世界を動かす技術を、日本語で。

連邦サイバー専門家がマイクロソフトのクラウドを「クソの山」と呼ぶも、承認した

2026年3月18日原文(propublica.org)

概要

  • 米連邦政府は FedRAMP プログラムでクラウド導入を推進
  • MicrosoftのGCC High は深刻なセキュリティ懸念が指摘されつつも承認
  • 第三者評価機関の 利益相反 リスクが存在
  • FedRAMPのリソース不足と 形骸化 した審査体制
  • 政府機関や防衛産業で リスク拡大 の懸念

FedRAMPと“Cloud First”政策の背景

  • オバマ政権 の「Cloud First」政策により、連邦政府のクラウド移行推進
  • クラウドサービスのセキュリティ確保を目的に FedRAMP 創設
  • FedRAMPは「一度の審査で複数利用」を目指し、調達効率化を図る仕組み
  • しかし、 審査体制の人員不足 と申請殺到により承認遅延が常態化
  • 各省庁が独自に審査を行う「 Agency Path」が多用される現状

Microsoft GCC Highのセキュリティ問題

  • FedRAMP は2020年以降、Microsoftに対し暗号化方法の詳細説明を要求
  • Microsoftは 部分的な情報 しか提出せず、審査が5年近く膠着
  • 審査中にも関わらず、GCC Highは 政府機関や防衛産業で導入拡大
  • 2024年、FedRAMPは「審査が不十分だが既に普及している」ことを理由に 承認
  • 政府の最重要情報を扱うシステムに対する セキュリティ不信 が拡大

利益相反と審査の形骸化

  • FedRAMPの審査には 第三者企業 が関与するが、評価対象企業から報酬を受ける構造
  • 予算削減でFedRAMPの 人員・予算が大幅減少
  • 実質的に 業界の意向に従う「ゴム印」 状態との指摘
  • AIツールなど新技術導入に伴う リスク増大 の懸念

Microsoftと政府契約の透明性問題

  • Microsoftは 中国拠点エンジニア の使用を国防総省に報告せず
  • 国防総省は「外国人アクセス禁止」規定違反の可能性を調査中
  • ProPublica報道後、Microsoftは 中国拠点エンジニアの利用停止 を発表
  • Microsoftは「包括的なセキュリティ対策を実施」と主張

FedRAMPの今後と政府の対応

  • FedRAMPは「 統治体制の強化」を主張し、運用改善をアピール
  • しかし年間予算は 過去10年で最低 の約1,000万ドル
  • 政府内では FedRAMPの実効性・信頼性低下 への危機感が拡大
  • セキュリティ専門家からは「 セキュリティ劇場」との厳しい批判

まとめ

  • FedRAMPによる クラウドサービス審査の限界と形骸化
  • Microsoft GCC Highを巡る 透明性・安全性への重大な疑念
  • 連邦政府の サイバーセキュリティ体制の抜本的見直し の必要性

Hackerたちの意見

[...]連邦機関がレビュー中にこの製品を導入できるようになったおかげで、GCC Highは政府や防衛産業全体に広がったんだよね。2024年末には、FedRAMPのレビューチームは、技術を承認せざるを得ないと結論づけたんだ。質問が解決したわけでも、レビューが完了したわけでもなく、主に「Microsoftの製品がワシントン全体で使われているから」という理由でね。これが問題の核心みたいだね。「分析中にツールが使える」と「分析には時間がかかる」の組み合わせが、拒否のハードルを「このツールは安全か?」から「このツールが危険すぎて、他の政府機関と争う覚悟があるか?」にシフトさせてる。FedRAMPを批判するつもりはないけど、適切なセキュリティレビューには時間がかかるよね。特にベンダーと関わるとさらに時間がかかるだろうし。

だからこそ、こういう企業ベンダーはどんな手を使ってでも足がかりを得たいんだよね。最初に根を下ろしてしまえば、移行するのが不可能になるって知ってるから。顧客からのコスト上限ゼロのタダの金みたいなもんだし。

おそらく、要件がMicrosoftのクラウドだけに合うように書かれてたんだろうね。だからペンタゴンには安全なものじゃなくてWindowsがあるんだ。

FedRAMPにGCC Highの承認を圧力をかけた司法省のCIOが、翌年にMicrosoftに雇われたんだって。これって、最初から承認を無効にすべきじゃないのかな?

最近Entra IDを使ってみたけど、MFAを強制する方法が12通り、ユーザーを無効にする方法が20通り、ユーザーを認証する方法が4通り、条件付きアクセスの設定に50の変数やテンプレートがあるんだ。自分好みにカスタマイズできるんだけど、設定した後、同僚たちがログインできなくなった。これが組織を守る方法の一つだね。

それがマイクロソフトだよ。何千もの機能があるけど、どれも本来の通りには動かないんだよね。

それをやる方法はいくつかあるけど、アクセスできないSharePointの深いところにあるドキュメントに書いてあるんだよね。

うちも同じ経験だよ。で、毎週のエントラIDの統計が良いとか悪いとか、めっちゃメールが来るんだけど、そのメールをオプトアウトできないんだよね。

こっちも同じだよ、でもMinecraftとXbox Oneで。どうしてあんなのが市場シェア持ってるのか理解できない。

マイクロソフトのSSOログインフローは、全ての中で一番バグが多いと思う。問題が起きるのはこれだけだもん。なんでこんなにリダイレクトが多いの?「次回から自動的にログイン」のチェックボックスはどうして全然機能しないの?

問題は、現代のマイクロソフトが同時に三つの矛盾したことをやってることだね。 - FBの「速く動いて壊す」ってやつ。常に新しいライブラリを立ち上げてる。 - リーナスの「ユーザースペースを壊さない」っていう、後方互換性への大きなコミットメント。 - 使われなくなった製品を、実質的に何十年も放置されるまで非推奨にしない。これらの組み合わせが、すべてのMS製品を重複するAPIの迷路にしていて、どれが本当に良いものかのガイダンスがない。中には放置されたゴミもあれば、新しくて未完成なものもあるし、両方の特性を持つものもある。どれがどれかなんて、専門家でも間違えることがあるから、分からないんだよね。

その後、Microsoftに雇われた人たちとの利害の衝突がこんなに多いのはちょっと狂ってるよね。

Hacker Newsで議論の続きを見る