Home > セキュリティとコンプライアンスブログ > サイバーセキュリティー・リスク管理 > 連邦政府がクラウドセキュリティプロセスの破綻を認めた

連邦政府がクラウドセキュリティプロセスの破綻を認めた

by Paul Sechser updated 3月 24, 2026 サイバーセキュリティー・リスク管理

Reading Time: 9 minutes

2026年3月18日、ProPublicaは、FedRAMP認証をクラウドセキュリティの信頼の証として頼りにしているすべての組織に警鐘を鳴らすべき調査報道を公開しました。内容は明快です。連邦政府のサイバーセキュリティ審査官は、政府が扱う最も機密性の高い非分類情報向けに設計されたMicrosoftのクラウドスイート「GCC High」内で、同社がどのように機密政府データを保護しているかを検証しようと、ほぼ5年にわたり取り組みましたが、結局検証できませんでした。

Table of Contents

主なポイント

FedRAMPは、ほぼ5年間も未解決のセキュリティ懸念があったにもかかわらず、Microsoft GCC Highを認証しました。なぜなら、この製品はすでに連邦政府全体に深く浸透しており、拒否できなかったからです。連邦審査官は480時間、18回の技術的な詳細調査を行いましたが、最終的に製品の全体的なセキュリティ体制に「信頼が持てない」と結論付けました。
Microsoftは、FedRAMPに対し、機密政府データを転送中にどのように暗号化しているかを示せませんでした。これはAmazonやGoogleが日常的に文書化している基本要件です。審査官はExchange Onlineという1つのサービスすら十分に確認できないまま、審査は頓挫しました。
GCC Highを独立評価するために雇われた第三者企業は、FedRAMPに対し、製品を完全に評価できないと非公式に伝えていましたが、公式報告書ではその事実を伏せていました。 CoalfireとKratosの両社は、クライアントに文書化しない懸念を裏ルートでFedRAMPに伝えていました。
DOGE（政府効率局）の予算削減により、FedRAMPは記録的なスピードで認証を発行することに集中する約20数名のスタッフ体制に縮小され、実質的なセキュリティ審査が行えなくなりました。プログラムの年間予算は1,000万ドルと過去10年で最低水準となり、各省庁がクラウドベースのAIツール導入を加速させる中でのことです。
コンプライアンスラベルはセキュリティではありません。組織には、誰が証明書を発行したかに関わらず、検証可能かつ継続的な保護を提供するクラウドアーキテクチャが必要です。 Kiteworksの2026年データセキュリティ＆コンプライアンスリスク予測によると、政府機関の38%が依然として手動または定期的なコンプライアンスプロセスに頼っています。

それでも認証は下りました。質問が解決したからでも、審査が完了したからでもありません。司法省、エネルギー省、防衛産業基盤にすでに深く浸透しており、拒否できなかったからです。

FedRAMP審査チームの一員は、Microsoftが提出したセキュリティ文書を、サイバーセキュリティの専門知識がなくても理解できる言葉で要約しました。別の審査官は司法省に対し、残された未知のリスクを定量化することすらできないと伝えました。元NSAのコンピュータサイエンティストで、30年にわたり政府に勤務したTony Sager氏は、FedRAMP認証の実態について「これはセキュリティではない。これはセキュリティの見せかけだ」と断言しています。

Microsoftが示せなかった、あるいは示さなかったこと

根本的な問題は一見単純です。FedRAMPはデータフローダイアグラム、つまりデータがA地点からB地点へどのように移動し、その途中でどのように暗号化されるかを示す技術図を求めました。データがクラウドインフラを通過する際—サーバー、ロードバランサー、ストレージ層を経由する際—転送中の暗号化は傍受を防ぎます。この暗号化を検証するには、データの全経路を確認する必要があります。

Microsoftはこの要求を「困難すぎる」と主張しました。FedRAMPは妥協し、まずはExchange Onlineという1サービスから始めることを提案。Microsoftは暗号化戦略に関するホワイトペーパーを提出しましたが、実際にどこで暗号化・復号が行われているかの具体的な詳細は省かれていました。その結果、FedRAMPは保護が本当に行われているかどうかを検証できませんでした。

他の主要クラウドプロバイダー—AmazonやGoogleなど—は、このレベルの文書を日常的に提供しています。2026年CrowdStrikeグローバル脅威レポートは、82%の検知がマルウェアを伴わないこと、つまり攻撃者がID悪用や認証情報窃取で従来の防御を回避していることを明らかにしています。このような環境では、暗号化やデータフローの可視性は「あると良い」レベルのものではなく、最後の防衛線です。

