CrowdStrike vs. デルタ航空:750億円規模の訴訟で問われるサイバーセキュリティの責任範囲

 - innovaTopia - (イノベトピア)

米デルタ航空は2024年10月25日、サイバーセキュリティ企業CrowdStrikeを相手取り、5億ドル(約750億円)の損害賠償を求める訴訟をジョージア州フルトン郡上級裁判所に提起した。

訴訟の原因は2024年7月19日に発生したCrowdStrikeのFalconセキュリティソフトウェアのアップデートによる大規模なシステム障害。この障害により、デルタ航空は5日間で約7,000便のフライトをキャンセルし、約130万人の乗客に影響が及んだ。

デルタ航空のエド・バスティアンCEOによると、この障害による損失は以下の通り:
直接的な損失:3億8,000万ドル(5日間)
総損失:5億ドル以上(顧客補償、ホテル代等含む)

一方、CrowdStrikeも同日、デルタ航空に対して反訴を提起。同社は「デルタ航空の主張は誤った情報に基づいており、現代のサイバーセキュリティの理解が不足している」と反論。システム復旧の遅れは、デルタ航空の「時代遅れのIT基盤」が原因だと主張している。以下はCrowdStrike社の主張全文である。


「当社はお客様を第一に考えたビジネス上の解決を目指しておりましたが、デルタ航 空会社は別の道を選択しました。 同社の主張は反証された誤った情報に基づいてお り、最新のサイバーセキュリティの仕組みに対する理解不足を示すものです。 また、 復旧の遅れの責任を、 時代遅れのITインフラストラクチャを近代化しなかった失敗か ら転嫁しようとする苦肉の策でもあります。 同社が主張する損害はクラウドストライ クによるものではないこと、クラウドストライクおよびマイクロソフト社の支援を繰 り返し拒否したことを明確にするため、 当社は宣言判決を申し立てました。 重大な過 失や故意の不正行為という主張には、事実に基づく根拠はありません。」

from Delta Launches $500M Lawsuit Against CrowdStrike 

編集部解説

今回の事案は、現代のITインフラとサイバーセキュリティの複雑な関係性を浮き彫りにしています。

デルタ航空とCrowdStrikeの対立の背景には、「レガシーシステム」と「最新のサイバーセキュリティ」という二つの異なる技術世界の衝突があります。航空会社のシステムは、安全性と信頼性を重視するため、新しい技術の導入に慎重にならざるを得ません。

一方で、サイバーセキュリティの世界では、新しい脅威に迅速に対応するため、頻繁なアップデートが必要不可欠です。CrowdStrikeのFalconソフトウェアは、このような迅速な対応を可能にする設計になっています。

特筆すべきは、今回の障害がデルタ航空だけでなく、オーストラリアのスーパーマーケットチェーンやロンドン証券取引所など、世界中の企業に影響を与えたという点です。しかし、他の航空会社は1-2日で復旧できたのに対し、デルタ航空の復旧に5日間を要したことは、現代のIT基盤の「柔軟性」と「回復力」の重要性を示唆しています。

この事案は、企業のITインフラ近代化と、セキュリティ対策の両立という課題を提起しています。特に、重要インフラを担う企業にとって、システムの安定性とセキュリティアップデートの即時性をどのようにバランスを取るかは、今後さらに重要な課題となるでしょう。

また、今回の訴訟は、IT契約における責任範囲の明確化の重要性も示しています。特に「重大な過失」や「故意の不正行為」といった法的概念が、現代のIT環境でどのように解釈されるべきかという新しい課題を投げかけています。

今後、同様の事案を防ぐためには、段階的なアップデートの展開や、ロールバック機能の実装など、基本的なIT業界標準プラクティスの遵守が不可欠となるでしょう。

参考情報

【関連サイト】

  1. Delta Air Lines(外部)
    米国を代表する大手航空会社。世界200以上の目的地へ毎日運航するグローバルキャリア。
  2. CrowdStrike(外部)
    クラウドベースのエンドポイントセキュリティを提供する世界的なセキュリティ企業。

【関連記事】


ホーム » サイバーセキュリティ » サイバーセキュリティニュース » CrowdStrike vs. デルタ航空:750億円規模の訴訟で問われるサイバーセキュリティの責任範囲