　情報セキュリティ欠陥のために、私たちは何十億ドルもの出費を強いられている。情報や金銭を盗まれた際の損失。ネットワークが動かなくなったときや、幾多のこまごまとしたセキュリティ上の不具合に堪え忍ぶ際の損失。これら二つの損失を減らそうとセキュリティ製品やセキュリティサービスの購入に充てる出費。セキュリティのために、私たちは毎年代価を支払っているのだ。

　残念ながら、こうして支払う代価によって問題が解決するわけではない。いくら払っても、セキュリティ欠陥はなくならない。問題は、セキュアでないソフトそのものにあるからだ。

　問題は、ソフトの設計がまずいこと、機能の実装が下手なこと、テスト方法が不適切なこと、バグによる脆弱性が残っていることなどにある。だが私たちがセキュリティのために支払う金は、セキュアでないソフトがもたらした「結果」への対処に充てられている。

　そこに、問題がある。私たちが支払う金は、ソフトそのもののセキュリティ向上に充てられていない。その金は、脆弱性をなくすことよりもむしろ、脆弱性への対処に充てられている。

　状況を改善するにはベンダーがソフトを修正するしかないが、ベンダーは、そうすることが自らの利益にかなわなければ着手しないだろう。

　今日、セキュアでないソフトの代償を、製造元は負担していない。経済学では、これを「外部性」といい、ある決定をした人以外が、その決定の対価を支払うことを指す。劣悪なセキュリティや低品質のソフトを供給している当のベンダーには、実質的な打撃が及ばない。さらに悪いことに、市場ではしばしば、品質の悪いものが評価される。もっと正確に言うと、たとえ質が悪くても、機能の追加やタイムリーな製品出荷が評価されるという意味だ。

　私たちがソフトベンダーに対し、機能の数を減らして開発サイクルを延長し、セキュアなソフトの開発に投資することを期待するようになれば、それがベンダーの利益と考えられるようになる。企業に対し、ネットワークセキュリティ（特に顧客のセキュリティ）に多くの資源を割くことを期待すれば、そうすることがそれら企業の利益と考えられるようになる。

　責任法（liability law）は、こうした企業にセキュリティを改善させる方法の一つだ。

　「責任」のリスクは、それを果たさなかった場合の損失を増やし、ひいてはCEOにそれを守るために費やす金額を増やさせる。セキュリティとはリスク管理であり、このリスクの等式を調整するのが「責任」だ。

　私たちは基本的に、ベンダーのCEOが実際に問題の解決に注意を向けるように、この等式を調整する必要がある。ベンダーの貸借対照表に圧力をかけるのが、その最良の方法だ。

　これはもちろん、白黒をはっきりさせられる問題ではない。一般的な攻撃には、多くのグループがかかわっている。まず、脆弱性のあるソフトを販売した会社。そして、攻撃ツールを書いた人。そのツールを使ってネットワークに侵入した攻撃者自身。さらに、ネットワークの防御を任されたネットワーク所有者。

　ベンダーが100％悪いわけでも、攻撃者やネットワークの所有者が100％悪いわけでもない。しかし今日、代償はネットワーク所有者が100％負っており、この状況にピリオドを打つ必要がある。

　私たちは今後も、代価を支払い続けることになるだろう。ソフトベンダーに支払いの責任を持たせれば、ベンダーは結局、それを私たちにかぶせてくる。私たちが支払う額は、ますます増えるかもしれない。しかし、払った代価は問題解決のために費やされることになる。ソフトベンダーに問題解決の代償を支払わせることは、実際の問題解決につながるのだ。

　ソフトベンダーは現状、次から次へと新機能を追加しているが、「責任」によって、仕様変更を慎重にせざるを得なくなり、データを保護せざるを得なくなる。「責任」は、問題解決の最適任者が、実際にその問題の責任を負うことを意味する。

　情報セキュリティは技術の問題ではなく、経済の問題だ。そしてこの経済問題の解決が、情報技術の改善につながる。まずこれを実行することで、後の道が開けるだろう。

（By Bruce Schneier, Computerworld US）

※ブルース・シュナイアー氏は、Counterpane Internet Securityの最高技術責任者であり、「Beyond Fear: Thinking Sensibly About Security in an Uncertain World」（Oxford University Press、 2002）の著者。同氏のサイトはhttp://www.schneier.com。