2024年7月19日、Microsoft Windowsのデータ障害^※で全世界のシステム管理者が顔面真っ青になり、お年寄りしか見ないテレビまで話題にするような大騒ぎとなりました。

※画面が真っ青になるのでブルースクリーン問題とも言われた。

かなりの大混乱になりましたね。特に航空会社が乗客のチェックインを手作業で行っていたのは混乱を通り越して少し滑稽に映りました。

私もその第一報をスマホで得て自分のPCを立ち上げてみましたが、何の問題もありませんでした。時間がたつにつれ、特定のセキュリティソフトを契約しているバージョンだけの問題だとわかりホッとしました。

対策ソフトがシステムに悪影響を与えるのは本当に本末転倒していますよね。

決して悪意を持った外部からのサイバー攻撃があったわけではありません。たった1つのファイルの更新で、ATMやコンビニが機能停止、さらに飛行機までもが飛べなくなる事態がおこったのです。
起こったことの詳細についてはCrowdstrike社の公式ブログで説明されています。

詳しく知りたい方は下記URLを参照してください。
https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details

Windowsだけでなく大部分のシステムがこのようなリスクを抱えています。
コンピューター界の大御所Alan Curtis Kay（アラン・ケイ）をご存じの方も多いと思います。彼は20年も前に次にように言っています。

Most software today is very much like an Egyptian pyramid with millions of bricks piled on top of each other, with no structural integrity, but just done by brute force and thousands of slaves.

AIで翻訳すると「今日のほとんどのソフトウェアは、何百万ものレンガが互いに積み重ねられたエジプトのピラミッドのようなものであり、構造的な完全性はなく、ただ力ずくで何千もの奴隷によってつくられたものである。」となります。

これはまたすごいたとえのようですが、言い得て妙な気もします。

今ではピラミッドは奴隷によって作られたのではないという説が有力ですが、彼の言ったままのほうがソフトウェア製造業界の実態に合っているように思えます。

一貫性がないままに積み重ねられてきた、ということでしょうか？

進歩の過程では一貫性や思想が初めから見定まるわけではありません。そういう意味で今日のシステムは非常に複雑な構造であり、その1つのレンガ（ソフトウェアモジュール）に問題が起こるだけでピラミッドにゆがみ（システムエラー）が生じ、時には崩壊するなどの重大な障害となることを、アラン・ケイは20年も前に見切っていたのです。

システム障害により電力供給がストップするのはSFや映画の世界だけではなさそうですね。

ソフトウェアを構成するモジュールはレンガのように単純な構造ではないので、モジュールの小さな問題が複雑なシステムにどのような影響を及ぼすのかは誰にも予測できないのです。

そういうハザードリスクは常に存在する、と考えた方が良さそうですね。

私たちはそのような複雑なシステムに依存して生活しています。私が気にしているのはメガバンクのシステムです。
今日のメガバンクは複数の銀行が合併してできたものです。結果として、現在のメガバンクのシステムは複数の銀行システムを複雑に組み合わせたものになっているのです。もう全貌を知っている人はどこにもいない複雑なシステムです。これらのシステムの堅牢性は大丈夫なのでしょうか。私のような素人はそれを考えると怖くなります。

みずほ銀行なんかは最たる例ですね。（笑）

少し専門的ですが、システムの堅牢性に関する法律を紹介します。

システムの堅牢性を要求するEUの法令にサイバーレジリエンス法があります。サイバーレジリエンス法は2022年9月に素案が提出され、そこには2025年後半の適用を目指していると書かれていました。
2023年11月30日に欧州議会とEU理事会が政治的合意に達したという情報があって以来、新しい情報は私の手元には入ってきていません。

また、前回記事にしたEU AI法には以下の記載があります。

技術的な堅牢性は、高リスクのAIシステムの重要な要件である。それらは、システム内の制限またはシステムが動作する環境（例えば、エラー、故障、不整合、予期しない状況）から生じる可能性のある有害なまたはその他の望ましくない動作に対して耐性があるべきである。したがって、高リスクのAIシステムの堅牢性を確保するために、例えば、有害なまたはその他の望ましくない動作を防止または最小化するための適切な技術的解決策を設計および開発することによって、技術的および組織的な措置が取られるべきである。これらの技術的解決策には、例えば、特定の異常が存在する場合、または動作が特定の所定の境界の外で行われる場合に、システムがその動作を安全に中断することを可能にするメカニズム（フェイルセーフ計画）が含まれてもよい。これらのリスクに対する保護を怠ると、例えば、AIシステムによって生成される誤った決定または誤ったもしくは偏った出力により、安全への影響または基本的権利に悪影響を及ぼす可能性がある。

AIに対しても堅牢性が求められていることがわかります。注意してほしいのは、上記は規則ができた背景の部分で述べられていることであり、要求ではないことです。第15条に正確性、堅牢性、およびサイバーセキュリティに関する要求が記載されています。

ハッキングによりインフラを麻痺させる、という映画シーンはいくつもありますね。

日本にはサイバーセキュリティ基本法がありますが、この法律はインターネットその他の高度情報通信ネットワークのサイバーセキュリティに関する法律です。

法律の定義によれば、「サイバーセキュリティとは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式（以下この条において「電磁的方式」という。）により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置（情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体（以下「電磁的記録媒体」という。）を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。）が講じられ、その状態が適切に維持管理されていることをいう。」とあります。

相変わらず法律の条文は何を言っているのかわかりにくいですが、対策を講じなさいということですね？

簡単には「個人情報が外部に漏れたり、システムが悪意を持った外部の第三者に乗っ取られたりしないようにすることをサイバーセキュリティといいます」といっているのです。

適切に維持管理していても、今回のようなCrowdstrike社の事体に遭遇したら大損害ですね。

ほんとに、サイバーセキュリティに気を付けても、複雑なシステムの問題は解決しないので、いつまたこんなトラブルが起きるかわからないということです。大損害ではありますが、今までに受けてきた利益はそれに見合っているといえるのかもしれません。

それにしても、適切な維持管理とは、なんとも曖昧な表現です。

残念ながら、そのようにしか言えないのですよ。起こることが予測できても手は打てない。何が引き金となるかわからないから、具体的な対応策はとれないのです。複雑なシステムでも一人で開発したものであれば対応策も思いつけるでしょうが、現実にはそんなシステムはありません。

ありがとうございました。

徳田直樹 プロフィール