2026/03/18 23:14

疑念に耐えつつ、連邦のサイバー専門家がマイクロソフトのクラウドサービスを承認しました

RSS: https://news.ycombinator.com/rss

要約▶

日本語訳:

MicrosoftのGCC Highクラウドサービスは、連邦機関向けにFedRAMP認可を受けたが、ProPublicaの調査でセキュリティ文書に大きな欠陥があることが明らかになった。データフローダイアグラムの欠如、暗号化検証の不明確さ、2020年から2024年のレビュー期間中に提出された情報の未完備などが指摘されている。このレビューでは、Microsoftが部分的なデータを繰り返し提供し、FedRAMPが暗号化実践を独立して確認できないことが浮き彫りになった。

司法省・エネルギー省・防衛省などの連邦機関は、GCC Highに依存して高度に機密性の高いデータを保護している。未承認アクセスが「重大または壊滅的な悪影響」をもたらす可能性があると懸念されている。司法省の評価では、中国拠点のエンジニアがMicrosoftの政府クラウドシステムで作業していたことが判明し、最も機密性の高いデータを扱う外国人を禁止するペンタゴン規則に違反したとされる。この慣行はその後中止された。

MicrosoftがGCC Highを評価するために雇った第三者評価者であるCoalfireおよびKratosは、裏路線で懸念を示したものの、Microsoftに十分に挑戦しなかったとして是正措置計画に置かれた。2023年夏にホワイトハウスが電話会議を行い、FedRAMPはGCC Highに関するMicrosoftとのエンゲージメントを一時停止した。その後、新しいディレクターPete Watermanの下でプログラムが再開され、2024年12月に認可が監視条件付きで付与できると結論づけられた。

FedRAMPの職員は現在約24名で、年間予算は約1,000万ドルである。このため批評家はプログラムを「弾丸印」的なものだと称し、厳格なセキュリティレビュー機関ではないと指摘している。2024年夏のホワイトハウス覚書では、より迅速かつ厳密なレビューと特定された弱点の迅速な緩和を求めており、監視強化への圧力が高まっていることを示している。

別件として、司法省の2021年サイバー詐欺対策イニシアチブは、Accenture元従業員を起訴し、連邦機関にクラウドプラットフォームのセキュリティについて誤解させたと主張した。MicrosoftがGCC Highに関して同様の行動を取った事例はない。Microsoftはすべてのセキュリティ要件に準拠していると主張し、FedRAMPと協力して欠陥を解消する作業を継続している。

本文

報告ハイライト

「クラウドファースト」：連邦政府は、機関をクラウドへ移行する際に新技術のセキュリティ確保を目的としてFedRAMP（Federal Risk and Authorization Management Program）を設立しました。
セキュリティの問題点：ProPublica は、長年懸念されてきたマイクロソフトの GCC High が FedRAMP により承認されたことを指摘しています。
利益相反の可能性：マイクロソフトが雇用した第三者企業はクラウド技術を審査しますが、同時に評価対象である会社から報酬を受け取っています。

背景

2024年末、連邦のサイバーセキュリティ評価者はマイクロソフトの Government Community Cloud（GCC High）について深刻な判定を下しました。詳細なセキュリティ文書が不足していたため、レビュー担当者はその全体的なセキュリティ姿勢を評価できず、一人は「ゴミ山だ」と直言しています。

マイクロソフトは、米国機関に対する二大サイバー攻撃の中心でありました。ロシアハッカーが連邦機関からデータを盗み、チャイニーズハッカーが内閣議員のメールアカウントへ侵入しました。それにもかかわらず、FedRAMP は GCC High を承認し、事実上その製品に対して連邦のサイバーセキュリティシールを授与しました。

主要ポイント

FedRAMP の承認は、完全なセキュリティ検証ではなく、製品の広範囲での導入を基に行われました。
ProPublica の調査は、レビュー過程の各段階で問題が明らかになり、マイクロソフトへの優遇が顕著だったことを示しました。
元 NSA コンピュータ科学者トニー・サガー氏はこれを「セキュリティシアター」と呼びました。

FedRAMP のプロセスと課題

FedRAMP は 2011 年にオバマ政権下で設立され、全機関が共通の承認基準を利用できるようクラウド調達を合理化する目的でした。
小規模なチームは需要に対応しきれず、遅延やバックログが発生。結果として各機関が独自に評価を行うケースが増えました。
GCC High は主に司法省の承認を経て連邦で使用され、FedRAMP Marketplace に掲載されました。

技術的懸念

マイクロソフトは暗号化手法を示すデータフロー図を提出する義務がありましたが、十分な詳細情報を提供できませんでした。
図表の標準化が欠如していたため、混乱と不完全な評価につながりました。
第三者評価機関である Coalfire と Kratos は必要情報の入手に苦労し、利益相反の可能性を指摘しました。

最近の展開

2023 年、FedRAMP の暫定ディレクターは、中国ハッカーが GCC High のデータを侵害した後、ホワイトハウスから電話を受けました。
FedRAMP は未解決のセキュリティギャップにより 2023 年 10 月にマイクロソフトとの契約を終了しました。
再評価と追加条件のもとで、GCC High は 2024 年 12 月に FedRAMP 承認を受けましたが、不備や未知のリスクについてのカバー報告書が添付されました。

現在の状況

司法省は中国拠点エンジニアの機密システムへの使用を含むセキュリティ実務を調査し続けています。
マイクロソフトは防衛省向け作業で中国ベースのエンジニアの利用を停止しました。
FedRAMP の人員は約 24 名と極めて少なく、年間予算は 1,000 万ドルに過ぎません。そのため、厳格な審査機関というよりは「ラバースタンプ」に近い状態です。

