開発元にソフトウェアの製造責任を負わせるのは合理的? | ScanNetSecurity
2024.07.22(月)

開発元にソフトウェアの製造責任を負わせるのは合理的?

 2016 年以降のエンドポイント製品では、セキュリティ保証に動きが見られる。ガートナーの評価データでも、上位に入るベンダーが 100 万ドル規模のセキュリティ保証を導入しはじめている。Sophos、SentinelOne、CrowdStrike 、Cybereason などがそれだ。

研修・セミナー・カンファレンス
(イメージ画像)
  • (イメージ画像)
  • ガートナーの調査:セキュリティ保証をつけたベンダーは売れているのか
  • エンドポイント製品ではセキュリティ保証をつけるムーブメントがおきている
  • セーフハーバーは技術的課題を明確にしてくれる
  • 2014年、エコロフはサイバー保険やソフトウェア製造責任に関する問題を提起した

 ノーベル経済学賞を受賞したジョージ・エコロフは、情報の非対象性が市場に与える悪影響について分析した。中古車市場を例に挙げ、売り手は車の状態を詳しく知っているのに対し、買い手はその情報を持っていないという情報の非対称性によって、買い手はリスクを避けるために低い価格を提示する結果、質の良い車が市場から退出し、質の悪い車だけが残る「逆選択」が発生する。

 こんな「安かろう悪かろう」のレモン市場は現在のソフトウェア産業にもあてはまるのだろうか。ある程度あてはまる事例は確かにいくつか想起することができる。本稿で紹介するのは Black Hat USA 2023 で発表されたそんな研究結果である。 

 ソフトウェア製品におけるサイバー保証と法規制に関する講演を行ったのは、サイバー保険やセキュリティ製品を扱う Coalition 社の研究者、エジンバラ大学講師のダニエル・ウッズ。この講演内容をベースに現在のセキュリティ製品の法的規制の在り方を考えてみたい。

● ソフトウェアの製造責任はネットワーク参照モデルの第 8 層

 ダニエル・ウッズは、自身が研究している分野は OSI 参照モデルでいうなら「レイヤ 8 」に相当するとした。ソフトウェアのセキュリティ品質やセキュリティ バイ デザインの考え方は比較的新しい概念といえる。物理層からアプリケーション層まですべてにかかわるものでありながら、法規制や企業戦略にとって重要なものだ。

 ウッズによれば「開発プロセスにセキュリティ要件を組み込み、バグバウンティや不具合改修のスキームを展開しているソフトウェアベンダー、仮にこれを『ピーチソフトウェア』としよう。反対に、機能実装のみを考える『レモンソフトウェア』も存在する。ピーチソフトウェアの製品は開発コストにセキュリティ機能が組み込まれ、その分高額になる。レモンソフトウェアの製品は相対的にリーズナブルになる。市場に両者の機能や性能を正しく評価できないとすると、レモンソフトウェアの製品が市場価格を決めることになる」

 悪貨は良貨を駆逐する。では良貨を広めるにはどうしたらいいだろうか。ウッズは「責任」がそれを推し進める原動力になりうるという。

● サイバー保険はセキュリティを底上げしたか


《中尾 真二( Shinji Nakao )》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. 自動車サイバーセキュリティコンテスト「Automotive CTF Japan」新たに開催

    自動車サイバーセキュリティコンテスト「Automotive CTF Japan」新たに開催

  2. 開発元にソフトウェアの製造責任を負わせるのは合理的?

    開発元にソフトウェアの製造責任を負わせるのは合理的?

  3. クラウドストライク鈴木滋が語るCrowdStrike Falconへの製品愛

    クラウドストライク鈴木滋が語るCrowdStrike Falconへの製品愛

  4. 攻撃者のあの手この手、リアルな攻撃&リアルな現状を知る専門家が警鐘を鳴らす ~ JPAAWG 6th General Meeting レポート

  5. 7/25・8/29「正しい脆弱性診断の進め方」SHIFT SECURITY 中村雄大氏 解説 開催

  6. 11/9 CrowdStrike CEO ジョージ・カーツ来日、楽天 福本氏 登壇 「サイバー攻撃者の世界 ワールドツアー」東京開催

  7. 被告:CISO ~ 実例で考える CISO が訴訟されるリスク

  8. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  9. 大学生による高校生のための情報モラルワークショップ…LINEいじめ、不正請求にどう対応する?

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×