Microsoftの技術に詳しい関係者によれば、問題はアーキテクチャにあります。同社のクラウドサービスは、数十年前のレガシーコードの上に構築されています。あるFedRAMP審査官は、データ経路が複雑に絡み合い、ワシントンからニューヨークへ直行するはずのデータがバスやフェリー、飛行機を乗り継いで移動しているようなものだと例えました。暗号化が適切でなければ、経路が増えるごとに傍受のリスクも高まります。

誰も語らないアセッサー（評価者）の利益相反

FedRAMPには構造的な問題が内在しており、GCC Highの一件で無視できなくなりました。クラウド製品を独立評価するはずの第三者評価企業は、クラウド企業自身によって雇われ、報酬を受け取っています。

2020年、Microsoftの評価者であるCoalfireとKratosの両社は、GCC Highを完全に評価するための情報を得られなかったと、FedRAMPに非公式ルートで伝えていましたが、公式報告書には記載しませんでした。FedRAMPは最終的に、Microsoftに十分に異議を唱えなかったとしてKratosに是正措置計画を課しました。

これは、建物の検査官が開発業者から報酬を受け取り、基礎に亀裂を見つけても市にこっそり伝えるだけで、許可証にはサインするのと同じ構造的問題です。2026年Black Kiteサードパーティ侵害レポートは、この構造がもたらす大規模なリスクを数値化しています。最も接続性の高い50社のサードパーティベンダーのうち、70%がCISA KEVリストの脆弱性を抱え、84%がCVSSスコア8以上の重大な脆弱性を持ち、62%が企業認証情報をスティーラーログで流出させていました。高いコンプライアンススコアと深刻なセキュリティギャップが共存し、評価モデル自体がその一因となっています。

世界経済フォーラムの2026年グローバルサイバーセキュリティ展望でも、サプライチェーンリスク管理が動的なプロセスではなく、コンプライアンスのチェックリストとして扱われていることが確認されています。サプライチェーンパートナーとサイバーインシデントのシミュレーションや復旧演習を実施している組織はわずか27%、サプライチェーンエコシステムを包括的に把握しているのは33%にとどまります。評価モデルは、権威あるように見える認証を生み出しますが、実際に必要な証拠の深さを求めません。このことが現場の油断につながっています。

「大きすぎて潰せない」が「深く浸透しすぎて拒否できない」に

GCC Highの事例は、単なる1製品の問題ではありません。クラウド導入がセキュリティ検証を上回ったときに何が起きるかを示しています。

2020年初頭、司法省のMelinda Rogers氏がGCC Highを認証した際、この製品はFedRAMP Marketplaceに「審査中」として掲載されました。この掲載は、連邦政府全体の調達チームが利用する政府ウェブサイト上で、暗黙の推奨として機能しました。他省庁も導入し、国防総省は請負業者にFedRAMP基準の遵守を求め、MicrosoftはGCC HighをBoeingなどの防衛企業に「要件を満たす」として販売しましたが、完全な認証は得られていませんでした。

FedRAMPの審査チームが製品に根本的な問題があると結論付けた時点で、導入を停止すれば複数の連邦機関や多数の防衛請負業者に混乱が生じる状況でした。FedRAMP自身の要約でも「認証しない場合、すでにGCC-Hを利用している複数の機関に影響が及ぶ」と現実を認めています。そこで条件付きで認証し、「自己責任で」という注意書きによって責任を各機関に転嫁しました。

Kiteworksの2025年MFT調査レポートによると、72%の組織がベンダーセキュリティを徹底的に評価していると報告していますが、インシデント発生率は59%に上ります。徹底的な評価を行っても、評価自体が不完全な情報に基づいていれば、セキュリティギャップは埋まりません。そして、ベンダーが大きすぎて拒否できないほど浸透している場合、評価は形骸化します。

DOGEの予算削減が状況をさらに悪化

FedRAMPプロセスがすでに逼迫していた中、政府効率局（DOGE）の改革により、構造的に機能不全となりました。プログラムのスタッフは大幅に削減され、予算は1,000万ドルにカット—過去10年で最低水準—残った20数名の職員は記録的なスピードで認証を発行することに集中するよう指示されました。

