実態は外国人によるシステム保守
マイクロソフトの主張では、教育やコンプライアンス研修を受けた「デジタルエスコート」が実際にプログラムを置き換えているのでセキュリティリスクは問題ないとのことだが、国防総省のクラウドシステムの保守自体は、インサイト・グローバル(Insight Global)という会社に下請させている。「デジタルエスコート」の採用もインサイト・グローバルが行っており、時給はわずか18ドルからというものだ。
匿名を条件にしたインサイト・グローバルの従業員の話によると、ほとんどの「デジタルエスコート」は、高度なスキルを持つ外国人エンジニアを監視できるほどの技術的専門知識を持ち合わせておらず、中にはプログラムを書いた経験もほとんどない元軍人で、最低賃金をわずかに上回る賃金しか支払われていない者もいるそうだ。つまり外国人エンジニアから上がってきたコードをクラウドシステムにそのままコピーして貼り付けているだけというのが実態らしい。専門知識を研修制度だけで習得させるのは困難で、結果的にコピペが彼らの作業になってしまっているのだ。
「人々がこれらの仕事に就いているのはソフトウェアエンジニアだからではなく、セキュリティクリアランスをパスしているからだ」とあるインサイト・グローバルの「デジタルエスコート」は証言している。
セキュリティリスクよりも利益重視の姿勢
マイクロソフトは「デジタルエスコート」という制度を導入していることを国防総省に説明しているとしているが、プロパブリカの取材では、国防総省のIT部門でさえ知られていないようで、国防情報システム局の広報担当者デヴィン・キング氏は「文字通り誰もこのことについて何も知らないようです。これからどうしたらいいのかわかりません」と語っている。
国防総省は、独自のガイドラインで、「最も機密性の高いデータを扱う職員は、米国市民、米国国籍保有者、または永住者であること、またセキュリティ要件には「外国人はそのようなアクセス権を有してはならない」と定めている。にもかかわらず「デジタルエスコート」はどのような経緯で導入されたのか、それには連邦政府のクラウドへの大きな期待が影響している。
連邦政府はクラウドテクノロジーの採用によって、効率性やコストの削減を実現させると信じていたのだ。クラウドへの移行は、政府がシステムの保守とアクセスに関する権限の一部をマイクロソフトなどの企業に移譲することになる。そのために連邦政府は2011年にFedRAMP(連邦政府リスク・許可管理プログラム)という制度を発足させ、政府が採用するクラウドサービスを販売したい企業にはセキュリティクリアランスを求めたのだ。ところがその連邦政府の要求を満たすために米国市民を直接雇用すると人件費が増大し、クラウド事業の採算が悪くなるのだ。
そこで発案されたのが「デジタルエスコート」という仕組みだ。マイクロソフトのサイバーセキュリティ戦略に関わっていた元従業員は、セキュリティの観点からリスクが高すぎるとこの構想に反対したが「反対する人は残らなかった」とプロパブリカの取材に答えている。
