|
|
LIN NEWS
法人ニュース
- Home
- /
- 法人ニュース
- /
- LIN News
LIN News
[Tech Legal Insights] 2024年のクラウドストライクによる電算麻痺事件
2024.11.22
関連業務分野
メンバー
「死のブルースクリーン」騒動
去る7月19日、米国のクラウドベースのサイバーセキュリティ会社であるクラウドストライク(CrowdStrike)が配布したソフトウェア「Falcon Sensor」のアップデートがMS Windowsと衝突を起こし、数百万台のWindowsシステムで画面全体が青くなる現象である「死のブルースクリーン」(Blue Screen of Death)エラーが発生しました。
これにより、米国の主要航空会社であるアメリカン航空など5千便以上の航空機の運航が遅延またはキャンセルされ、銀行や証券取引所の運営にも支障をきたし、放送局では手書きの地図で天気予報をする事態にまで発生しました。10億ドル(約1兆4千億ウォン)を超える復旧費用がかかると予想されており、すでに法的訴訟手続きに着手したデルタ航空を含め、関連訴訟が相次いで提起される可能性が高そうです。
専門家は、被害補償に関して多数の訴訟が提起される可能性を高く見ていますが、クラウドストライクが顧客と締結した契約に免責条項が含まれている場合、法的に保護される可能性も念頭に置いています。
韓国に与えた影響は?
韓国はクラウドストライクを使用する企業の数が比較的少なく、被害は限定的でしたが、一部の格安航空会社の航空券予約・発券システムにエラーが発生したり、ゲーム会社のサーバーに障害が発生し、緊急点検を行うこともありました。
今回の事態により、国内でもソフトウェアアップデートの徹底したテストと品質保証の重要性が改めて強調され、このような大規模障害の影響を最小限に抑えるための緊急計画と迅速な対応メカニズムを構築する必要性が指摘されています。
EUが制定した「サイバーレジリエンス(復元力)法」(CRA, Cyber Resilience Act)をご存知ですか?
これに関連して、欧州連合(EU)が制定したCRAも注目されています。
CRAは、EUがサイバーセキュリティ事故が及ぼす莫大な影響力を考慮し、デジタル要素を含む製品のサイバーセキュリティを強化することで、消費者と企業を保護するために制定した規制法です。
この法律によると、デジタル製品は設計段階からセキュリティを考慮して開発され、製品のライフサイクル中に定期的なセキュリティアップデートを提供しなければならないなど、厳格なサイバーセキュリティ要件を遵守しなければなりません。また、製造業者は製品の脆弱性を迅速に識別して解決しなければならず、そのための脆弱性管理プロセスを備えなければなりません。
深刻なサイバーセキュリティ事故が発生した場合、24時間以内に欧州連合サイバーセキュリティ庁(ENISA, EU Agency for Cybersecurity)と国家コンピュータセキュリティ事故対応チーム(CSIRT, Computer Security Incident Response Team)に報告することを義務化しています。2024年3月12日に欧州議会で承認され、下半期に発効する予定です。
去る7月19日、米国のクラウドベースのサイバーセキュリティ会社であるクラウドストライク(CrowdStrike)が配布したソフトウェア「Falcon Sensor」のアップデートがMS Windowsと衝突を起こし、数百万台のWindowsシステムで画面全体が青くなる現象である「死のブルースクリーン」(Blue Screen of Death)エラーが発生しました。
これにより、米国の主要航空会社であるアメリカン航空など5千便以上の航空機の運航が遅延またはキャンセルされ、銀行や証券取引所の運営にも支障をきたし、放送局では手書きの地図で天気予報をする事態にまで発生しました。10億ドル(約1兆4千億ウォン)を超える復旧費用がかかると予想されており、すでに法的訴訟手続きに着手したデルタ航空を含め、関連訴訟が相次いで提起される可能性が高そうです。
専門家は、被害補償に関して多数の訴訟が提起される可能性を高く見ていますが、クラウドストライクが顧客と締結した契約に免責条項が含まれている場合、法的に保護される可能性も念頭に置いています。
韓国に与えた影響は?
