米国クラウドサポート主権は、政府・国防総省・航空宇宙分野のコンプライアンスにおいて外国籍者の関与を排除します。
米国クラウドサポート主権は、政府・国防総省・航空宇宙分野のコンプライアンスにおいて外国人の関与を排除することを保証します
米国クラウドにおける主権保護は、連邦政府・州政府・地方政府・国防総省・航空宇宙産業向けのコンプライアンスにおいて、全米市民向けマイクロソフトサポートを 保証します。主権保護により、安全なITシステムへの外国人のアクセスを排除し、不要なリスクを回避しつつ、全てのMSFTテクノロジーをサポートします。
対象者:公共部門の契約・調達 | 政府、国防総省、航空宇宙業界のIT幹部
不必要なリスク
マイクロソフトのプレミア/統合サポートの大部分は外部委託され、外国人によって提供されている。多くの連邦政府機関、防衛関連企業、航空宇宙企業にとって、これはデータの不正流出、ランサムウェア、スパイ活動の不要なリスクをもたらす。
「外国籍者を米国(USA)の技術サポート供給網に組み入れることは無責任であり、我々の知的財産と国家安全保障に不必要なリスクをもたらす。」
—ロバート・E・ラミア4世、創業者、US CLOUD
マイクロソフトは、連邦政府向けクラウド顧客のITプロジェクト向けに、超高額料金で利用できるセキュリティクリアランス保持の指定サポートエンジニア(DSE)を限定的に確保しています。ただし、MSFTは契約上、すべてのプレミア/ユニファイドサポートチケットを米国市民が対応することを保証せず、多くの政府機関や請負業者がコンプライアンス違反に陥る事態を招いています。幸い、これらの機関は現在、米国クラウドを活用することでMSFTサポートコストを削減し、優れたサポートを受けることが可能になりました。
完全性が損なわれた
政府、国防総省、または航空宇宙分野のITシステムにおいては、セキュリティが最優先事項である。
前述の通り、マイクロソフトは外国籍の従業員が政府機関の顧客に対してマイクロソフトのサポートサービスを提供しないことを保証できません。2019年12月には大規模な マイクロソフトのサポートデータ侵害 により、数千件のマイクロソフト プレミア サポート顧客のシステム情報、ログ、チケットが流出しました。このデータ漏洩から得られたシステム情報の一部が、2021年に発生した複数の注目すべきマイクロソフトへのハッキング攻撃の成功率を高めた可能性は十分にあります。
公平を期すために言えば、マイクロソフトはプレミア/ユニファイドサポートの大部分を海外にアウトソーシングしているため、今回のプレミアサポートデータ漏洩はマイクロソフト本体ではなく、海外のアウトソーシングパートナーによって引き起こされた可能性が高い。マイクロソフトのプレミアサポートデータ漏洩から得られた主な教訓は3つある:
- 侵害されたサポートデータベースは暗号化されていなかった(マイクロソフトのプロとは思えない)。
- 5つのサポートデータベースはマルチテナントのAzureパブリッククラウド上に存在した(リージョンは非公開;米国外の可能性あり?)。
- サポートデータベースは複数年にわたるデータを制限するために削除されませんでした。(2005-2019年分が公開された状態)
サポートの優位性
国防総省は、陸・空・海・宇宙・サイバー領域における軍事的優位性について明確な目標を掲げている。統合戦闘員クラウド能力(JWCC)プログラムにより、国防総省はシステムの迅速な近代化を実現し、クラウド技術・機械学習・人工知能を活用して任務の成功を推進する。
米国防総省は、USCloudのITサポート主権を活用し、JWCCおよびその他の国防総省のアクティブセキュリティ環境におけるマイクロソフトサポートのサプライチェーンへ軍事優位性を拡大できる。US Cloudは契約上、すべての暗号化サポート ログとチケットが米国内に留保されること、ならびにヘルプデスクチケットを処理する全サポート要員が厳格に審査された米国市民であることを保証する。
米国クラウド・プレミアサポートは、すべてのマイクロソフト技術に対し、MSFTよりも4倍速い対応時間と 業界唯一の金銭的保証付きSLAを提供します。連邦政府・州政府・地方政府の全顧客は、大幅な予算削減に加え、優れたサポートの恩恵を享受できます。米国国務省は38%のコスト削減を達成。米国労働省は42%の削減を実現。環境保護庁はUS Cloudの主権的サポートにより、今後5年間で53%のコスト削減と750万ドルの節約を実現しました。
Azure 政府向けクラウド