Kiteworksの2026年データセキュリティ＆コンプライアンスリスク予測によれば、政府機関では正式なガバナンスモデルの導入率（86%）と自動化されたコンプライアンス強制（62%）の間に24ポイントのギャップがあります。これは、文書化はされているものの、それを実行するインフラが存在しないことを意味します。DOGEの予算削減後のFedRAMPは、この問題の制度的な縮図です。プログラムは存在しても、実質的な業務遂行能力は空洞化しています。

この問題はMicrosoftだけにとどまりません。連邦政府がクラウドベースのAIツール—膨大な機密データへのアクセスを必要とするツール—の導入を加速させる中、本来クラウドセキュリティを検証すべきプログラムは、これまで以上にリソースも専門知識も不足し、迅速な認証発行のプレッシャーにさらされています。バイデン政権はFedRAMPに「厳格な審査を実施できる能力が必要」とする覚書を発出しましたが、現政権のGSAはFedRAMPの役割を「クラウドサービスが十分に安全かどうかを判断することではなく、各機関がリスク判断を行うための十分な情報を提供すること」と位置付けました。これは目標の大幅な引き下げです。そして多くの機関には、そのギャップを埋めるスタッフがいません。

全体像を完成させる「回転ドア」現象

ProPublicaの調査は、もう一つ注目すべき事実を明らかにしました。政府とMicrosoft間で主要意思決定者が行き来していることです。GCC Highを認証し、その後Microsoftのリエゾンと共にFedRAMPに認証を促す会議に同席した司法省のMelinda Rogers氏は、2025年にMicrosoftに入社。政府契約業者のサイバーセキュリティ詐欺責任追及イニシアチブを立ち上げた司法副長官のLisa Monaco氏も2025年1月に政府を離れ、Microsoftのグローバルアフェアーズ社長に就任しました。

Microsoftは両名の採用がすべて倫理規定に準拠していると述べています。それは事実かもしれません。しかし、FedRAMPが米国政府に対する2つの大規模サイバー攻撃の中心となった企業に5年間も配慮を示した事実と相まって、より広範な構造的問題を浮き彫りにしています。評価される側、評価する側、ルールを執行する側が同じエコシステムの一部なのです。この環境で独立性を保つには、善意だけでなく構造的なセーフガードが必要です。

認証よりアーキテクチャ：Kiteworksの連邦クラウドセキュリティへのアプローチ

GCC Highの事例は、組織がコンプライアンス認証をセキュリティの代替とみなした場合に何が起きるかを示しています。Kiteworksは真逆のアプローチを取ります。まずセキュリティアーキテクチャを構築し、そのコントロールからコンプライアンス証拠を導き出します。

Kiteworksは2017年6月以来、9年近く連続してFedRAMP Moderate認証を維持しています。Secure Gov CloudはFedRAMP High In Processに進み、現役の政府機関パートナーがHighインパクトレベルでの運用認可（ATO）審査を進めています。2017年からModerate、2025年2月にHigh Ready、2026年にHigh In Processと進展しており、これはマーケティングではなく実績です。

GCC Highの事例で暗号化文書やデータフローの可視性にギャップが露呈したのに対し、Kiteworksは、ネットワークファイアウォール、Webアプリケーションファイアウォール、侵入検知などのセキュリティコントロールを組み込んだシングルテナントの強化仮想アプライアンスを提供し、顧客による設定は不要です。保存時の二重暗号化はファイルレベルとディスクレベルで別々の鍵を使用。FIPS 140-3認証済み暗号モジュールは、Kiteworks調査データによれば政府回答者の69%、金融サービス回答者の59%が求める基準を満たしています。すべての機密データ交換—メール、ファイル共有、SFTP、MFT、データフォーム、API—は、スロットリングや遅延なく、完全かつリアルタイムの監査証跡を生成します。

このアーキテクチャの違いは重要です。MicrosoftのFedRAMP審査官が「中身が見えない」と評したシステムに対し、Kiteworksはあらゆる交換チャネルのすべてのデータフローを完全に可視化します。第三者評価者が全体像を把握できなかったのに対し、Kiteworksの専用コンプライアンスダッシュボードは、1つのプラットフォームから14以上の規制フレームワークへのコントロールのマッピングを実現します。

