「クソの山」——米政府が下したMicrosoftクラウドへの評価

米連邦政府のサイバーセキュリティ評価チームが、Microsoftのクラウドサービスに「適切なセキュリティ文書が欠如している」と厳しく批判。日本企業への影響と、クラウド依存時代のリスクを考察します。

政府のシステムを守るはずのセキュリティ評価官が、報告書にこう書き残しました。「このパッケージはクソの山だ」——これは映画のセリフではなく、2024年末に米国の連邦政府内部で作成された実際の報告書の一節です。

何が起きたのか

2024年末、米連邦政府のサイバーセキュリティ評価チームは、Microsoftの主要なクラウドコンピューティングサービスに対する評価を実施しました。その結論は厳しいものでした。調査報告書（米メディアProPublicaが入手・報道）によると、Microsoftの「適切な詳細セキュリティ文書の欠如」が原因で、評価チームは「システム全体のセキュリティ状況を評価することへの信頼が持てない」状態に陥ったとされています。

評価チームのメンバーの一人は、内部文書の中でより率直な表現を使いました。「このパッケージはクソの山だ」という言葉は、専門家集団の間に積み重なった不満と懸念を如実に示しています。

これは単なる官僚的な不満ではありません。Microsoftのクラウドサービス（AzureやMicrosoft 365など）は、米国政府機関の中枢システムに深く組み込まれています。国防総省、財務省、そして多くの連邦機関が日々の業務でこれらのサービスに依存しているのです。

なぜ今、この問題が重要なのか

この評価が出た背景には、Microsoftが近年経験してきた一連のセキュリティインシデントがあります。2023年には中国系とされるハッカー集団がMicrosoftのメールシステムを通じて米国務省などの電子メールに不正アクセスし、2024年にはロシア系ハッカーがMicrosoftの幹部メールアカウントに侵入したことが明らかになりました。

これらの事件を受けて、米サイバーセキュリティ・インフラセキュリティ庁（CISA）はMicrosoftのセキュリティ文化そのものを問題視するレポートを公表。MicrosoftのCEO Satya Nadella氏は「セキュリティを最優先事項にする」と宣言せざるを得ない状況に追い込まれました。

しかし今回の内部評価報告書は、その宣言から時間が経った後でも、現場レベルでの改善が十分でないことを示唆しています。口では「セキュリティ最優先」と言いながら、実際の文書整備や透明性の確保が追いついていない——そのギャップが評価官の怒りを招いたと見られます。

広告掲載について

[email protected]

日本企業・日本社会への影響

ここで日本の読者が気になるのは、「では日本はどうなのか」という点でしょう。

日本においても、Microsoftのクラウドサービスへの依存度は急速に高まっています。ソニー、トヨタ、NTTをはじめとする大企業から中小企業まで、Microsoft 365やAzureを基幹業務に採用するケースは珍しくありません。さらに日本政府も、デジタル庁を中心にクラウドファーストの方針を推進しており、政府システムへのクラウド導入が加速しています。

問題は、セキュリティ文書の透明性です。米国の評価チームでさえ「文書が不十分で評価できない」と判断したサービスを、日本の企業や政府機関はどの程度の根拠を持って「安全だ」と判断しているのでしょうか。日本では、大手ベンダーへの信頼を前提とした調達慣行が根強く残っており、独自の詳細なセキュリティ評価を行う体制が整っていないケースも少なくありません。

また、日本特有の文脈として、高度なサイバー攻撃への脆弱性も見逃せません。2021年にはJAXA（宇宙航空研究開発機構）や防衛関連企業が中国系ハッカーの標的になったことが明らかになり、2023年には名古屋港のシステムがランサムウェア攻撃を受けました。クラウドサービスの基盤となるセキュリティが揺らぐことは、日本の重要インフラにとっても無縁ではありません。

一方で、「だからといってMicrosoftを使うのをやめられるか」という現実的な問いもあります。代替となりうる国産クラウドサービスの整備は道半ばであり、完全な脱Microsoftは現時点では非現実的です。重要なのは、依存しながらもリスクを正確に把握し、適切な対策を講じる姿勢ではないでしょうか。