マイクロソフトは国防総省の データ主権 要件に対応し、米国連邦政府向けクラウドデータセンターには審査済みの米国市民のみを配置している。ただし、国防総省機関がOffice 365、Azure、その他のマイクロソフト製品に関する問い合わせで電話をかけた際、電話の相手側が外国籍者でないことを保証するものではない。
Microsoft Azure for Government クラウド導入フレームワーク
US Cloudは、国防総省、連邦政府、州政府、地方政府、航空宇宙機関向けにサービスを提供するAzure for Govの維持管理フェーズにおいて重要な役割を担っています。
マイクロソフト プレミア(統合)サポートの対象となる問題の大半は日常的なものであり、機関にとって重大な問題ではないものの、機密情報がサポート担当者に漏洩するインシデントが発生する可能性は常に存在します。
外国籍の従業員がMicrosoftAzure Gov Cloudのサポートチケットを処理する際に不必要なリスクを負わせ、取り返しのつかない損害を引き起こす可能性があるのは無責任である。
セーフガードサポート
マイクロソフト プレミア(統合)サポートサービスは、自社チームを補強するため、サードパーティプロバイダー(WiproやTataを含むがこれらに限定されない)をますます活用している。国防総省、連邦政府、情報機関、州・地方政府、航空宇宙機関は、契約上マイクロソフトが外国人によるサポート対応やチケット処理を保証しないことを認識している。多くの組織がミッション、構成員、予算をより適切に保護するため、マイクロソフトから米国クラウドへ移行している。
2019年4月、インドの情報技術(IT)アウトソーシングおよびマイクロソフト プレミア(統合)サポートプロバイダーであるウィプロ(NYSE: WIT)がハッキング被害に遭った。この件はKrebs on Securityによって報じられた。 情報筋によれば、2019年3月にリモートアクセスツール「ScreenConnect」が使用され、Wiproのシステムが侵害された後、米国やその他の国々のWipro顧客への攻撃へと展開されたという。攻撃の源は依然として不明だが、Wiproのデータ侵害事件が報じられた同月に、興味深い取引が行われていた。
外国国家リスク – 2019年4月4日、インド政府はウィプロ社の「敵国株」約1億6600万ドル相当を売却した。ビジネス・スタンダード紙の記事によれば、敵国株とは元々パキスタンや中国に移住した者たちが保有していた株式であり、彼らはもはやインド市民ではないためそう呼ばれる。
「敵国財産管理官が保有していた合計4440万株が、ボンベイ証券取引所で1株あたり259ルピーで売却された」とビジネス・スタンダード紙は報じた。「買い手は国営のインド生命保険公社(LIC)、ニュー・インディア・アシュアランス、およびゼネラル・インシュアランス・コーポレーションLLCであった」
外国国家による攻撃– 2019年6月に発表されたクラウドホッパー攻撃により、タタを含む複数の主要プロバイダーが侵害された。タタはマイクロソフトプレミア(統合)サポートサービスで広く利用されるサードパーティ人材派遣拡張機能である。ロイター通信が最初にこの攻撃を報じた。タタはコメントを拒否している。現在米国で起訴が保留中であり、中国国家安全部が攻撃の源と疑われている。
ロイターの情報筋によると、攻撃は2014年から2017年にかけて継続的に行われ、グローバルなITアウトソーシング企業を標的とし、顧客企業から商業秘密を窃取することを唯一の目的としていた。偶然にも2014年、タタは米国でエピック・システムズから知的財産権侵害で提訴され、4億2000万ドルの賠償を命じられる判決を受けた。
JEDIはJWCCに置き換えられた
クラウドコンピューティングプロジェクトをめぐる争いは、まだ完全に終結したようには見えない。 国防総省はプレスリリースで、依然として企業規模のクラウド機能が必要だと表明し、新たな複数ベンダー契約「共同戦闘員クラウド能力(JWCC)」を発表した。同省は契約についてアマゾンとマイクロソフトの両社から提案を募る計画だとし、両社が要件を満たせる唯一のクラウドサービスプロバイダーだと付け加えた。ただし、他の事業者も仕様を満たせるかどうかを判断するため、市場調査を継続すると述べた。
「この件における我々の主な推進要因は、任務上の必要性であった」と国防総省のジョン・シャーマン情報担当長官代理は述べた。
国防総省は、新たな契約におけるクラウドベンダーに対し、以下の要件を満たすことを求めている。具体的には、全3段階の機密レベル (非機密、秘密、最高機密)に対応可能なこと、世界中で利用可能なこと、そして最高水準のサイバーセキュリティ対策を有することである。
