米国政府は、陸軍向けクラウドプラットフォームのセキュリティについて政府をミスリードした疑いで、アクセンチュアの元上級マネージャーを提訴している。
バージニア州シャンティリー在住の53歳、ダニエル・ヒルマーは、政府が2017年に委託したサービスの能力について、監査人を欺いた疑いが持たれている。
裁判資料では「企業A」とのみ記されているものの、現在は削除されたLinkedInアカウントによると、ヒルマーは問題となっている期間中、ビッグ4コンサルティング企業のアクセンチュアに勤務していたと主張していた。
米政府は、2020年3月から2021年11月の間に、ヒルマーが連邦監査人の業務を妨害し、同社のクラウドプラットフォームのセキュリティについて虚偽の説明を行ったと主張している。このプラットフォームは、陸軍以外の他の政府機関の顧客にも利用されていた。
問題となっているプラットフォームは、Nonappropriated Fund Integrated Financial Management System(NIFMS、非予算資金統合財務管理システム)と説明されており、平たく言えばクラウドベースの給与、年金、福利厚生システムだ。
今週公開された起訴状 [PDF] によると、ヒルマーは特に、NIFMSプラットフォームがFedRAMP Highベースラインおよび国防総省(DoD)のインパクトレベル4および5を満たすセキュリティコントロールを有効化しているかのように装うために動いていたとされる。
連邦リスク認可管理プログラム(FedRAMP)はセキュリティ評価を標準化するもので、連邦情報を保存するシステムは「High(高)」ベースラインを満たす必要がある。
DoDは独自のリスク管理フレームワークを持ち、インパクトレベル4および5は最高レベルのセキュリティを表す。IL4では、FedRAMP Moderate、FedRAMP High、DoD独自のコントロールなど、さまざまな基準を満たすことが求められ、IL5は非機密情報向けとしては最高レベルとなる。
裁判資料によると、アクセンチュアの契約総額は約3,000万ドルであり、その履行にはDoDインパクトレベル4の評価が必要とされていた。
ヒルマーは、FedRAMPを管轄する共同認可委員会に対し、プラットフォームのコンプライアンスレベルをModerateからHighに引き上げる申請書を提出した疑いがある。米政府は、アクセンチュアがこれを利用してDoDのIL5認定を取得しようとしていたと主張している。
この申請書には、プラットフォームのセキュリティに関するさまざまな虚偽および誤解を招く記述が含まれていた疑いがある。
「とりわけヒルマーは、アクセス制御、インシデント対応、および監査、ログ取得、モニタリング、アラートを含む継続的監視に関連する必須のセキュリティコントロールが、プラットフォームに実装されていないことを認識していた」と起訴状には記されている。
「またヒルマーは、顧客環境が、プラットフォームのシステムセキュリティ計画で説明されているようには、管理、監視、統制、保護されていないことも知っていた。」
ヒルマーは、社内の多数の関係者や外部のサイバーセキュリティコンサルタントから、プラットフォームがFedRAMP Highの要件に準拠していないと繰り返し指摘されていたにもかかわらず、こうした行為に及んだとされる。
法的文書に示された時系列によると、ヒルマーは2020年3月10日に申請書を提出し、同社は陸軍との契約を受注したためFedRAMP Highが必要であると記載し、関連するコントロールは2020年4月までに実装し、8月までに運用開始すると約束していた。
2020年6月には、外部コンサルタントがヒルマーに対し、100を超えるセキュリティコントロールが未実装であり、ケースによっては解決策すら特定されていないと伝えた。
彼女は、システムが準拠していないと知りながら、7月にReadiness Assessment Report(準備状況評価報告書)を承認した疑いがあり、その後数カ月にわたり、既知の問題を当局から隠し続けたとされる。
米政府によると、2020年9月には、ヒルマーは明示的に、すべてのFedRAMP Highコントロールが実装済みであり、陸軍との契約受注により2021年1月1日までに認定を取得する必要があると述べたという。
これらの虚偽説明は2021年9月まで続いたと米政府は主張しており、少なくとも6つの政府機関がこのプラットフォームの利用を計画していた。これにより、アクセンチュアは約2億5,000万ドル相当の契約を獲得できた可能性がある。
アクセンチュアの広報担当者はThe Registerに対し、「当社は以前から公開書類で開示しているとおり、社内調査を受けて、この件を自発的に政府に報告しました」と述べた。
「当社は政府の調査に対し広範に協力しており、今後も協力を続けます。連邦政府を含むすべてのクライアントにサービスを提供するにあたり、最高水準の倫理規範を守ることに引き続き尽力してまいります。」
同社は2023年10月12日に提出したForm 10-K [PDF] においても、同様の説明を証券取引委員会(SEC)に対して行っている。そこでは、司法省が「1人または複数の従業員」に対する民事および刑事手続きを開始しており、同社はその調査に全面的に協力していると記されていた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/12/us_sues_accenture_exec/
