ハクソク

世界を動かす技術を、日本語で。

連邦サイバー専門家がマイクロソフトのクラウドを「クソの山」と呼ぶも、承認した

68日前原文(propublica.org)

概要

  • 米連邦政府は FedRAMP プログラムでクラウド導入を推進
  • MicrosoftのGCC High は深刻なセキュリティ懸念が指摘されつつも承認
  • 第三者評価機関の 利益相反 リスクが存在
  • FedRAMPのリソース不足と 形骸化 した審査体制
  • 政府機関や防衛産業で リスク拡大 の懸念

FedRAMPと“Cloud First”政策の背景

  • オバマ政権 の「Cloud First」政策により、連邦政府のクラウド移行推進
  • クラウドサービスのセキュリティ確保を目的に FedRAMP 創設
  • FedRAMPは「一度の審査で複数利用」を目指し、調達効率化を図る仕組み
  • しかし、 審査体制の人員不足 と申請殺到により承認遅延が常態化
  • 各省庁が独自に審査を行う「 Agency Path」が多用される現状

Microsoft GCC Highのセキュリティ問題

  • FedRAMP は2020年以降、Microsoftに対し暗号化方法の詳細説明を要求
  • Microsoftは 部分的な情報 しか提出せず、審査が5年近く膠着
  • 審査中にも関わらず、GCC Highは 政府機関や防衛産業で導入拡大
  • 2024年、FedRAMPは「審査が不十分だが既に普及している」ことを理由に 承認
  • 政府の最重要情報を扱うシステムに対する セキュリティ不信 が拡大

利益相反と審査の形骸化

  • FedRAMPの審査には 第三者企業 が関与するが、評価対象企業から報酬を受ける構造
  • 予算削減でFedRAMPの 人員・予算が大幅減少
  • 実質的に 業界の意向に従う「ゴム印」 状態との指摘
  • AIツールなど新技術導入に伴う リスク増大 の懸念

Microsoftと政府契約の透明性問題

  • Microsoftは 中国拠点エンジニア の使用を国防総省に報告せず
  • 国防総省は「外国人アクセス禁止」規定違反の可能性を調査中
  • ProPublica報道後、Microsoftは 中国拠点エンジニアの利用停止 を発表
  • Microsoftは「包括的なセキュリティ対策を実施」と主張

FedRAMPの今後と政府の対応

  • FedRAMPは「 統治体制の強化」を主張し、運用改善をアピール
  • しかし年間予算は 過去10年で最低 の約1,000万ドル
  • 政府内では FedRAMPの実効性・信頼性低下 への危機感が拡大
  • セキュリティ専門家からは「 セキュリティ劇場」との厳しい批判

まとめ

  • FedRAMPによる クラウドサービス審査の限界と形骸化
  • Microsoft GCC Highを巡る 透明性・安全性への重大な疑念
  • 連邦政府の サイバーセキュリティ体制の抜本的見直し の必要性

Hackerたちの意見

[...]連邦機関がレビュー中にこの製品を導入できるようになったおかげで、GCC Highは政府や防衛産業全体に広がったんだよね。2024年末には、FedRAMPのレビューチームは、技術を承認せざるを得ないと結論づけたんだ。質問が解決したわけでも、レビューが完了したわけでもなく、主に「Microsoftの製品がワシントン全体で使われているから」という理由でね。これが問題の核心みたいだね。「分析中にツールが使える」と「分析には時間がかかる」の組み合わせが、拒否のハードルを「このツールは安全か?」から「このツールが危険すぎて、他の政府機関と争う覚悟があるか?」にシフトさせてる。FedRAMPを批判するつもりはないけど、適切なセキュリティレビューには時間がかかるよね。特にベンダーと関わるとさらに時間がかかるだろうし。

だからこそ、こういう企業ベンダーはどんな手を使ってでも足がかりを得たいんだよね。最初に根を下ろしてしまえば、移行するのが不可能になるって知ってるから。顧客からのコスト上限ゼロのタダの金みたいなもんだし。

おそらく、要件がMicrosoftのクラウドだけに合うように書かれてたんだろうね。だからペンタゴンには安全なものじゃなくてWindowsがあるんだ。

FedRAMPにGCC Highの承認を圧力をかけた司法省のCIOが、翌年にMicrosoftに雇われたんだって。これって、最初から承認を無効にすべきじゃないのかな?

