セキュリティバグが見つかったZoomの米政府機関使用許可発行に用いられた資料の提供を要求するも、GSAは拒否

上院議員がGSA(一般調達局)に対し、連邦政府機関向けZoomの使用認可プロセスのためにZoomが提出した資料をレビュー目的で要求したが、GSAはこれを拒否した。

この拒否は、2021年5月に民主党上院議員であるRon Wyden(ロン・ワイデン)氏からGSAに寄せられた書簡に対し発せられたものである。この書簡でワイデン氏は、GSAが連邦政府機関でのZoom使用を認可した数週間後にアプリ内で重大なセキュリティの脆弱性が見つかったことへの懸念を表明している。

ワイデン氏はバグの発見により「FedRAMPの監査の質に対する重大な懸念」が高まったと述べた。

Zoomは2019年4月に、GSAが運営するプログラムであるFedRAMPより承認を受けて、政府内での使用が許可された。FedRAMPは、クラウドサービスが最も一般的な脅威からサービスを保護・強化するために設けられた一連のセキュリティ要件を満たしていることを保証するプログラムである。この認可がなければ、連邦政府機関はクラウド製品またはテクノロジーを使用することができない。

認可を受けた1カ月後、セキュリティ研究者が欠陥を見つけた。これはウェブカメラを許可なくリモートでオンにできるため悪用される可能性があるという問題で、 ZoomはMacアプリへパッチを施すことを余儀なくされた。ユーザーがZoomをアンイストールした後でさえ、その脆弱性の影響を受けることが判明したため、Appleは対応のため介入せざるをえなかった。パンデミックが広がりロックダウンが始まるとZoomの人気は急激に高まったが、同様に調査も盛んに行われた。Zoomは長い間エンド・ツー・エンドの暗号化が施されていると主張してきたが、それは真実ではないことを発見した報告者による技術的分析も公表された。

関連記事
アップルがビデオ会議システムZoomの隠しサーバーを削除するアップデートを静かにプッシュ配信
Zoomユーザーがリモートワークで前年比354%と急増、売上は前年比169%

ワイデン氏はGSAに対し、Zoomが認可を得た後にセキュリティバグが見つかったことを「非常に問題がある」と述べた書簡を送った。その書簡の中で、ワイデン上院議員は、なぜ、どのようにZoomがGSAの認可を得たかを理解するために、ZoomがFedRAMP認可の一環として提出した「セキュリティパッケージ」として知られる資料を開示するよう要求した。

GSAはワイデン氏が2020年7月に最初に要求を行った際、氏が委員長ではないという理由で拒否した。新たに発足したバイデン政権下で上院財政委員会委員長に任命されたワイデン氏は、再度Zoomのセキュリティパッケージを要求した。

しかし、ワイデン氏のオフィスに2021年B6月末に送られた新たな書簡の中で、GSAはセキュリティ上の懸念を挙げ、2度目の拒否を行った。

「ご要望のセキュリティパッケージには機密性の高い専有情報や、Zoomによる政府向け製品に関する他の機密情報が含まれています。この情報を保護することは、そのサービスとそれがホストする政府データの保全に不可欠であり、討議の結果、GSAはZoomのセキュリティパッケージを開示することは、重大なセキュリティリスクを引き起こすと判断いたしました」とGSAからの書簡には書かれていた。

GSAからのこの書簡について、ワイデン氏はTechCrunchに対し、他にも欠陥のあるソフトウェアが政府内での使用許可を得ているのではないかと懸念していると述べた。

「GSAによるFedRAMPプログラムの意図、つまり複数の連邦政府機関が同じソフトウェアのセキュリティを確認する必要がないように官僚的形式主義を排除する、という考えは大変納得のいくものです。しかし、その場合その審査を行う機関が徹底的な仕事をすることが非常に重要です。私は政府によるZoom審査において重大なサイバーセキュリティ上の欠陥が見過ごされ、これが最終的にセキュリティリ研究者によって発見され公にされたという点に懸念を覚えます。GSAがZoomの監査資料を国会に提供するのを拒否したことは、GSAが連邦政府のために認可した他のソフトウェア製品のセキュリティに疑問を投げかけるものです」とワイデン氏は述べた。

我々は、FedRAMPプロセスについて直接知識を持っている政府職員や、その認可プロセスを経験した企業に話を聞いたが、彼らによると、FedRAMPは包括的ではあるものの、連邦政府のセキュリティ要件を満たすために企業が実施すべきことを完全に網羅するものではないとのことである。

