セキュリティバグが見つかったZoomの米政府機関使用許可発行に用いられた資料の提供を要求するも、GSAは拒否

今回は「セキュリティバグが見つかったZoomの米政府機関使用許可発行に用いられた資料の提供を要求するも、GSAは拒否」についてご紹介します。

関連ワード （FedRAMP、GSA、Zoom、アメリカ、ビデオ会議等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

上院議員がGSA（一般調達局）に対し、連邦政府機関向けZoomの使用認可プロセスのためにZoomが提出した資料をレビュー目的で要求したが、GSAはこれを拒否した。

この拒否は、2021年5月に民主党上院議員であるRon Wyden（ロン・ワイデン）氏からGSAに寄せられた書簡に対し発せられたものである。この書簡でワイデン氏は、GSAが連邦政府機関でのZoom使用を認可した数週間後にアプリ内で重大なセキュリティの脆弱性が見つかったことへの懸念を表明している。

ワイデン氏はバグの発見により「FedRAMPの監査の質に対する重大な懸念」が高まったと述べた。

Zoomは2019年４月に、GSAが運営するプログラムであるFedRAMPより承認を受けて、政府内での使用が許可された。FedRAMPは、クラウドサービスが最も一般的な脅威からサービスを保護・強化するために設けられた一連のセキュリティ要件を満たしていることを保証するプログラムである。この認可がなければ、連邦政府機関はクラウド製品またはテクノロジーを使用することができない。

認可を受けた1カ月後、セキュリティ研究者が欠陥を見つけた。これはウェブカメラを許可なくリモートでオンにできるため悪用される可能性があるという問題で、 ZoomはMacアプリへパッチを施すことを余儀なくされた。ユーザーがZoomをアンイストールした後でさえ、その脆弱性の影響を受けることが判明したため、Appleは対応のため介入せざるをえなかった。パンデミックが広がりロックダウンが始まるとZoomの人気は急激に高まったが、同様に調査も盛んに行われた。Zoomは長い間エンド・ツー・エンドの暗号化が施されていると主張してきたが、それは真実ではないことを発見した報告者による技術的分析も公表された。

関連記事
・アップルがビデオ会議システムZoomの隠しサーバーを削除するアップデートを静かにプッシュ配信
・Zoomユーザーがリモートワークで前年比354%と急増、売上は前年比169%

ワイデン氏はGSAに対し、Zoomが認可を得た後にセキュリティバグが見つかったことを「非常に問題がある」と述べた書簡を送った。その書簡の中で、ワイデン上院議員は、なぜ、どのようにZoomがGSAの認可を得たかを理解するために、ZoomがFedRAMP認可の一環として提出した「セキュリティパッケージ」として知られる資料を開示するよう要求した。

GSAはワイデン氏が2020年7月に最初に要求を行った際、氏が委員長ではないという理由で拒否した。新たに発足したバイデン政権下で上院財政委員会委員長に任命されたワイデン氏は、再度Zoomのセキュリティパッケージを要求した。

しかし、ワイデン氏のオフィスに2021年Ｂ6月末に送られた新たな書簡の中で、GSAはセキュリティ上の懸念を挙げ、2度目の拒否を行った。

「ご要望のセキュリティパッケージには機密性の高い専有情報や、Zoomによる政府向け製品に関する他の機密情報が含まれています。この情報を保護することは、そのサービスとそれがホストする政府データの保全に不可欠であり、討議の結果、GSAはZoomのセキュリティパッケージを開示することは、重大なセキュリティリスクを引き起こすと判断いたしました」とGSAからの書簡には書かれていた。

GSAからのこの書簡について、ワイデン氏はTechCrunchに対し、他にも欠陥のあるソフトウェアが政府内での使用許可を得ているのではないかと懸念していると述べた。

「GSAによるFedRAMPプログラムの意図、つまり複数の連邦政府機関が同じソフトウェアのセキュリティを確認する必要がないように官僚的形式主義を排除する、という考えは大変納得のいくものです。しかし、その場合その審査を行う機関が徹底的な仕事をすることが非常に重要です。私は政府によるZoom審査において重大なサイバーセキュリティ上の欠陥が見過ごされ、これが最終的にセキュリティリ研究者によって発見され公にされたという点に懸念を覚えます。GSAがZoomの監査資料を国会に提供するのを拒否したことは、GSAが連邦政府のために認可した他のソフトウェア製品のセキュリティに疑問を投げかけるものです」とワイデン氏は述べた。

我々は、FedRAMPプロセスについて直接知識を持っている政府職員や、その認可プロセスを経験した企業に話を聞いたが、彼らによると、FedRAMPは包括的ではあるものの、連邦政府のセキュリティ要件を満たすために企業が実施すべきことを完全に網羅するものではないとのことである。