同機関は、新契約の価値が数十億ドル規模になると見込んでいるが、最大価値については現在も算定中である。契約期間は最長5年間で、3年間のベース期間と2回の1年単位の延長オプション期間を含む見込みだ。
ペンタゴンはJWCCが「我々の長期的なアプローチへの架け橋となる」ことを期待しているとシャーマン氏は述べた。同氏は、国防総省が2022年4月頃に契約を通じた直接報酬を実施し、2025年にもより広範な競争を開始する見込みだと語った。
JWCC外務
マイクロソフトのサポート業務を海外ベンダーに委託している場合、メール上では通常「V-ダッシュ」と識別されます。プレミア/ユニファイドサポートチケットの対応に「V-ダッシュ」のマイクロソフトメールが使用されている場合、お客様のデータ、チケット、サポート担当者は米国外に所在している可能性が高く、組織のコンプライアンスを危険に晒す恐れがあります。
V-ダッシュ:マイクロソフトと提携するベンダー。一時的なマイクロソフトメールアドレスに「V-」プレフィックスが付与される場合がある。別名「グリーンバッジ」とも呼ばれる。これは、マイクロソフト社構内での活動時に発行される物理的なバッジの色に由来する。
JWCCは、マイクロソフトにおける外部委託サポートが組織の使命を脅かす可能性があることを示す好例です。
シナリオ1 最小限の影響: マイクロソフトの第三者オフショア委託業者を通じて同社に勤務する外国人従業員が、国防総省とのマイクロソフト・プレミア(統合)サポート契約に基づき共同戦闘員クラウド能力(JWCC)プログラムを支援中、「ミッションクリティカル」レベルの深刻度サポートチケットを受領し、意図的に解決プロセスを数時間から数日遅延させる。 最低でも国防総省の作戦遂行速度を低下させ、最悪の場合には展開中の戦闘員の任務を脅かす。その後、この「マイクロソフト社員」は自身の真の雇用主である国家に根本原因分析(RCA)を渡し、JWCCに対する将来のサイバー攻撃の枠組みを構築させる。
シナリオ2 中程度の影響: マイクロソフトの第三者オフショア委託業者を通じて同社で働く外国人従業員が、トラブルシューティングのため国防総省システムへのリモートアクセスが必要だと主張し、権限を付与される。その後、この「マイクロソフト社員」はアクセス権限を悪用し、マルウェアを仕掛けて環境を侵害するか、機密データを自身の真の雇用主である国家へ流出させる。
シナリオ3 深刻な影響: マイクロソフトの第三者オフショア委託業者を通じて同社に勤務する外国人従業員が、JWCCシステムへのリモートアクセス権を取得し、そのフェイルオーバーモデルを徐々に、かつ密かにマッピングしている。 この「マイクロソフト社員」はv-cardを保持し、このモデルを利用して休眠状態の検知不能マルウェアを起動させ、認証情報を窃取し、JWCCの一部または全体をダウンさせる態勢を整えている。これにより国防総省(DoD)が米国に対する大規模な協調型サイバー攻撃や軍事攻撃を検知・対応する能力が制限される。
予算保全
国防総省、連邦政府、情報機関、州・地方政府、航空宇宙機関はいずれも技術的負債とレガシーシステムに悩まされている。これらの組織は、自らの使命を推進するために近代化を図り、新技術への投資を行う必要がある。
米国クラウドは、初年度にマイクロソフト プレミア(統合)サポート費用の30~50%を予算に即時還元します。マイクロソフト統合サポートは主にMSFTクラウド利用量の増加によって推進されるため、5年間の予測では米国クラウドによるさらなる節約効果が明らかになります。
典型的な節約効果は2~5年で250%以上です。大規模組織では5年間で300%以上の節約を達成し、数百万ドルをイノベーション投資やミッション推進に充てる事例も珍しくありません。
契約手段
米国政府向けクラウド・プレミアサポートは、以下の組織のニーズに対応します:連邦政府、州政府、地方政府、航空宇宙産業、医療/病院、教育/学校、研究機関。
電子調達:SAP Ariba、GSA、Exostar
米国クラウド事業プロファイル:SAM.gov登録認定中小企業、MPIN 86137652R、 SBAオフィスコード 0768、DUNS番号 78-462-6355、NAICS 541511、PSC AJ26、CAGE 4XKR3、NIGP 920-45-84、国コード 189、議会選挙区 02、大都市統計地域 7040
契約形態:NASPO、GSA、GWAC、IDIQ
身元調査:DD254、DHS E-Verify