韓国はクラウドストライクを使用する企業の数が比較的少なく、被害は限定的でしたが、一部の格安航空会社の航空券予約・発券システムにエラーが発生したり、ゲーム会社のサーバーに障害が発生し、緊急点検を行うこともありました。
今回の事態により、国内でもソフトウェアアップデートの徹底したテストと品質保証の重要性が改めて強調され、このような大規模障害の影響を最小限に抑えるための緊急計画と迅速な対応メカニズムを構築する必要性が指摘されています。
EUが制定した「サイバーレジリエンス(復元力)法」(CRA, Cyber Resilience Act)をご存知ですか?
これに関連して、欧州連合(EU)が制定したCRAも注目されています。
CRAは、EUがサイバーセキュリティ事故が及ぼす莫大な影響力を考慮し、デジタル要素を含む製品のサイバーセキュリティを強化することで、消費者と企業を保護するために制定した規制法です。
この法律によると、デジタル製品は設計段階からセキュリティを考慮して開発され、製品のライフサイクル中に定期的なセキュリティアップデートを提供しなければならないなど、厳格なサイバーセキュリティ要件を遵守しなければなりません。また、製造業者は製品の脆弱性を迅速に識別して解決しなければならず、そのための脆弱性管理プロセスを備えなければなりません。
深刻なサイバーセキュリティ事故が発生した場合、24時間以内に欧州連合サイバーセキュリティ庁(ENISA, EU Agency for Cybersecurity)と国家コンピュータセキュリティ事故対応チーム(CSIRT, Computer Security Incident Response Team)に報告することを義務化しています。2024年3月12日に欧州議会で承認され、下半期に発効する予定です。
[Legal Insights]
- サイバーサプライチェーン(Cyber Supply Chain)の重要性を認識しなければなりません。
今回の事態は、通常の企業活動の一部であるサイバーサプライチェーン内で発生する可能性のある潜在的なリスクの実態を如実に示しました。サイバーテロやハッキングによるものではなく、供給されたセキュリティプログラムをアップデートする過程で発生したため、より衝撃的でした。
これを機に、複雑なサイバーサプライチェーンに潜在的なリスクを識別して管理することが重要であることを認識し、サードパーティ(Third-party)ソフトウェアの使用に伴うリスク評価及び管理体系を整えなければなりません。信頼できるサプライヤーを選択し、必須の業界標準及び規制に従う厳格な品質管理プロトコルを遵守するよう要求する一方、サプライチェーンを多様化して多様な技術生態系を構築することで、単一障害点(SPOF, Single Point of Failure)の影響を最小限に抑えることも必要です。
- ビジネス継続性計画」を策定し、「サイバー復元力」を高めなければなりません。
予期せぬ事故発生時にも、ビジネスの主要機能運営の障害を防ぎ、損失を最小化し、顧客の信頼を維持できる「ビジネス継続計画」(BCP, Business Continuity Plan)を策定しなければなりません。
このため、事故発生を想定して迅速に対応し、定期的なシミュレーションと訓練を通じて準備状態を点検し、改善するなどのサイバー復元力(Cyber Resiliency)を高めるための努力を継続しなければなりません。
- 法的紛争に備える必要があります。
事故発生による複雑な法的紛争に先制的に対応する必要があります。
まず、紛争発生に備えてサービスレベル協約(SLA, Service Level Agreement)を締結し、サービス提供者と顧客の責任と義務を明確に規定しなければなりません。違反時の制裁や補償方法を明示し、災害復旧、緊急事態への対応手順、重要システムの場合、アップデート前のテストを義務化する規定などを含める必要があります。事故と関連した契約上の免責条項を含めるかどうか及びその規定方式についても留意しなければなりません。
