マイクロソフトのクラウド、3度目のセキュリティ警告

政府機関が使うクラウドは、本当に安全なのか。

2024年末、米連邦政府のサイバーセキュリティ評価機関は、マイクロソフトの主要クラウドサービスに対して厳しい判断を下しました。評価報告書によれば、同社の「適切で詳細なセキュリティ文書の欠如」が原因で、審査担当者は「システム全体のセキュリティ態勢を評価する自信が持てない」という結論に至ったとされています。これは、いわば「採点できないほど不透明だ」という異例の評価です。

そして、これは1度目でも2度目でもありません。3度目の警告です。

ここまでの経緯：繰り返されるセキュリティ問題

マイクロソフトは近年、国家レベルのサイバー攻撃の標的となり続けています。中国系ハッカー集団「Storm-0558」による2023年の攻撃では、米国務省を含む政府機関の電子メールが侵害されました。さらにロシア系グループ「Midnight Blizzard」は2024年初頭、マイクロソフト幹部のメールアカウントに侵入し、同社自身のソースコードの一部にもアクセスしたとされています。

こうした一連の事態を受け、米サイバーセキュリティ・インフラセキュリティ庁（CISA）や連邦政府の評価機関は、マイクロソフトのセキュリティ管理体制に繰り返し懸念を示してきました。今回の「3度目」の警告は、その積み重ねの結果です。

マイクロソフトはこれに対し、「セキュア・フューチャー・イニシアティブ」と呼ぶ社内改革プログラムを立ち上げ、セキュリティ文化の刷新を約束しています。しかし政府評価機関の目には、その進捗は依然として不十分に映っているようです。

広告

広告掲載について

[email protected]

広告

なぜ今、これが重要なのか

問題の核心は、マイクロソフトのクラウドサービス（AzureやMicrosoft 365）が、米国政府だけでなく世界中の政府機関・大企業・重要インフラに深く組み込まれているという現実にあります。日本でも、デジタル庁が推進するガバメントクラウドの有力候補としてAzureが採用されており、ソニー、トヨタ、NTTなど主要企業も同社のサービスを幅広く活用しています。

つまり、マイクロソフトのセキュリティ問題は、遠い国の話ではありません。日本の行政サービス、企業の機密データ、さらには社会インフラの安全性と直接つながっています。

また、タイミングも見逃せません。米中対立が深まる中、クラウドインフラへのサイバー攻撃は「見えない地政学戦争」の最前線となっています。国家が支援するハッカー集団が、民間企業のクラウドを経由して政府情報にアクセスしようとする手口は、もはや例外ではなく常態となりつつあります。

各ステークホルダーの立場

米国政府の立場は複雑です。一方ではマイクロソフトのサービスへの依存度が非常に高く、簡単に乗り換えられません。他方、セキュリティ上の懸念を放置することも許されない。「厳しく警告しながらも使い続ける」という矛盾した状況が続いています。

マイクロソフトにとっては、政府との契約は巨大な収益源であり、信頼の失墜は事業の根幹を揺るがします。同社が改革プログラムを打ち出したのも、商業的な必要性と切り離せません。

一方、Google CloudやAmazon Web Services（AWS）といった競合他社は、この状況を静かに注視しているでしょう。政府調達市場でのシェア拡大のチャンスが生まれているからです。

日本企業の視点では、「信頼できるクラウドベンダーとは何か」という問いが改めて浮上します。国産クラウドの育成を求める声も、こうした文脈の中で強まる可能性があります。