FedRAMPの自己改革を待たずに今すぐ組織が取るべきこと

まず、FedRAMP認証をセキュリティ保証とみなすのをやめましょう。これはリスク評価の1要素に過ぎず、結論ではありません。機密データを扱うクラウドプロバイダーは、暗号化アーキテクチャ、データフローの可視性、監査証跡の完全性を、セキュリティチームが独自に検証できるレベルで示すべきです。

次に、クラウドプロバイダーにデータフロー文書の提出を求めましょう。Microsoftが5年かけても提供できなかったものをAmazonやGoogleが日常的に提出していた事実は、ベンダーのセキュリティ体制評価のあり方を見直すべき理由です。転送中・保存時の暗号化がどのように行われているか、正確に示せないプロバイダーは、議論の余地ではなく「リスクあり」と判断しましょう。

三つ目に、アセッサー（評価者）との関係を監査しましょう。Coalfire、Kratos、FedRAMP間の裏ルートのやり取りは、構造的な利益相反を示しています。世界経済フォーラムによれば、サプライチェーンエコシステムを包括的に把握して脅威露出を理解している組織はわずか33%。サードパーティリスク管理プログラムには、ベンダー自身の評価者に依存しない独立した検証を含めるべきです。

四つ目に、クラウドアーキテクチャのベンダー集中リスクを評価しましょう。2026年Black Kiteサードパーティ侵害レポートは、約26,000社に影響を与えた136件の第三者侵害事例を特定しています。GCC Highのように、1社のクラウドプロバイダーが拒否できないほど浸透すれば、そのベンダーが抱えるすべてのセキュリティギャップを組織も引き継ぐことになります。

五つ目に、定期的な評価よりも継続的なコンプライアンス監視を優先しましょう。Kiteworksの予測データによれば、25%の組織が依然として手動または定期的なコンプライアンスを主な手法としています。2026年CrowdStrikeグローバル脅威レポートによると、eCrimeのブレイクアウトタイムは平均29分。四半期ごとのコンプライアンスレビューは時代遅れです。

GCC Highの事例がコンプライアンスとセキュリティのギャップを生んだわけではありません。そのギャップを否定できなくしただけです。認証ラベルよりもアーキテクチャ的な証拠を求めて行動する組織は、次の調査報道を待つよりも、根本的に有利な立場に立てます。

よくある質問

FedRAMP認証はセキュリティ保証ではなく、構造的な制約を持つ標準化された審査プロセスです。ProPublicaの調査は、未解決のセキュリティ課題があっても認証が下りる場合があることを示しました。連邦機関はFedRAMPをリスク判断の一要素として扱い、暗号化、データフローアーキテクチャ、監査証跡の完全性を独自に検証すべきです。

GCC Highを利用する防衛請負業者は、FedRAMPカバーレポートの条件を確認し、自社のCMMC要件が完全に満たされているか評価してください。Kiteworks/Coalfireの調査データによれば、防衛産業基盤（DIB）組織のうちCMMC対応済みと考えるのは46%にとどまり、62%が十分なガバナンスコントロールを欠いています。クラウド環境がCMMCレベル2で求められる暗号化、ログ、アクセス制御を独自に検証してください。

データを取り扱うすべてのサービスで、どこで暗号化・復号が行われているかを正確に示すデータフローダイアグラムを要求してください。GCC Highの事例では、Microsoftは5年かけても1サービス分すら提出できませんでしたが、AmazonやGoogleは日常的に提出しています。2026年Thalesデータ脅威レポートによれば、完全なデータ所在の可視性を持つ組織は33%にすぎません。クラウドプロバイダーと同じ「死角」を共有しないようにしましょう。

ベンダーが評価者に報酬を支払うモデルは、GCC Highの事例が示した通り、根本的な利益相反を生みます。評価者が裏ルートで懸念を伝えつつ、公式報告書は問題なしとするケースもあります。2026年Black Kiteサードパーティ侵害レポートでは、監視対象組織の53.77%が高いサイバーグレードを持ちながら重大な脆弱性を抱えていました。ベンダー提供の評価に加え、独立した技術検証と継続的な監視を補完してください。

GCC Highの調査は、マルチテナントアーキテクチャの複雑さがコアなセキュリティリスクであることを浮き彫りにしています。FedRAMP審査官はMicrosoftのデータ経路を「不透明で検証困難」と表現しました。Kiteworksのようなシングルテナントアーキテクチャは、テナント間の脆弱性露出を排除し、データフローの完全な可視化を提供。暗号化が「どこかで行われている」というベンダーの説明に頼ることなく、検証可能なセキュリティを実現します。