また、クラウドストライク同様に賠償責任を問われているマイクロソフトも同様である。マイクロソフトの利用規約には、「11保証」として「a. マイクロソフト、ならびにマイクロソフトの関連会社、リセラー、販売業者、およびベンダーは、お客様による本サービスの使用に関して、明示的であると黙示的であるとを問わず、保証または条件を一切提示しません。(略)お客様は、コンピューターおよび電気通信システムが完璧ではなく、時折ダウンタイムが発生することがあることに同意するものとします。マイクロソフトは、本サービスが安全で中断せず遅延およびエラーが発生しないこと、またはコンテンツの損失が発生しないことを保証しません。また、コンピューター・ネットワークへの接続またはコンピューター・ネットワークからの送信についても一切保証しません。」とある。
ソフトウェアベンダーは一切の保証をしないとする「利用規約」は、当然のようにソフトウェア業界の慣行として定着している。もし日本企業がIT分野をリードするような存在であったとしたら、米国から製造物責任を問われ莫大な損害賠償責任を負わされていたであろうことは、想像に難くないのではないだろうか。
陪審員裁判の行方
デルタ航空など被害にあった側が勝訴するには、損害賠償訴訟を陪審員裁判に委ねることだろう。陪審員の構成や心証によって判断が大きく変わる可能性に賭けるのだ。
今回のシステム障害は、クラウドストライクがWindows OSのカーネルモード(ハードウェアと直接やり取りができる高権限モード)でのアクセスに失敗したことが直接の原因だが、マイクロソフトには、クラウドストライクがカーネルモードでのアクセスを認めていたことに責任がある。カーネルへのアクセスには、システムが停止するかもしれないという重大なリスクがあり、アップルのiOSがそうであるように、そもそもアクセスを認めなければ今回のシステム障害は発生していない。
また、カーネルへのアクセスが失敗した時のためにLinux OSでは「eBPF」という技術が採用されている。マイクロソフトは「eBPF」をWindows OSに搭載することを怠ったのだ。
米国土安全保障省サイバーインフラ安全局(CISA)のジェン・イースタリー長官は、4月に開催されたセキュアバイデザイン・イニシアティブ(Secure by Design initiative)設立1周年を祝う席で「セキュアバイデザイン(情報セキュリティを企画・設計段階から確保するための方策)の原則は、テクノロジーの利用者ではなくテクノロジーメーカーにサイバーセキュリティの責任を負わせることで、今日のテクノロジーエコシステムにおいて米国民の安全を確保することを目的としています」と述べている。すべてのテクノロジー・プロバイダーは、経営レベルで責任を持ち、自社の製品が設計上安全であることを保証する必要があるということだ。だとすればWindowsへの「eBPF」の実装もマイクロソフトの責務だということがいえるだろう。
この理屈を陪審員に説明できれば、「利用規約」がどうであれ、裁判に勝てると思うのは筆者だけだろうか。
