安全でないソフトウェアに対する法的規制は有効かもしれないが危険

ソフトウェア市場のセキュリティ対応が重要であることは間違いありませんが、過剰な政府による規制や、賠償責任制度など政府が義務付ける法的責任が伴う負担を回避しバランスを取ることが重要です。 市場がセキュリティに関して破綻しており、介入が必要であることは疑いの余地はありませんが、政府の強圧的な関与の必要性を最小限に抑えながら、市場は適切な水準のセキュリティ対応策を実施しなければなりません。

ソフトウェア会社に責任制度を課すことは行き過ぎであり、意図しない結果を引き起こす可能性があります。 コストの増加、法廷闘争の可能性、イノベーションの阻害などの責任を課すことによるマイナス面は、セキュリティ対応の向上と同時に安全なソフトウェアの開発を妨げる可能性があります。 また、責任制度は中小企業に過度な負担を与えソフトウェア業界に存在する多様性とイノベーションを抑制する可能性があります。

合法性ではなく透明性

代わりにより効果的なアプローチとしては、透明性と情報に基づいた意思決定を促進することが考えられます。 企業にセキュリティに関する完全な透明性を要求することで、消費者と企業はリスク情報に基づいた選択を行うことができます。 透明性により市場は安全なソフトウェアの需要を促進し、堅牢なセキュリティ対策を講じた企業が競争力を獲得できる可能性があります。

政府はソフトウェアの安全性を確保するために企業の対応状況開示を要求し、世界中の様々な種類のソフトウェア全てに適合できない厳格な規制を課すことなく、十分な情報に基づいて意思決定を実施することができます。 このアプローチにより、企業は進化する脅威とテクノロジーに基づいてセキュリティ対応を革新し、適応させることができます。 企業はプロセスやツールなど何も変更する必要がなく、コードを保護するために何を実施しているかを開示するだけでよいため、透明性を実現する負担を最小限に抑えることができます。 もちろん、透明性を保つことが困難な場合は、セキュリティ プログラムを許容可能なレベルに引き上げる作業が必要になる場合があります。 しかし、それこそが私たちがここで求めているものなのです。

市場により決定

重要なのは、この煩わしくないアプローチにより、適切なセキュリティ レベルを決定するための市場主導のメカニズムが促進されることです。 消費者は透明性の高い情報を手に入れることで、安全なソフトウェアの需要を促進し企業が競争上の優位性としてセキュリティ対応を優先するよう促すことができます。

安全な製品提供に優れた企業が市場で評価され自然に繁栄する一方、遅れをとっている企業はセキュリティ対応を改善するよう市場からの圧力に直面することになると推測しています。 市場は私が望むものとは異なるレベルのセキュリティを選択するかもしれませんが、それが重要なのです。 市場は私よりも、政府よりも優れた選択をすることができます。

透明性がソフトウェア市場に大きな変化をもたらす可能性があることは既に実績があります。 何十年にもわたる厳格な規制、必須プロセス、Open Worldwide Application Security Project (OWASP) トップ 10など、その他のあらゆる種類のセキュア コーディング要件へ対応していても、私たちは何の進歩もしていません。 しかし、ソフトウェア部品表 (SBOM) の要求は、すでに市場にオープンソースの使用を一掃するほどの影響を与えています。 SBOM は真のソフトウェア セキュリティの透明性へのほんの僅かな一歩ですが、このアプローチの威力が実証されつつあります。

透明性義務化により、過度な負担をかけずにセキュリティ対応実現

私たちは生活の中で重要なものすべてにおいて、ソフトウェアに依存し、信じて利用しています。 この重要なソフトウェアを作成している企業には、十分なセキュリティ対応を実施する動機がありません。 責任制度は行き過ぎており、意図しないマイナスの結果をもたらす可能性があります。 しかし、透明性を義務付ければ、ソフトウェア市場でもそれほど煩わしくない方法で同じ結果を達成できます。 このアプローチにより、市場は厳しい規制を最小限に抑え、イノベーションを促進しながら、適切なレベルのセキュリティ対応を実施することができます。

消費者に権限を与え、市場主導のメカニズムを奨励することで、開発組織に過度な負担をかけることなく、より安全なソフトウェア エコシステムを構築できます。