張通りのサービスを提供しているかどうかの判断を行うのは、司法省自身であると指摘しています。

なお、司法省幹部としてGCCHを推進したロジャース氏は、2025年6月にMicrosoftへ入社しています。この件についてProPublicaがMicrosoftへ問い合わせたところ、広報担当者はロジャーズ氏の採用とGCCHの選考プロセスにおける決定との間には一切の関係がなく、すべての規則・規制・倫理基準を順守していると主張しました。