次に、現行の製造物責任法、情報通信網法、個人情報保護法など関連法令で定められた規制義務に違反していないかなどを詳細に検討して、事故による責任を最小化できるように事前に準備する必要があります。国境を越えた被害が発生する可能性があるため、国際訴訟及び準拠法の決定など国際司法手続に対する理解が必要であり、多様な利害関係者が介入した複雑な紛争の様相が展開される可能性があるという点で、適時適切な法的援助を受ける必要があることを念頭においてください。
今回の事態は、通常の企業活動の一部であるサイバーサプライチェーン内で発生する可能性のある潜在的なリスクの実態を如実に示しました。サイバーテロやハッキングによるものではなく、供給されたセキュリティプログラムをアップデートする過程で発生したため、より衝撃的でした。
これを機に、複雑なサイバーサプライチェーンに潜在的なリスクを識別して管理することが重要であることを認識し、サードパーティ(Third-party)ソフトウェアの使用に伴うリスク評価及び管理体系を整えなければなりません。信頼できるサプライヤーを選択し、必須の業界標準及び規制に従う厳格な品質管理プロトコルを遵守するよう要求する一方、サプライチェーンを多様化して多様な技術生態系を構築することで、単一障害点(SPOF, Single Point of Failure)の影響を最小限に抑えることも必要です。
- ビジネス継続性計画」を策定し、「サイバー復元力」を高めなければなりません。
予期せぬ事故発生時にも、ビジネスの主要機能運営の障害を防ぎ、損失を最小化し、顧客の信頼を維持できる「ビジネス継続計画」(BCP, Business Continuity Plan)を策定しなければなりません。
このため、事故発生を想定して迅速に対応し、定期的なシミュレーションと訓練を通じて準備状態を点検し、改善するなどのサイバー復元力(Cyber Resiliency)を高めるための努力を継続しなければなりません。
- 法的紛争に備える必要があります。
事故発生による複雑な法的紛争に先制的に対応する必要があります。
まず、紛争発生に備えてサービスレベル協約(SLA, Service Level Agreement)を締結し、サービス提供者と顧客の責任と義務を明確に規定しなければなりません。違反時の制裁や補償方法を明示し、災害復旧、緊急事態への対応手順、重要システムの場合、アップデート前のテストを義務化する規定などを含める必要があります。事故と関連した契約上の免責条項を含めるかどうか及びその規定方式についても留意しなければなりません。
次に、現行の製造物責任法、情報通信網法、個人情報保護法など関連法令で定められた規制義務に違反していないかなどを詳細に検討して、事故による責任を最小化できるように事前に準備する必要があります。国境を越えた被害が発生する可能性があるため、国際訴訟及び準拠法の決定など国際司法手続に対する理解が必要であり、多様な利害関係者が介入した複雑な紛争の様相が展開される可能性があるという点で、適時適切な法的援助を受ける必要があることを念頭においてください。
* * *
法務法人 麟(LIN)TMTチームは、個人情報保護、フィンテック、ブロックチェーンなどの関連分野について、総合的なワンストップ法律サービスを提供しています。
当所のニュースレターに掲載された内容及び意見は、一般的な情報提供のみを目的として発行されたものであり、 法務法人麟の公式的な見解や法律的な意見ではないことをお知らせいたします。
上記内容について、ご不明な点がございましたら、お気軽に当所TMTチーム(Tel. 02-3477-8695)までお問い合わせください。
法務法人 麟(LIN)TMTチームは、個人情報保護、フィンテック、ブロックチェーンなどの関連分野について、総合的なワンストップ法律サービスを提供しています。
当所のニュースレターに掲載された内容及び意見は、一般的な情報提供のみを目的として発行されたものであり、 法務法人麟の公式的な見解や法律的な意見ではないことをお知らせいたします。
上記内容について、ご不明な点がございましたら、お気軽に当所TMTチーム(Tel. 02-3477-8695)までお問い合わせください。
関連業務分野
メンバー
| メンバー |
|
| Share |
|
