サンフランシスコ発--ソフトウェアの欠陥を減らし、それによってウイルスの攻撃を抑えるために、ソフトウェア業界に規制を導入することのメリットをめぐり、米国時間16日にセキュリティ分野の専門家らが議論を交わした。
当地で開催中のRSA Conferenceで、セキュリティ業界の専門家らによるパネルディスカッションが行われた。パネリストらは、ソフトウェアの欠陥がウイルスやワームに付け入る隙を与えている現状を踏まえ、ソフトウェア業界に規制を導入すべきかどうかをめぐって意見を戦わせた。こうした計画がどの程度の効力を持つか、またそれによって技術革新が妨げられることはないかという点で、参加者の意見は分かれた。
「問題は規制するかどうかではない。私が懸念しているのは、規制を導入すると往々にしてそれが技術革新の妨げになることだ。ソフトウェア業界にとっては技術革新がすべてだ」と、Information Technology Association of America会長のHarris Millerは述べた。
IT業界団体TechNetのCEO、Rick WhiteもMillerと同じ意見だ。同氏は、業界は結束して、欠陥を最低限に抑えるようなソフトウェア開発のベストプラクティスをまとめたガイドラインをつくるべきだとし、規制の導入に反対した。
ワシントン州選出の議員だったWhiteは、「この業界で働く人間よりも議会が上手にこの問題を解決できることはない」と述べた。
しかし、これと違った見方をするパネリストもいた。
Good Harbor Consulting会長でサイバーセキュリティに関する元大統領特別顧問のDick Clarkeは、業界にガイドラインを策定させ、それを守らせる取り組みは、過去に何度も失敗していると指摘。同氏はその例として、米連邦通信委員会(FCC)議長のMichael PowellがISP業界と結んだ取り決めを挙げた。
PowellはISP各社と話し合い、それを踏まえて各社はガイドラインを策定した。そして、Powellが各社に対し、このガイドラインに従わなければ規制を導入すると圧力をかけたにも関わらず、各社は自ら設定したガイドラインに従わなかった、とClarkeは説明した。
「PowellはISP業界に対してハッタリを使った。ISP側はそのことを知っていた。そしてPowellはまもなく退任しようとしている」(Clarke)
また、暗号技術の専門家であるBruce Schneierのような他のパネリストは、ソフトウェアメーカーに対して、製品を市場に投入する前にもっとよくコードを検査するよう働きかけることを求めた。
「コードをよく検査することが自分たちの利益につながるような仕組みを作らなければ、ソフトウェアメーカーは対応してくれない。そのためには、金銭的な動機付けを行う必要がある」とSchneierは述べ、「規制を導入すれば、セキュリティ対策をしなかった企業にはツケがまわってきて、最終的に高いコストを支払うことになるだろう。その結果、ソフトウェアメーカーは、熱心にセキュリティテストを行うようになるだろう」(Schneier)
Schneierは、現在自社製品をリリースする前にきちんとテストする時間をとっている企業は、その分コストが余計にかかり、市場への出荷も遅れるため、不利な立場に置かれると指摘した。
さらに、顧客がベンダーと製品の購入契約を結ぶ前に、一定レベルのセキュリティテストを行うよう求めることが、金銭的なインセンティブになるかもしれないと、Schneierは述べた。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」