最近Entra IDを使ってみたけど、MFAを強制する方法が12通り、ユーザーを無効にする方法が20通り、ユーザーを認証する方法が4通り、条件付きアクセスの設定に50の変数やテンプレートがあるんだ。自分好みにカスタマイズできるんだけど、設定した後、同僚たちがログインできなくなった。これが組織を守る方法の一つだね。

それがマイクロソフトだよ。何千もの機能があるけど、どれも本来の通りには動かないんだよね。

それをやる方法はいくつかあるけど、アクセスできないSharePointの深いところにあるドキュメントに書いてあるんだよね。

うちも同じ経験だよ。で、毎週のエントラIDの統計が良いとか悪いとか、めっちゃメールが来るんだけど、そのメールをオプトアウトできないんだよね。

こっちも同じだよ、でもMinecraftとXbox Oneで。どうしてあんなのが市場シェア持ってるのか理解できない。

マイクロソフトのSSOログインフローは、全ての中で一番バグが多いと思う。問題が起きるのはこれだけだもん。なんでこんなにリダイレクトが多いの?「次回から自動的にログイン」のチェックボックスはどうして全然機能しないの?

問題は、現代のマイクロソフトが同時に三つの矛盾したことをやってることだね。 - FBの「速く動いて壊す」ってやつ。常に新しいライブラリを立ち上げてる。 - リーナスの「ユーザースペースを壊さない」っていう、後方互換性への大きなコミットメント。 - 使われなくなった製品を、実質的に何十年も放置されるまで非推奨にしない。これらの組み合わせが、すべてのMS製品を重複するAPIの迷路にしていて、どれが本当に良いものかのガイダンスがない。中には放置されたゴミもあれば、新しくて未完成なものもあるし、両方の特性を持つものもある。どれがどれかなんて、専門家でも間違えることがあるから、分からないんだよね。

その後、Microsoftに雇われた人たちとの利害の衝突がこんなに多いのはちょっと狂ってるよね。

90年代後半くらいに、マイクロソフトがやっとゲームのやり方を理解した時期があったよね。反トラストの問題とも重なってたし。

確かに、悪意からだけではないこともある。多くの政府の職員や契約者は、製品をよく知っていて、現在の会社の人よりも修正するのが得意だから、供給会社に入るんだ。Appleでバグを修正するためだけに雇われたあの人みたいにね。ベンダーを使わざるを得ないし、もし本当にミッションに関心があるなら、同じミッションの別のチームって感じだよね。もちろん、自分が利用されているのは分かってるし、長期的には非技術的な側に行って戦うべきだったかもしれないけど、結局は戦争に送られる若い子たちを安全に守りたいだけなんだ。技術的な側にいる方がそのためには向いてると思うよ。…って聞いたことがある。

記事からはあまり明確じゃないけど、文脈からすると「クソみたいな」発言はサービス自体ではなく、そのドキュメントのパッケージについて言ってる気がするな。Microsoftが適切な評価を行うために必要な明確な情報を提供しなかったのが主な不満みたいだし。

え、つまり彼らは手を挙げたってこと?ドキュメントなし!評価できない?それでも誰かには明らかに価値があるってこと?大きなスタンプ、仕事はよくやった!次は?

FedRAMPに準拠するのが面倒なのに、実際のセキュリティの強さを示すものでもないって、ほんとイライラするよね。

あなた、コンプライアンス環境で働いたことないんだね。

マイクロソフトはセキュリティが苦手で、それがクラウドへの集中化を恐ろしいものにしてるんだよね。Storm-0558のことを思い出すよ。盗まれた署名キーで、どんなMSA/Azure AD/政府ADユーザーの認証トークンも偽造できたんだ。彼らはその深刻さを軽視してたけど、あんなアクセスが全国規模で使われたら、経済的な大惨事が待ってるよ。

もっといいこと言うと、署名キーを盗む必要すらなかったんだよね。 https://www.bleepingcomputer.com/news/security/microsoft-ent...

専門家たちは正しかった。Azureは今まで扱った中で一番クソなもんだよ。全部が進化的に感じる。つまり、Azureの新しい製品はほとんど製品じゃなくて、既存のAzureの「もの」を引き継いだ小さな付属品みたいなもん。で、これらの既存のものが製品にとってあんまり意味がないこともあるし、製品をもっと悪化させるようなものを引き継いじゃうこともある。でも、そんなの関係ない。製品を使うことを考えるだけでも、Azureの全体的なエコシステムについて、思ってた以上に学ばなきゃいけないし、もちろん、チーム同士が連携してないから、うまく統合されてないマイクロソフト製品とも向き合わなきゃいけない。ログ形式や慣習、全部がAzureのいろんな部分で違うからさ。SIEMみたいな基本的なセキュリティ概念も、マイクロソフトがSIEMが何か理解してるのか疑問に思うような変な方法で実装されてる。

Azureは、マイクロソフトに自分の財布で殴られた後の顔の色だよ。彼らは何かにアクセスさせたくないし、所有したいだけで、それに対してお金を払わせようとしてる。

これってアマゾンと何が違うの?あっちも同じ問題だよ。あ、新しいサービス使ってるの?ログを見たい?それをするためのフレンドリーなUIが欲しい?クソだね、Cloudwatchをどうぞ。頑張って。ちなみに、この記事じゃなくて親コメントに返事してるからね。

全部が進化的に感じる。これは2018年からのマイクロソフトには完全に「普通」だよ、俺が彼らの製品(主にPower BI)を使い始めた年ね。彼らは早期リリース、早いイテレーション、ユーザーをテスターにする開発モデルを採用したんだ。だから、すべてがずっと後まで実験的に感じるのも無理はない。あの頃はPower BIを使えなかったけど、数年後には2020年くらいからかなり良くなったと思う。数年間は我慢して使い続ける必要があるね。

他の「リーダーに従う」ビジネスでもこれを見たことがあるけど、彼らは機能がちゃんと動くことを求めてるわけじゃなくて、市場のリーダーと同じようなスプレッドシートのパリティを求めてるだけ…Gitlabを見てるよ。

ユーザーに対する絶対的な軽蔑があらゆるレベルで見て取れる。もうバレバレだよ。これは数十年にわたる反競争的な行為の最終段階だね—今はもう頑張らなくてもいいみたい。いつかは誠実に競争するか、沈むかしないといけないだろうけど、すぐには起こらないだろうな。いつかはね。

10年以上Microsoftにいるけど… うん、これわかる。Cosmosっていう内部システムがあって、大量のデータをすごく早く処理するのが得意なんだ。でも、業界がSparkやその派生物に移っている間、私たちはそれを何年も放置してた。やっとAzure Data Lake Analytics(ADLA)としてリリースしたけど、サポートやプロモーションが全然ダメだった。Synapseを作ったけど、クソみたいなものだよ。今はFabricが新しいSynapseらしいけど、実際のところ、私は大規模データ処理をするために使っているシステムが5つくらいあって、Fabricはその中に入ってない。もしかしたら、6つ目になるかもしれないけどね。ジョブをオーケストレーションするための内部システムはたくさんあったけど、Azure Data Factoryが出るまで、外部にリリースしたものはほとんど使ってなかった。(公平に言うと、いくつかのチームは内部で使ってるけど、みんなが同じ方向に進んでいるわけじゃない。)セキュリティのために異なるレベルの隔離がある複数の環境を定期的に扱ってるけど、どうやって動くのか全然わからない。普通のノートパソコンとセキュアなワークステーション、2つのアカウントで動く3つのアカウントがあるけど、これらの役割を有効にするために特権アカウントの昇格をしないといけない。終わったら、早めにアクティベーションを終了する方法が見当たらないから、ただタイムアウトするのを待つしかない。これらはAzureの提供物のほんの一部だけど、Azureで使ったものはすべて、クラウドで働くのが本当に嫌になる。明るい面なんて全く見当たらない。私が思うに、Azureがこんなにお金を稼げる理由は、Microsoftが巨大で、その規模を成長に活かせるからだと思う。ここでは本当に失敗してるよ。[0] https://www.microsoft.com/en-us/research/publication/big-dat...

時々、もしAWSのエコシステムや用語、パターン、ベストプラクティスを学ぶのにかなりの時間を投資していなかったら、同じように感じるのかなって思うことがある。

利益相反の可能性:政府は、クラウド技術を審査するために一部は第三者の企業に依存しているが、その企業は評価される会社によって雇われ、報酬を受け取っている。はは。FedRAMPを初めて見たの?実際の理由は会計のためで、政府の帳簿から外すためなんだよ。