CloudStrike社が引き起こしたシステム障害の損害と賠償 ～巨額の保険金支払いと集団訴訟～

先月の7月19日に発生したCloudStrike社のEDRであるFalconの更新プログラムが
原因となって引き起こされたWindowsの障害はグローバルで大きな混乱をもたらしました。

発生から１ヶ月が経過して、事態そのものはほぼ収束したと見られ、
焦点は発生した損害の賠償へと移りつつあります。

既に複数のサイバーリスク分析企業が保険金支払額の見込み額を発表しています。
それによると最低でも4億ドル、最大で15億ドル程度になる模様です。
サイバー保険に含まれる「システム停止による損害」が適用される場合の想定です。

また、7月31日にはCloudStrike社の株主が、
8月5日にはシステム障害の被害に遭ったユーザーが、
それぞれ、集団訴訟を起こしています。

そして、米国の大手航空会社はCloudStrike社だけでなくMicrosoft社まで
非難の矛先を向けた上での訴訟を検討中と表明しています。

いずれも、決着がつくまで時間がかかる事ですが、
ここでの結果が今後のサイバー保険の引き受け基準、
および、システム提供者の責任範囲と大きさの定義に与える影響は小さくないと予想されます。
行く末をしっかり見守っていきたいと思います。

※こちらは、執筆時点2024年8月21日での情報に基づいて書かれています。
従って、その後に明らかになった事などが
内容の充足度合いや正確さに影響を及ぼしている可能性が有ります。

弊社の社名となっている「レジリエンス」は「回復力」や「弾性」を意味する英単語です。
つまり、環境の変化や突発的な事象に対してしなやかに粘り強く対応していく立ち位置を意味しています。
目まぐるしく変化する時流の中で、それを見極めつつ流されない解決策を提案致します。

そして、弊社はITインフラとセキュリティのプロフェッショナル集団として
多数の実績を誇る株式会社アイロバと密接なパートナー関係にあります。
同社はWAFの【Blue Sphere】をはじめとした国産独自開発のソリューションも多数保有し、
同時にインターネットから脆弱性の露出状況を把握できる
【Security Scorecard】の国内代理店でもあります。

【監修】
サイバーレジリエンス株式会社　CTO 米沢 和希
■CISSP-ISSAP（情報システムセキュリティプロフェッショナル認定）
■CISA（公認情報システム監査人）
■PMP　(プロジェクトマネジメントプロフェッショナル国際資格）