ライセンスの落とし穴 - 何を避けるべきか?

『フォーブス』に掲載された「Sandbox Vendors Ignore Microsoft License Agreements (サンドボックスのベンダー、Microsoftのライセンス契約を無視)」という興味深い記事では、「組み込みシステム向けのMicrosoftのカスタマーライセンス契約(CLA)は (中略) Windowsまたは一般的なOfficeソフトの複数の仮想インスタンスを作成できる製品をベンダーが製造することを規定していません。それどころか、仮想環境にWindowsを同梱して製造する事は明確に禁じられています」と指摘されています。

この記事を読むと、FireEyeなどのセキュリティベンダーは、サンドボックス製品の製造に関してMicrosoftのライセンス契約に違反しているように思われます。それだけでなく、異例かつ強引な対策として、どうやらエンドユーザー使用許諾契約(EULA)のなかで、Microsoftライセンス違反の責任をユーザーに転嫁しているようです。その一部をご紹介しましょう。

(本契約の諸条件のほかに)サードパーティー ソフトウェアは、サードパーティー ソフトウェアのそれぞれのライセンスに従うものとする(またライセンシーは、ライセンス不順守についてFireEyeを補償することに同意し、実際に補償する)。

サンドボックス製品の製造について明らかにMicrosoftとのライセンス契約に違反しているベンダーがいると考えると、この問題はユーザーにどのように影響するでしょうか? ライセンスを受けていないMicrosoftソフトウェアを含むFireEye製品をインストールしているユーザーは、サンドボックス製品を実行してWindows仮想マシンを動作させると、おそらくMicrosoftのライセンス条件に違反することになるでしょう。さらに、FireEyeのEULAの表現に従って厳密に解釈すると、FireEyeのユーザーは、自身のMicrosoftライセンス違反だけでなくFireEyeの製品製造違反にも巻き込まれることになります。つまりFireEyeのユーザーは、MicrosoftとFireEyeの両方の責任を負うことになるのです。

どうしてこのようなことになっているのでしょうか?サードパーティー コンポーネントを含む製品を購入する際には、最善策としてどのような行動をとればよいのでしょうか?ユーザーはリスクにさらされてしまうのでしょうか?

  • どのような購入のケースでもそうですが、あらゆる契約の条件を弁護士に入念にチェックしてもらう必要があります。その際、サードパーティーのソフトウェアまたはコンポーネントを含む製品のパススルー ライセンスについてもチェックする必要があります。
  • 最近のネットワーキング製品やセキュリティ製品のほとんどはサードパーティー コンポーネントを使用しており、主な市販のサンドボックスも市販のサードパーティー コンポーネントを使用しています。そのため、「正規のMicrosoftソフトウェアを使用している」ことを表明しているものを見つけなければなりません。
  • たとえば、フォーティネットのサンドボックスを購入すると、Microsoftライセンスカードが同梱されており、またMicrosoftライセンスごとにMicrosoftステッカーが付いています。組み込み式仮想セキュリティ デバイス向けの新しいMicrosoft CLA(新たなサンドボックス環境に対応したCLAの改定)ではこのことが義務付けられており、ライセンスカードとライセンスステッカーがMicrosoftから提供されます。同梱・添付されていない場合は、ベンダーに問い合わせる必要があります。
  • オープンソースの開示とその他のサードパーティーの市販コンポーネントの開示についても検討する必要があります。
  • たとえば、フォーティネットのEULAでは、組み込み型オープンソース コンポーネントの開示について規定しています。実際、フォーティネットのEULAは(必要に応じて)ライセンス条項の全文を掲載しています。FireEyeもLinuxに基づいており、多様なオープンソース コンポーネントを利用しているため、同様の開示が行われていなければならないのですが、実を言うと、FireEyeのEULAを見直してもオープンソースの開示が見当たりません。これは重大な問題です。
  • コンポーネントのライセンス違反はユーザーや購入者にどのようなマイナスの影響を及ぼすでしょうか?フォーブスのStiennon氏が自身の記事で指摘しているように、Microsoftはユーザーを追跡することはないでしょう。ただしMicrosoftは、ベンダーとユーザーがライセンス条件に従うことを期待し、それを要求する権利を有しているはずです。そのため、Microsoftはサンドボックスのベンダーと話し合い、最終的には順守に至るものと思われます。(公表はされないと思われますが)サードパーティーの知的財産権を軽視した製品のリリースや事業の構築に対してペナルティが科されるかどうか、興味深く見守りたいと思います。また、すでに発送済みのライセンス条件に違反した製品についてどのように扱うかも明らかになっていません。万が一、Microsoftとベンダー間の話し合いで問題が解決されない場合、Microsoftが不順守にどのように対応するかも見ものです。

結局は、ネットワーク セキュリティにとって、脅威を取り除いてリスクを軽減することが最も重要な課題です。最近、多くのベンダーが高度脅威保護(ATP)手段(サンドボックス)を提供していることは、高度なマルウェアを阻止する重要な第一歩であると言えるでしょう。それでも、ある一定のベンダーからこのようなツールを購入すると、新たな法的責任が生じ、予期せぬリスクにさらされる可能性もあるのです。