開発元にソフトウェアの製造責任を負わせるのは合理的? | ScanNetSecurity
2024.07.22(月)

開発元にソフトウェアの製造責任を負わせるのは合理的?

 2016 年以降のエンドポイント製品では、セキュリティ保証に動きが見られる。ガートナーの評価データでも、上位に入るベンダーが 100 万ドル規模のセキュリティ保証を導入しはじめている。Sophos、SentinelOne、CrowdStrike 、Cybereason などがそれだ。

研修・セミナー・カンファレンス セミナー・イベント
(イメージ画像)
(イメージ画像) 全 5 枚 拡大写真

 ノーベル経済学賞を受賞したジョージ・エコロフは、情報の非対象性が市場に与える悪影響について分析した。中古車市場を例に挙げ、売り手は車の状態を詳しく知っているのに対し、買い手はその情報を持っていないという情報の非対称性によって、買い手はリスクを避けるために低い価格を提示する結果、質の良い車が市場から退出し、質の悪い車だけが残る「逆選択」が発生する。

 こんな「安かろう悪かろう」のレモン市場は現在のソフトウェア産業にもあてはまるのだろうか。ある程度あてはまる事例は確かにいくつか想起することができる。本稿で紹介するのは Black Hat USA 2023 で発表されたそんな研究結果である。 

 ソフトウェア製品におけるサイバー保証と法規制に関する講演を行ったのは、サイバー保険やセキュリティ製品を扱う Coalition 社の研究者、エジンバラ大学講師のダニエル・ウッズ。この講演内容をベースに現在のセキュリティ製品の法的規制の在り方を考えてみたい。

● ソフトウェアの製造責任はネットワーク参照モデルの第 8 層

 ダニエル・ウッズは、自身が研究している分野は OSI 参照モデルでいうなら「レイヤ 8 」に相当するとした。ソフトウェアのセキュリティ品質やセキュリティ バイ デザインの考え方は比較的新しい概念といえる。物理層からアプリケーション層まですべてにかかわるものでありながら、法規制や企業戦略にとって重要なものだ。

 ウッズによれば「開発プロセスにセキュリティ要件を組み込み、バグバウンティや不具合改修のスキームを展開しているソフトウェアベンダー、仮にこれを『ピーチソフトウェア』としよう。反対に、機能実装のみを考える『レモンソフトウェア』も存在する。ピーチソフトウェアの製品は開発コストにセキュリティ機能が組み込まれ、その分高額になる。レモンソフトウェアの製品は相対的にリーズナブルになる。市場に両者の機能や性能を正しく評価できないとすると、レモンソフトウェアの製品が市場価格を決めることになる」

 悪貨は良貨を駆逐する。では良貨を広めるにはどうしたらいいだろうか。ウッズは「責任」がそれを推し進める原動力になりうるという。

● サイバー保険はセキュリティを底上げしたか


《中尾 真二( Shinji Nakao )》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. 2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

    2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

  2. イセトーへのランサムウェア攻撃で東海信金ビジネスの個人情報が漏えい

    イセトーへのランサムウェア攻撃で東海信金ビジネスの個人情報が漏えい

  3. Non State Actor 図鑑(6)ニセ情報拡散に貢献「ファクトチェック機関」

    Non State Actor 図鑑(6)ニセ情報拡散に貢献「ファクトチェック機関」

  4. Minecraft Java Edition にディレクトリトラバーサルの脆弱性

    Minecraft Java Edition にディレクトリトラバーサルの脆弱性

  5. 「日本で撮影されたUFO」写真からサポート詐欺に誘導 トレンドマイクロ注意喚起

    「日本で撮影されたUFO」写真からサポート詐欺に誘導 トレンドマイクロ注意喚起

ランキングをもっと見る
PageTop