サイバーセキュリティの責任はソフト開発企業にあり

サイバーセキュリティの責任をソフトウェア開発企業に責任を負わせる動きが進んでいる。だが、どんなに努力してもある程度の脆弱性は残るだろう。開発企業の責任はどうなるのか。

[David Jones，Cybersecurity Dive]

　サイバー攻撃はソフトウェアの脆弱（ぜいじゃく）性を利用することが少なくない。ユーザー企業は自社が利用しているソフトウェアの脆弱性情報を監視して、アップデートしなければならない。

ソフトウェアを安全に保つのは開発企業の責任に

　このような状況を変える政治的な動きが進んでいる。ソフトウェア開発企業にサイバーセキュリティの責任を負わせるというものだ。責任の範囲はどの程度になるのだろうか。

　米バイデン政権の国家サイバーセキュリティ戦略が2023年3月2日に発表された後（注1）、ソフトウェア開発企業にとって最も重要な問題は、自社製品のセキュリティに対する企業の責任を問う計画をどう乗り切るかだ。

　国家サイバーセキュリティ戦略では、バイデン政権が米議会や民間企業と協力して、ソフトウェア製品とサービスに対する責任を確立するための法案を作成することを求めている。

　2022年半ば以降、バイデン政権は設計段階でより安全な製品を開発するために、サイバー関連の責任をソフトウェアメーカーなどにシフトする計画を推進している（注2）。ソフトウェアなどの製品を導入した顧客は現在、製品がインストールされた後に、脆弱性などのセキュリティ欠陥を継続的にスキャンすることを求められている。

　国家サイバーセキュリティ戦略では、市場シェアのある企業は安全ではないソフトウェアに対する責任を逃れることが完全にできなくなり、特定のリスクの高いシナリオでは、より高い注意基準を適用するとされている。

　このような行動を強制するための具体的なインセンティブや罰則については、まだ明らかになっていないが、バイデン政権は少なくとも連邦政府の購買力を利用して、より安全なソフトウェアの開発と保守を奨励する用意があるようだ。

　国家サイバー長官代理のケンバ・ウォルデン氏は、戦略国際問題研究所（Center for Strategic and International Studies）が開催したフォーラムで次のように述べた。「責任の所在を少し上流に移し、組立業者や、重要な技術に使用されるソフトウェアを開発するソフトウェア開発者に責任を移す方法を考えなければならない」

　法律事務所DiCello Levittの共同経営者で弁護士のデビッド・ストレイト氏によると、具体的な罰則が明らかになっていない現在でも企業は過失や契約違反で現行法上の責任を負う可能性があるという。国家サイバーセキュリティ戦略では、なぜ追加の改革が必要なのかが概説されていると同氏は言う。

　「第一に、従来のベンダーとの契約の多くには（契約価格を上限とするような）責任の制限がある。さらに最悪の契約ではベンダーに全く責任がないとされている。このような好ましくない契約条項を強制力のないものにするためには、新しい法整備が必要だ」（ストレイト氏）

責任範囲を制限するにはセーフハーバー規定が役立つ

　一方国家サイバーセキュリティ戦略では（注3）、企業がソフトウェアを安全に開発し、保守を行う場合に適用される「セーフハーバー規定」の枠組みを作ることを求めている。セーフハーバー規定とは一定の条件を満たした場合に違反や罰金の対象にならないとされる範囲を言う。

　IBMは2023年3月2日にウォルデン氏に宛てた書簡の中で、国家サイバーセキュリティ戦略に対する全般的な支持を概説しており、セーフハーバー規定によって、企業が新しい規制の枠組みの中で活動することが容易になると強調した。

　IBMのクリス・パディラ氏（政府・規制問題担当バイスプレジデント）と、ジェイミー・トーマス氏（システム戦略・開発担当ゼネラルマネジャー）は「業界として、企業がいずれハッキングされることは分かっているので、セーフハーバー規定は極めて重要だ。このような法的保護がなければソフトウェア開発企業が苦しむ危険性がある。そのような企業は情報セキュリティと法的リスクや風評リスクからの保護のバランスをとるという難しい立場に置かれることになる」と述べた。

　この書簡では、2015年のサイバー情報共有法（Cyber Information Sharing Act）に基づく既存のセーフハーバー規定を引用して（注4）、既存の脅威によって他の組織が影響を受けることを防ぐ可能性のある機密情報を企業が提供することを認めている。

　また、IBMの関係者はユタ州やオハイオ州などにおける既存のセーフハーバー規定を引用し、サイバーセキュリティの観点からベストプラクティスに取り組んでいる企業を保護する文言があるとした。

製造業も対応を迫られる

　このような潜在的なリスクは従来のテクノロジー企業にとどまらず、IoTテクノロジーを使用した製品を販売する他の業界の企業にも影響を及ぼす可能性がある。

　車両にコネクテッドテクノロジーを採用することが増えているGeneral Motors（GM）の関係者は、国家サイバー戦略についてコメントを控えたものの、同社はサイバーセキュリティを巡る議論に定期的に参加していると述べた。

　「当社の車両開発プロセスには、設計の初期段階から車両のライフサイクルを通じてサイバーセキュリティへの配慮が含まれている」（グローバル製品開発・設計コミュニケーションディレクターのスチュアート・ファウル氏）

　GMのVehicle Intelligence Platformは、必要に応じて脆弱性に対処するために使用できる無線アップデート機能など、強化されたセキュリティ機能を含む。

　「われわれは車載サイバーセキュリティに対して多層的なアプローチをとっており、潜在的な脅威が進化するにつれて強化されたセキュリティ対策でアップデートできるように車両システムを設計している」（ファウル氏）

出典：Who is liable for flawed software? New guidance upends the security standard（Cybersecurity Dive）

注1：White House releases national cyber strategy, shifting security burden（Cybersecurity Dive）

注2：Feds push for developers to take lead in securing software supply chain（Cybersecurity Dive）

注3：Background Press Call by Senior Administration Officials Previewing the Biden-Harris Administration’s National Cyber Strategy

注4：IBM's Letter to the Office of the National Cyber Director