そのプロセスには限界があり、改革が必要だと述べた人々もいた。FedRAMPの仕組みを知っているある人物は、認可プロセスは製品のソースコードを精査するものではなく、ベストプラクティスやコンプライアンス要件を満たしているかのチェックリストに似たものだと述べた。その人物によると、そのプロセスの多くはベンダーを信頼することに依存しており「自己申告システム」に近いとのことである。別の人物は、FedRAMPプロセスではすべてのバグを捉えきれないと述べた。これは、先にバイデン大統領がFedRAMPプロセスの刷新と向上を目指して取った措置によっても明らかである。

我々が話を聞いた人々の多くは、ZoomのFedRAMPセキュリティパッケージの機密性を理由にワイデン氏の要求が拒否されたことに驚いていなかった。

彼らによると、この認可プロセスを通過しようとする企業は、自社製品のセキュリティに関する機密性の高い技術情報を提出しなければならず、仮にその情報が外部に漏れた場合は、ほぼ確実に当該企業は損害を被る、とのことであった。セキュリティ上の脆弱性がどこにあるかがわかってしまうと、サイバー犯罪者に情報を与えることになりかねないのである。企業がFedRAMP監査に先だち何百万ドル(何百億円)もの大金を投じて自社製品のセキュリティを強化することはよくあることだが、彼らは自社の企業秘密が外部に漏れかねないと判断した場合は、あえてリスクを冒して認可プロセスへ参加しないだろう、とのことであった。

ワイデン氏の要求をなぜ拒否したのかとGSAから尋ねられた際、Zoomの米国政府関連事業を統括するLauren Belive(ローレン・ビリーブ)氏は、セキュリティパッケージを上院に引き渡すことは、FedRAMPプロセスに企業が寄せる特別な「信頼と信用」を損なう危険な前例を作ってしまうからだ、と述べた。

GSAはFedRAMPセキュリティパッケージへのアクセスを厳密に管理している。この情報へアクセスするには、連邦政府または軍のメールアドレスが必要であるが、実はこれは上院議員も所持している。しかし、GSAがワイデン氏の要求を拒否した理由は未だ明確ではなく、GSAの広報担当者に尋ねてみたが、国会議員が企業のFedRAMPセキュリティパッケージを取得する方法については説明がなかった。

GSAの広報担当者、Christina Wilkes(クリスティーナ・ウィルケス)氏は「GSAは国会との関係を重視しており、ワイデン上院議員および管轄委員会と引き続き協力してGSAのプログラムや運用に関する適切な情報を提供していきます」と述べ、さらに次のようにも付け加えた。

GSAは民間セクターのパートナーと緊密に連携し、FedRAMPを通しクラウドサービスのセキュリティを認可する標準化されたアプローチを提供して参ります。ZoomのFedRAMPセキュリティパッケージおよび関係資料はZoomが政府に提供している製品に関連するセキュリティ措置の詳細情報を含んでいます。セキュリティに関する機密情報や企業秘密に関するGSAのスタンスは、権限を有する議会委員会の公式の書面による要求がない限り、定められた情報配布または情報公開の管理手順に従って、資料の提出を差し控えるということで一貫しております。

GSAはどの議会委員会が権限を持っているのか、あるいは、ワイデン氏の上院財政委員会議長という役職が十分な資格を満たすものであるのかには言及しておらず、またワイデン氏によるFedRAMPプロセスの有効性に関する問題提起に回答するつもりであるかについても言及していない。

Zoomの広報担当者、Kelsey Knight(ケルシー・ナイト)氏は、 Zoomのようなクラウド企業は「GSAに対し、FedRAMP認可プロセスの一環として、認可の決定にのみ使用されるという理解のもとに専有情報や機密情報を提出しています。Zoomは、ZoomのFedRAMPセキュリティパッケージが認可の目的を超えて外部に開示されるべきではないと信じておりますが、国会議員の方々や他の関係者の方々と政府機関向けZoomのセキュリティについてお話しすることを歓迎するものです」と述べた。

Zoomは「製品の継続的向上のためにセキュリティ強化に取り組み」、年次更新の一環として2020年および2021年にもFedRAMP認可を受けたと述べた。同社はZoomアプリがFedRAMPプロセスの中でどの程度の監査を受けたかについては、回答を拒否した。

現在20を超す政府機関がZoomを使用しており、これには国防総省、国土安全保障省、米国税関国境警備局、大統領行政府などが含まれる。

カテゴリー:セキュリティ
タグ:アメリカGSAZoomビデオ会議FedRAMP

画像クレジット:Olivier Doiliery / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Dragonfly)