結論

GCC High の FedRAMP 承認は、文書不足や実際のセキュリティ欠陥が明らかであるにもかかわらず行われたため、連邦クラウドセキュリティ監視に大きなギャップが存在することを示しています。限られた資源とベンダー提供情報への依存は、機密政府データの安全性を確保する上で FedRAMP の能力を弱めています。

同じ日のほかのニュース

一覧に戻る →

2026/03/19 5:45

再生成された場合、保証は無効となります。

## 日本語訳： > **トム・ハートマンは農業機械の「ソフトウェアメカニック」として自らを再定義しました。** ジョン・ディール社のソフトウェア修理事業が消滅した後、彼は従来のトラブルシューティングから意図された技術動作と実際のパフォーマンス（仕様上の問題）のギャップを診断する方向へシフトしたことを示す新しいサイン「HARTMANN SOFTWARE MECHANICS」を追加しました。 > > 彼の工房では、ハードウェア障害とソフトウェア仕様エラーの両方に対処します。コーヒーマシン実験を通じて、仕様上の欠落がどのように高額な失敗につながるかというドメイン課題を示しています。 > > **クライアント：** > • *マーガレット・ブレナン* – 彼女のキャベツ農場の収穫タイミングツールが天候モデル更新後に成熟度を過小評価したため、トムは仕様に監視条項を追加しました。 > • *イーサン・ノヴァク* – 40種類のカスタムツールを持つ乳製品農家で、「話す」ものがあったが全体的なアーキテクチャが欠如し、飼料ツール再生成後にミルク価格が8 %低下した。トムは「ソフトウェア・チョレオグラファー」（メガン・キャラハン）を提案しました。 > • *キャロル・リンデグレン* – 有機野菜農場で、孫が灌漑最適化ハブを設置。トムは物理的なオーバーライドスイッチとログ記録を提供し、現場固有の知識を保持しました。 > > 共通する問題として「グラウンド・ムーブ」（仕様に捉えられない upstream データ/ソース変更）や「スパゲッティ」（アドホックなツール間インターフェース）が挙げられます。 > > **メトリクス：** 1日あたり6–8件のクライアント、94 % の診断成功率、仕様修正ごとの平均請求額 $180、および継続的な四半期検査。 > > **経済的洞察：** クライアントはしばしば予防保全に抵抗します――失敗よりもコストが低いにもかかわらず―これは人間医療の緊急対応をウェルネスチェックより優先する傾向と似ています。 > > **成果と将来計画：** マーガレットのツールは修復済み、イーサンはチョレオグラフィーを採用予定、キャロルは週に3回オーバーライドスイッチを使用し、トムが四半期ごとに検査を実施します。このアプローチは失敗コストの低減、積極的な保守の奨励、および反応的バグ修正よりも仕様品質を優先する農業技術産業への影響力を高める可能性があります。

2026/03/15 21:20

**オープンロケット**

## Japanese Translation: > **OpenRocket** は、ユーザーがロケットを設計・シミュレーションし、実際に構築する前に最適化できる無料のオープンソースモデルロケットシミュレータです。 > 50以上の変数を備えた最新鋭の六自由度飛行エンジン、リアルタイム性能データ（圧力中心・重心・最大高度・速度・安定性など）、高度なプロット/エクスポート機能を提供します。 > デザイナーは材質密度、仕上げ品質、部品カタログ項目、カスタムパーツを含むCAD風図面を作成し、設計のPDFをエクスポートできます。 > 組み込み AI アシスタントが自動的にパラメータを調整し、高高度などの最適化目標を達成します。 > OpenRocket は ThrustCurve から取得した包括的なデータベースを使用して、マルチステージ・ダブルデプロイメント・クラスターモーター構成をサポートします。 > 本プロジェクトは GitHub を通じて貢献を歓迎し、ユーザーと開発者向けに豊富なドキュメントを提供するとともに、アイデア共有や新機能の議論が行われる活発な Discord コミュニティを維持しています。 > 今後のリリースではプロット/エクスポートツールのさらなる強化、AI 主導の最適化の深化、およびユーザーフィードバックの取り込みを継続します。この改訂版サマリーはすべての重要ポイントを統合し、非推奨の推論を除外し、あいまいな表現なしに主旨を明確に提示しています。

2026/03/18 16:43

**ワンダー** *小さなウェブを探索するための、ちょっとした分散型ツール*

## 日本語訳: 以下のテキストは「Wander」コンソールのセットアップ方法と使用法について説明しています。「Wander」は、コミュニティが共有するランダムなウェブサイトを探索できる軽量なWebインターフェースです。 1. **設定手順** - `index.html` と `wander.js` が含まれる ZIP ファイルをダウンロードします。 - これらのファイルを自分のウェブサイトの `/wander/` ディレクトリに展開します。 - `wander.js` を codeberg.org/susam/wander の指示に従って編集します。 - `/wander/` フォルダがオンラインになったら、コミュニティスレッドで自分のコンソールへのリンクを共有します。 2. **動作原理** - 別サイトの Wander コンソールを訪れると、現在のウェブサイトのコンソールからその別サイトのコンソールへ移動します。 - 元のコンソールは他のコンソールから再帰的におすすめを取得できるため、ネットワーク閲覧時にコンソールを変更する必要はありません。 3. **コミュニティの背景** - Wander コミュニティは、自分自身の個人ウェブサイトを開発・運営している人々で構成されています。 - 自分のコンソールを他者のリストに追加することで、Wander ネットワークへの参加が促進されます。 4. **追加情報** - 詳細は codeberg.org/susam/wander をご覧ください。 --- この改訂版要約は、主要なポイントをすべて反映し、根拠のない利益を加えずに主旨を明確かつ簡潔に示しています。