そのプロセスには限界があり、改革が必要だと述べた人々もいた。FedRAMPの仕組みを知っているある人物は、認可プロセスは製品のソースコードを精査するものではなく、ベストプラクティスやコンプライアンス要件を満たしているかのチェックリストに似たものだと述べた。その人物によると、そのプロセスの多くはベンダーを信頼することに依存しており「自己申告システム」に近いとのことである。別の人物は、FedRAMPプロセスではすべてのバグを捉えきれないと述べた。これは、先にバイデン大統領がFedRAMPプロセスの刷新と向上を目指して取った措置によっても明らかである。

我々が話を聞いた人々の多くは、ZoomのFedRAMPセキュリティパッケージの機密性を理由にワイデン氏の要求が拒否されたことに驚いていなかった。

彼らによると、この認可プロセスを通過しようとする企業は、自社製品のセキュリティに関する機密性の高い技術情報を提出しなければならず、仮にその情報が外部に漏れた場合は、ほぼ確実に当該企業は損害を被る、とのことであった。セキュリティ上の脆弱性がどこにあるかがわかってしまうと、サイバー犯罪者に情報を与えることになりかねないのである。企業がFedRAMP監査に先だち何百万ドル（何百億円）もの大金を投じて自社製品のセキュリティを強化することはよくあることだが、彼らは自社の企業秘密が外部に漏れかねないと判断した場合は、あえてリスクを冒して認可プロセスへ参加しないだろう、とのことであった。

ワイデン氏の要求をなぜ拒否したのかとGSAから尋ねられた際、Zoomの米国政府関連事業を統括するLauren Belive（ローレン・ビリーブ）氏は、セキュリティパッケージを上院に引き渡すことは、FedRAMPプロセスに企業が寄せる特別な「信頼と信用」を損なう危険な前例を作ってしまうからだ、と述べた。

GSAはFedRAMPセキュリティパッケージへのアクセスを厳密に管理している。この情報へアクセスするには、連邦政府または軍のメールアドレスが必要であるが、実はこれは上院議員も所持している。しかし、GSAがワイデン氏の要求を拒否した理由は未だ明確ではなく、GSAの広報担当者に尋ねてみたが、国会議員が企業のFedRAMPセキュリティパッケージを取得する方法については説明がなかった。

GSAの広報担当者、Christina Wilkes（クリスティーナ・ウィルケス）氏は「GSAは国会との関係を重視しており、ワイデン上院議員および管轄委員会と引き続き協力してGSAのプログラムや運用に関する適切な情報を提供していきます」と述べ、さらに次のようにも付け加えた。

GSAは民間セクターのパートナーと緊密に連携し、FedRAMPを通しクラウドサービスのセキュリティを認可する標準化されたアプローチを提供して参ります。ZoomのFedRAMPセキュリティパッケージおよび関係資料はZoomが政府に提供している製品に関連するセキュリティ措置の詳細情報を含んでいます。セキュリティに関する機密情報や企業秘密に関するGSAのスタンスは、権限を有する議会委員会の公式の書面による要求がない限り、定められた情報配布または情報公開の管理手順に従って、資料の提出を差し控えるということで一貫しております。

GSAはどの議会委員会が権限を持っているのか、あるいは、ワイデン氏の上院財政委員会議長という役職が十分な資格を満たすものであるのかには言及しておらず、またワイデン氏によるFedRAMPプロセスの有効性に関する問題提起に回答するつもりであるかについても言及していない。

Zoomの広報担当者、Kelsey Knight（ケルシー・ナイト）氏は、 Zoomのようなクラウド企業は「GSAに対し、FedRAMP認可プロセスの一環として、認可の決定にのみ使用されるという理解のもとに専有情報や機密情報を提出しています。Zoomは、ZoomのFedRAMPセキュリティパッケージが認可の目的を超えて外部に開示されるべきではないと信じておりますが、国会議員の方々や他の関係者の方々と政府機関向けZoomのセキュリティについてお話しすることを歓迎するものです」と述べた。

Zoomは「製品の継続的向上のためにセキュリティ強化に取り組み」、年次更新の一環として2020年および2021年にもFedRAMP認可を受けたと述べた。同社はZoomアプリがFedRAMPプロセスの中でどの程度の監査を受けたかについては、回答を拒否した。

現在20を超す政府機関がZoomを使用しており、これには国防総省、国土安全保障省、米国税関国境警備局、大統領行政府などが含まれる。

画像クレジット：Olivier Doiliery / Getty Images

【原文】

The General Services Administration has denied a senator’s request to review documents Zoom submitted to have its software approved for use in the federal government.

