このテクノロジー大手企業は、司法省を含む他の米国連邦政府機関の顧客をサポートするために、長年にわたりグローバルな人材に依存してきた。
Renee Dudley
Asia times
July 29, 2025
先週、マイクロソフトは、ProPublica の調査を受けて、国防総省のクラウドコンピューティングシステムを支援するために中国拠点のエンジニアリングチームを使用しないことを発表した。サイバーセキュリティの専門家は、この実践が政府をハッキングやスパイ活動にさらす可能性があると指摘していた。
しかし、国防総省だけがこのような脅威に直面していたわけではなかったことが判明した。プロパブリカが明らかにしたところによると、マイクロソフトは長年、中国拠点の従業員を含むグローバルな人材を活用し、司法省、財務省、商務省の一部を含む他の連邦政府部門のクラウドシステムを維持してきた。
この作業は、機密情報ではないものの、それでも敏感な情報を扱う「政府コミュニティクラウド」と呼ばれる環境で行われてきた。
米国政府のクラウド認証機関である連邦リスク認証管理プログラム(FRAM)は、GCCを「機密性、完全性、可用性の喪失が機関の業務、資産、または個人に重大な悪影響を及ぼす場合」の「中程度」の影響を有する情報の処理に承認している。
司法省の反トラスト局は、2022年の報告書によると、刑事および民事の調査・訴訟機能の支援にGCCを利用している。環境保護庁(EPA)と教育省の一部もGCCを利用している。
マイクロソフトは、GCCで働く外国籍のエンジニアは、国防総省で導入されていたシステムと同様の「デジタルエスコート」と呼ばれる米国拠点の職員によって監督されていると述べている。
最新のニュース中国のAI技術革新がステルス戦闘機開発を加速トランプ氏の輸出規制緩和が中国への配慮で安全保障リスクを高める
しかし、サイバーセキュリティの専門家はプロパブリカに対し、GCCへの外国の支援がスパイ活動や破壊活動の機会を提供すると指摘した。「政府データが機密指定されていない場合、その配布に害はないという誤解がある」と、元連邦政府サイバーセキュリティ当局者で現在テクノロジー企業サイルポイントの最高情報セキュリティ責任者(CISO)を務めるレックス・ブース氏は述べた。
「クラウドサービスに大量のデータが保存され、AIがそれを迅速に分析する能力があるため、非機密データでも米国利益を損なう洞察を明らかにする可能性がある」と彼は述べた。
CIAと国家安全保障局(NSA)で上級幹部を務めたハリー・コーカー氏は、外国の情報機関はGCCのシステムから収集した情報を活用して、より機密性の高い、あるいは機密扱いのシステムへと「遡上」することができると述べた。「これは、諜報機関が追求しないはずのない機会だ」と彼は述べた。
国家情報長官室は、中国を「米国政府、民間部門、および重要インフラネットワークに対する最も活発で持続的なサイバー脅威」と位置付けている。同国の法律は、当局者に広範なデータ収集権限を付与しており、専門家は、中国市民や企業が治安当局や法執行機関からの直接の要請に意味のある抵抗をすることは困難だと指摘している。
マイクロソフトは、この記事に関するインタビュー要請を拒否した。質問に対し、同社は声明を発表し、国防総省のクラウドシステムで最近行ったように、GCC向けの中国拠点のサポートを終了する方針を示した。
「マイクロソフトは先週、国防総省向け政府クラウドサービスのセキュリティ強化措置を講じた。今後、政府コミュニティクラウドを利用するすべての政府顧客に対し、同様の措置を講じてデータのセキュリティをさらに確保する」と声明は述べた。スポークスパーソンは、具体的な措置の内容について説明を拒否した。
同社はまた、今後1ヶ月間で「追加措置の必要性を評価するためのレビューを実施する」と述べた。
ProPublica が GCC を使用していることを確認した連邦政府機関は、コメントの要請に応じなかった。
マイクロソフトが中国人の従業員を米国政府にサービス提供に起用していたという最新の暴露、および同社の迅速な対応は、ワシントンで急速に拡大する炎上に油を注ぐことになるだろう。ワシントンでは、連邦議員とトランプ政権が、この大手 IT 企業のサイバーセキュリティ対策に疑問を呈し、国家安全保障上の悪影響の抑制に努めている。「中国を含むあらゆる国の外国人エンジニアは、国防総省のシステムを維持したり、アクセスしたりすることは決して許されるべきではない」と、ピート・ヘグセス国防長官は先週金曜日、X の投稿で述べている。
先週、ProPublica は、マイクロソフトが 10 年間にわたり、国防総省のコンピュータシステムの保守を、中国を拠点とする外国人労働者に依存しており、その監督は米国を拠点とするデジタルエスコートが担当していたことを明らかにした。
しかし、その監視担当者は、はるかに高度なスキルを持つ外国人の従業員を監督するための高度な技術的専門知識を持っていない場合が多く、機密性の高い情報が脆弱なままになっていることがわかった。この報道を受けて、ヘグセス氏はこの慣行の見直しを開始した。
ProPublica は、国防総省が機密データを扱う従業員に国籍要件を課していることから、マイクロソフトは同社の外国人従業員について懸念を抱いていた国防総省当局者を満足させるために、この監視体制を構築したと報じている。マイクロソフトはその後、連邦政府のクラウドコンピューティング事業を受注し、決算報告で「政府契約から多額の収益を得ている」と発表している。
マイクロソフトは、国防総省向けの中国ベースのテクニカルサポートの利用を中止すると発表しているが、それを何に置き換えるか、クラウドサポートは米国外のエンジニアが担当するかどうかなど、質問には回答を拒否している。また、デジタルエスコートの利用を継続するかどうかについても、同社は回答を拒否している。
マイクロソフトは今週、ProPublicaに対し、GCCでも同様のエスコート契約が使用されていたことを確認した。この状況は、一部の元政府高官やサイバーセキュリティ専門家を驚かせた。「ますます複雑化するデジタル世界において、クラウド製品のユーザーは、自分のデータがどのように、誰によって処理されているかを知る権利がある」とブース氏は述べた。「サイバーセキュリティ業界は透明性に依存している」
マイクロソフトは、GCCのエスコート契約の詳細を、連邦政府に提出したFedRAMPクラウド認証プロセスの一部として開示したと述べた。同社は、これらの文書をProPublicaに提供することを拒否し、公開によるセキュリティリスクを理由に挙げた。また、これらの文書に中国拠点のサポート要員が具体的に言及されていたかどうかについてもコメントを避けた。
ProPublicaは、連邦政府向けの他の主要クラウドサービスプロバイダーに、中国拠点のサポートを利用しているかどうかを問い合わせた。アマゾン・ウェブ・サービスのスポークスパーソンは声明で、「AWS は連邦政府の契約をサポートするために中国の人員を使用していない」と述べた。
グーグルのスポークスパーソンは声明で、「グーグル・パブリック・セクターにはデジタルエスコートプログラムはない。代わりに、機密性の高いシステムは、米国政府の所在地、国籍、セキュリティクリアランスの要件を満たす、完全に訓練を受けた人員によってサポートされている」と述べた。オラクルは、「米国連邦政府の顧客に対して中国のサポートは一切使用していない」と述べた。
