増大する中国のセキュリティリスク
マイクロソフト・エクスチェンジ・オンラインのメールボックスへの中国とみられるハッカーの侵入により政府関係者のメールが大量に洩した事件に関する報告書を米国国土安全保障省が24年に発表した3カ月後に、インサイト・グローバルの元従業員トム・クランシー氏は国防総省のホットラインに連絡し、「デジタルエスコート」のリスクについて警告している。しかし「デジタルエスコート」そのものが知られていないためか、クランシー氏の話は、国防情報システム局の広報に回され、「ご提供いただいた情報は、マネジメントに報告しました」との回答で済まされてしまっている。
マイクロソフト・エクスチェンジ・オンラインへのハッキングが「デジタルエスコート」制度の結果として起きたことならば、今後も中国によるハッキングは続くことになる。
我が国もクラウドサービスへ移行
プロパブリカの報道からわずか3日というマイクロソフトの素早い対応は、ことの重大性についてマイクロソフト自身が気づいていたからではないだろうか。
我が国にもクラウドサービスの安全性を評価するISMAP(政府情報システムのためのセキュリティ評価制度)という登録制度があり、政府が使用するクラウドサービスはISMAPリストと呼ばれるリストに掲載されたクラウドサービスから選択して使用するルールが定められている。マイクロソフトはじめアマゾンAWS、Googleクラウド、オラクルもISMAPリストに掲載されている。
気になるのはマイクロソフトが出した声明に「マイクロソフトは米国政府機関のお客様へのサポート体制を変更し、中国に拠点を置くエンジニアリングチームが国防総省のクラウドおよび関連サービスに技術支援を提供しないことを保証しました」の一文である。今回のマイクロソフトの対応が「米国政府機関のお客様」に限定されていることだ。
日本政府が使用しているマイクロソフトのクラウドサービスにも「デジタルエスコート」が採用されているのだろうか。それともFedRAMPよりもゆるいISAMPの場合は、直接中国人エンジニアが保守作業をおこなっているのだろうか。
マイクロソフトと同様に「デジタルエスコート」制度があるのかというプロパブリカの質問にアマゾンAWS、Googleクラウド、オラクルは答えていない。
「舐められてたまるか」といいたくなるのは筆者だけだろうか。