The denial was in response to a letter sent by Democratic senator Ron Wyden to the GSA in May, expressing concern that the agency cleared Zoom for use by federal agencies just weeks before a major security vulnerability was discovered in the app.

Wyden said the discovery of the bug raises “serious questions about the quality of FedRAMP’s audits.”

Zoom was approved to operate in government in April 2019 after receiving its FedRAMP authorization, a program operated by the GSA that ensures cloud services comply with a standardized set of security requirements designed to toughen the service from some of the most common threats. Without this authorization, federal agencies cannot use cloud products or technologies that are not cleared.

Months later, Zoom was forced to patch its Mac app after a security researcher found a flaw that could be abused to remotely switch on a user’s webcam without their permission. Apple was forced to intervene since users were still affected by the vulnerabilities even after uninstalling Zoom. As the pandemic spread and lockdowns were enforced, Zoom’s popularity skyrocketed — as did the scrutiny — including a technical analysis by reporters that found Zoom was not truly end-to-end encrypted as the company long claimed.

Wyden wrote to the GSA to say he found it “extremely concerning” that the security bugs were discovered after Zoom’s clearance. In the letter, the senator requested the documents known as the “security package,” which Zoom submitted as part of the FedRAMP authorization process, to understand how and why the app was cleared by GSA.

The GSA declined Wyden’s first request in July 2020 on the grounds that he was not a committee chair. In the new Biden administration, Wyden was named chair of the Senate Finance Committee and requested Zoom’s security package again.

But in a new letter sent to Wyden’s office late last month, GSA declined the request for the second time, citing security concerns.

“The security package you have requested contains highly sensitive proprietary and other confidential information relating to the security associated with the Zoom for Government product. Safeguarding this information is critical to maintaining the integrity of the offering and any government data it hosts,” said the GSA letter. “Based on our review, GSA believes that disclosure of the Zoom security package would create significant security risks.”

In response to the GSA’s letter, Wyden told TechCrunch that he was concerned that other flawed software may have been approved for use across the government.

“The intent of GSA’s FedRAMP program is good — to eliminate red tape so that multiple federal agencies don’t have to review the security of the same software. But it’s vitally important that whichever agency conducts the review do so thoroughly,” said Wyden. “I’m concerned that the government’s audit of Zoom missed serious cybersecurity flaws that were subsequently uncovered and exposed by security researchers. GSA’s refusal to share the Zoom audit with Congress calls into question the security of the other software products that GSA has approved for federal use.”

Of the people we spoke with who have firsthand knowledge of the FedRAMP process, either as a government employee or as a company going through the certification, FedRAMP was described as a comprehensive but by no means an exhaustive list of checks that companies have to meet in order to meet the security requirements of the federal government.

Others said that the process had its limits and would benefit from reform. One person with knowledge of how FedRAMP works said the process was not a complete audit of a product’s source code but akin to a checklist of best practices and meeting compliance requirements. Much of it relies on trusting the vendor, said the person, describing it like “an honor system.” Another person said the FedRAMP process cannot catch every bug, as evidenced by executive action taken by President Biden this week aimed at modernizing and improving the FedRAMP process.

Most of the people we spoke to weren’t surprised that Wyden’s office was denied the request, citing the sensitivity of a company’s FedRAMP security package.

The people said that companies going through the certification process have to provide highly technical details about the security of their product, which if exposed would almost certainly be damaging to the company. Knowing where security weaknesses might be could tip off cybercriminals, one of the people said. Companies often spend millions on improving their security ahead of a FedRAMP audit but companies wouldn’t risk going through the certification if they thought their trade secrets would get leaked, they added.

When asked by GSA why it objected to Wyden’s request, Zoom’s head of U.S. government relations Lauren Belive argued that handing over the security package “would set a dangerous precedent that would undermine the special trust and confidence” that companies place in the FedRAMP process.

GSA puts strict controls on who can access a FedRAMP security package. You need a federal government or military email address, which the senator’s office has. But the reason for GSA denying Wyden’s request still isn’t clear, and when reached a GSA spokesperson would not explain how a member of Congress would obtain a company’s FedRAMP security package

“GSA values its relationship with Congress and will continue to work with Senator Wyden and our committees of jurisdiction to provide appropriate information regarding our programs and operations,” said GSA spokesperson Christina Wilkes, adding:

GSA works closely with private sector partners to provide a standardized approach to security authorizations for cloud services through the [FedRAMP]. Zoom’s FedRAMP security package and related documents provide detailed information regarding the security measures associated with the Zoom for Government product. GSA’s consistent practice with regard to sensitive security and trade secret information is to withhold the material absent an official written request of a congressional committee with jurisdiction, and pursuant to controls on further dissemination or publication of the information.

GSA wouldn’t say which congressional committee had jurisdiction or whether Wyden’s role as chair of the Senate Finance Committee suffices, nor would the agency answer questions about the efficacy of the FedRAMP process raised by Wyden.

Zoom spokesperson Kelsey Knight said that cloud companies like Zoom “provide proprietary and confidential information to GSA as part of the FedRAMP authorization process with the understanding that it will be used only for their use in making authorization decisions. While we do not believe Zoom’s FedRAMP security package should be disclosed outside of this narrow purpose, we welcome conversations with lawmakers and other stakeholders about the security of Zoom for Government.”

Zoom said it has “engaged in security enhancements to continually improve its products,” and received FedRAMP reauthorization in 2020 and 2021 as part of its annual renewal. The company declined to say to what extent the Zoom app was audited as part of the FedRAMP process.

Over two dozen federal agencies use Zoom, including the Defense Department, Homeland Security, U.S. Customs and Border Protection and the Executive Office of the President.

（文：Zack Whittaker、翻訳：Dragonfly）

アメリカ合衆国 - Wikipedia

アメリカ 合衆国（アメリカがっしゅうこく、英語: United States of America ）、通称アメリカ（英語: America ）は、北アメリカ、太平洋および大西洋に位置する 連邦 共和制国家。首都はコロンビア特別区（通称・ワシントンD.C.）。 50の州 ...

アメリカ合衆国基礎データ｜外務省

11 経済概況. アメリカでは、景気は依然として厳しい状況にあるが、持ち直している。. 先行きについては、持ち直しが続くことが期待される。. ただし、感染の再拡大が経済活動に与える影響によっては、景気が下振れするリスクがある。. また、金融資本市場の変動等の影響を注視する必要がある。. （出典：内閣府月例経済報告（2021年1月））.

アメリカ観光ガイド / 人気の観光スポット・ベスト7｜阪急交 …

アメリカの観光情報が満載の阪急交通社が提供するアメリカ観光ガイド。ロサンゼルスやラスベガス、ニューヨークなどの観光スポット、グルメやイベント、現地の気候や交通事情など詳しくガイドいたします。

Visit the USA：アメリカでの休暇とアメリカ旅行のガイド

VisitTheUSA はアメリカ旅行のオフィシャルガイドです。アメリカで休暇を過ごすために必要なすべての情報をこのサイトで見つけてください。

アメリカとは - コトバンク

日本大百科全書(ニッポニカ) - アメリカの用語解説 - 北アメリカ大陸と南アメリカ大陸を含む、いわゆる新大陸の総称。ヨーロッパ、アジア、アフリカの旧世界に対して、新世界ともいわれる。　新大陸に最初に到達した人類は、少なくとも2万5000年から3万年前に、シベリアとアラスカがまだ陸続きで...

アメリカ合衆国の州 - Wikipedia

アメリカ合衆国の州（アメリカがっしゅうこくのしゅう、英: U.S. state ）は、連邦 共和国であるアメリカ合衆国を構成する「国家」で、現在50州ある。各州と連邦は国家主権を共有している。

Meiji Co., Ltd. - アメリカ合衆国｜比べてみよう！世界の食と文 …

なによりも“自由”を大事にするアメリカ人は、各民族の良いところや新しいものを積極的に取り入れ、 多様性 たようせい のある文化を作っていったんですね。. アメリカの食べ物といえば、真っ先に思いうかぶのはハンバーガーやステ－キ、そして食後のスイーツ。. かつては食べ 過 す ぎる人が多く、社会問題にもなりました。. でも今は国全体で 改善 かいぜん ...

アメリカ (バンド) - Wikipedia

アメリカ（英語: America ）は、イギリスで結成されたバンド。

アメリカ料理とは？代表的なメニューと定番の家庭料理 ...

アメリカの食べ物と言えば、ハンバーガー、ホットドック、ピザ、カリフォルニアロール、フライドチキン、ステーキなどが有名です。ここではアメリカ料理の特徴や定番のアメリカ料理のメニュー、郷土料理・ご当地メニュー、そして家庭料理をご紹介！

中国が台湾を武力攻撃した時にアメリカは中国に勝てるか ...

8月6日、アメリカ元軍人が「アメリカは中国の台湾侵攻をうまく撃退できるか？」を発表し、「アメリカが敗北する可能性が高い」と分析した。26日、中国はグァム・キラーと空母キラーミサイルを発射した。