Last Updated on 2024-05-03 09:27 by 荒木 啓介
専門家によると、ソフトウェアのセキュリティに関して、ベンダーの責任が不十分であるという。実際の法律制定は遠い将来の話であり、少なくとも10年はかかると見られているが、不安全なソフトウェア製品に対する法的責任を高める議論を始めることを政策専門家が目指している。
バイデン政権も、不安全なソフトウェアベンダーに対するより大きな責任を支持している。しかし、ライセンスや契約保護により、脆弱な製品が顧客に数百万ドルの損害をもたらしても、企業は責任を回避してきた。例えば、マイクロソフトのライセンスでは、製品の欠陥に対するいかなる責任も否認している。
Progress SoftwareのMOVEitファイル転送ソフトウェアの脆弱性が原因で600以上の組織が侵害され、4000万人以上の個人情報が漏洩したにもかかわらず、顧客の損失に対する責任を回避している。代わりに、Progressは自社のサイバー保険ポリシーの全額1500万ドルの支払いを目指している。
また、Oktaはそのソフトウェアが顧客をサイバー攻撃にさらし、損失をもたらした別の例である。2023年末までに、Oktaは未承認ユーザーが全顧客のデータにアクセスできたことを確認した。
不安全なツールを意図的に生産する開発者に対する責任を持たせることは、ソフトウェアベンダーから期待される合理的なセキュリティレベルを定義することに大きく依存する。また、検出が困難な欠陥に対しては、ソフトウェア開発者のための「安全港」を提唱している。
バイデン政権は、不安全なソフトウェア開発者に対する法的責任を実現するためには立法が必要であることを認識しており、これを10年間の課題と見ている。
【ニュース解説】
ソフトウェア製品のセキュリティに関して、ベンダー(開発・販売企業)の責任が不十分であるという問題が指摘されています。この問題に対処するため、政策専門家たちは、不安全なソフトウェア製品に対する法的責任を強化する議論を進めていますが、実際に法律が制定されるまでには少なくとも10年かかると見られています。
現在、多くのソフトウェアベンダーは、ライセンス契約や利用規約において、製品の欠陥によるいかなる損害に対しても責任を負わないという条項を設けています。このような保護措置により、脆弱性を持つ製品が原因で顧客が大きな損害を受けても、ベンダーは法的な責任を回避してきました。
例えば、Progress SoftwareのMOVEitというファイル転送ソフトウェアの脆弱性が原因で、600以上の組織が侵害され、4000万人以上の個人情報が漏洩しましたが、同社は顧客の損失に対する責任を回避し、サイバー保険からの支払いを求めています。
このような状況に対して、ソフトウェア開発者が意図的に不安全なツールを生産した場合に責任を問うためには、ソフトウェアベンダーから期待されるセキュリティレベルの合理的な基準を定義することが重要です。また、検出が困難な欠陥に対しては、開発者を保護する「安全港」の概念が提案されています。
バイデン政権も、この問題に対処するためには立法が必要であると認識しており、不安全なソフトウェア開発者に対する法的責任を強化することを長期的な課題として捉えています。
この動きが実現すれば、ソフトウェアのセキュリティ基準が向上し、消費者や企業が受けるサイバー攻撃のリスクが低減される可能性があります。しかし、同時に、ソフトウェア開発のコスト増加やイノベーションの抑制といった潜在的なリスクも考慮する必要があります。また、どのようなセキュリティ基準が「合理的」であるかの定義や、検出が困難な欠陥に対する「安全港」の具体的な基準設定も、今後の大きな課題となるでしょう。
from Software Security: Too Little Vendor Accountability, Experts Say.
