オレメディア/ゲッティイメージズ
デビッド・ディモルフェッタ
サンフランシスコ — バイデン政権は最近、民間部門が悪用可能な欠陥のないソフトウェアを製造、リリースするための措置を講じるよう法的に奨励する枠組みを作成するためにソフトウェア開発者との協議を開始したと、ホワイトハウス当局者が月曜日に明らかにした。
国家サイバー長官室のサイバー政策・プログラム担当副長官ニック・ライザーソン氏は、サンフランシスコで開催されたRSAカンファレンスの聴衆に対し、ソフトウェアの責任を顧客からメーカーに移す法的条項を最も適切に作成する方法について意見を聞くため、ホワイトハウスが3月にソフトウェアメーカーへの働きかけを開始したと語った。
「この取り組みは、今後 8 ~ 10 か月にわたって行われます」と、同氏はカンファレンスの傍らで述べた。「私たちの焦点の多くは、目標は責任を問うことではなく、異なる、あるいは改善されたソフトウェア開発手法を奨励することだ、ということを伝えることです。」
同氏は壇上で、こうした議論は今年後半にはソフトウェアを使用する重要インフラ事業者にも拡大されるだろうと付け加えた。重要インフラの所有者や事業者はサードパーティのソフトウェアに大きく依存しており、規制当局は水道やダムなどのインフラシステムに欠陥のあるソフトウェアが組み込まれているとハッカーが簡単にシステムを乗っ取る可能性があるという懸念を公表している。
法律の専門家は、ソフトウェア市場は安全な開発を奨励しておらず、大手メーカーは契約に、インストール時にソフトウェアを「現状のまま」受け入れることをユーザーに義務付ける条項を織り込んでおり、サイバー攻撃を可能にする可能性のある欠陥を含む製品のリスク全体を顧客が負うようになっていると主張している。
安全なソフトウェアのインセンティブを支持する人々は、食品の安全性や自動車の基準に類似したものを比較し、ソフトウェア構築に関する法的指令は社会全体に利益をもたらすと主張している。一部のソフトウェアの欠陥は何年も前から存在していたが、完全には対処されていない。
課題としては、段階的な責任制度を創設するかどうか、またソフトウェアの欠陥によりユーザーが不当な扱いを受けた場合に仲裁が認められるかどうかなどが挙げられると彼は指摘した。
さらに、当局は世界中のシステムの基盤となっているオープンソース ソフトウェアの提供についても考慮する必要がある。最近、偽のオープンソース ソフトウェアのメンテナーが、プロジェクトを構築する基礎コードを妨害しようとしていることが発覚した。
解決策として考えられるのは、オープンソースを製品に組み込んでいるメーカーに、ツールが最新バージョンに更新されるように指示することだとライサーソン氏は言う。また、オープンソースの保守業者と、それらのオープンツールを自社製品に組み込んでいる営利企業の間で責任を共有するという案もあると同氏は付け加えた。
ソフトウェア賠償責任は、昨年発表されたバイデン政権の国家サイバー戦略の主要な要素であり、米国のサイバー態勢を強化することを目的とした約70の目標を概説している。
サイバーセキュリティ・インフラストラクチャセキュリティ庁は今週、民間部門がデフォルトでセキュリティ特性を組み込んだ製品を出荷することに焦点を当てた「設計によるセキュリティ」コミットメントの署名者を発表する予定である。
次の記事: 米国、新たな世界サイバー戦略でサイバー脅威に対抗しAIを保護するためのパートナーシップに照準を合わせる
あなたに特化したコンテンツの作成にご協力ください: