サイバーセキュリティの法規制は是か非か？

規制がなくても企業はセキュリティを改善できるとする規制反対派を、賛成派は「現実を見ていない」と一蹴。「欠陥がある製品を販売しても、なぜソフト会社は訴えられないのか」との疑問も投げかける。（IDG）

[IDG Japan]

　6月7日に開催されたGartner IT Security Summitでは、米国のサイバーセキュリティの問題をめぐり、リベラル派のコメンテーターやサイバーセキュリティのアナリストらが、この問題は非常に重要であり、よりセキュアなソフトが市場で誕生するのを手をこまねいて待っているわけにはいかないと主張した。

　MSNBCのリベラル派コメンテーターでChicago Tribune紙のコラムニストでもあるビル・プレス氏は、「企業が自分たちで何とか解決するのを期待するには、この脅威はあまりに大きすぎるのではないだろうか？」と語っている。

　政府によるサイバーセキュリティ規制の可能性をめぐるパネルディスカッションにおいて、プレス氏とGartner Researchの調査ディレクター、リッチ・モーグル氏は、政府がもっと積極的な役割を担うべきだと主張した。パネルのほかのメンバーからは、米政府はその巨大な購買力を通じて企業を動かすことでサイバーセキュリティにも影響を及ぼせるとの指摘が上がる一方で、プレス氏はセキュリティ上の欠陥がある製品を販売しても、なぜソフトベンダーは訴えられないのかと疑問を投げかけた。

　ソフトベンダーの提訴を認める法律がないために、「欠陥製品を販売している人たちに報酬を払っていることになる」とプレス氏。さらに同氏は、ソフトベンダーがサイバーセキュリティ問題の責任を問われないばかりか、買い手が勘定を支払わされていると指摘している。

　「例えば、製薬会社が粗悪な薬剤を製造すれば訴えられるはずだ。それなのになぜ、ソフトメーカーの責任は追及できないのだろうか」とプレス氏は訴えている。

　ソフトのセキュリティを法律で定義するのはほぼ不可能だと主張する声もあった。ソフトの作成はエンジニアリング科学というよりも芸術だとGartner Researchの副社長兼リサーチフェローのジョン・ペスカトーレ氏は語る。同氏は、政府による規制ではなく、ソフトの買い手がより良い製品を要求することが重要だと主張している。同氏によれば、現に、Microsoftの独占状態にあるデスクトップ市場以外の分野では、過去数年間の競争がソフトのセキュリティ改善につながっている。

　「がらくたを買おうという人には、ベンダーもがらくたしか売ってこない。製品の質をコントロールするのは個々のユーザーだ」と同氏。

　保守系雑誌「Weekly Standard」の編集責任者で、Fox Newsの「Beltway Boys」で共同ホストを務めるフレッド・バーンズ氏はパネルに対し、なぜこれまで米議会ではサイバーセキュリティの法制化があまり検討されてこなかったのかと質問した。

　Good Harbor Consultingの社長で、かつて米政府でテロ対策を担当していたロジャー・クレッシー氏は次のように答えた。「革新の妨げになるのではという懸念がある。ソフト業界の革新は年単位ではなく月単位というスピードで進んでいる」

　バーンズ氏は、政府や民間の一部のサイバーセキュリティ専門家が「デジタル真珠湾攻撃」、つまり米国のIT資産に対する大規模攻撃の可能性を数年前から警告している件について、そうしたシナリオがどの程度の確率で起こり得るのかと質問した。

　「こうした脅威はどんなに強調しても言い過ぎということはない」と下院政府改革委員会のIT政策小委員会のスタッフディレクター、ボブ・ディックス氏は答え、「悪党の手腕は日々向上している」と語っている。

　クレッシー氏によれば、米国はまだサイバーセキュリティの一斉攻撃に対する準備は整っていないが、米政府の取り組みは正しい方向に進んではいるという。政府の下で働いていた時、同氏はサイバー攻撃と物理的な攻撃を組み合わせた、いわゆる「スワーム攻撃」を懸念していたと話す。

　クレッシー氏は、今後、大規模なサイバー機能の停止が生じるようなことがあれば全米規模で法制化が進み、米議会は「小刀ではなくハンマー」で法律を制定することになるだろうと予測している。

　「本当に大規模なサイバー事件が起きれば、議会も国民の激しい要望を受けて、法制化を進めることになるだろう。ただし、そうした法制化はうまくいかないだろう」と同氏。

　一方、Gartnerのペスカトーレ氏は、最終的には基幹インフラの保護にフォーカスした法律が通過するものと予測している。「われわれは皆、電気とインターネットアクセスには金を惜しむわけにはいかない」と同氏。

　だが下院政府改革委員会のディックス氏は、法制化が必要とならないことを望んでいるという。同氏の小委員会で会長を務めるアダム・パトナム議員（フロリダ州選出・共和党）は2003年後半、企業にサイバーセキュリティ対策に関する米証券取引委員会（SEC）への報告を義務付ける法案を提出している。ただしディックス氏は7日、サイバーセキュリティに関する意識を高めるための小委員会の取り組みにより、企業のCEOがこの問題を深刻に受け止めるようになることに期待していると語っている。

　だがプレス氏は、ソフト業界は先を見越して行動し、業界が受け入れられるような法律を通過させるために議会と協力すべきだと提案している。

　プレス氏は、政府による規制がなくてもソフトベンダー各社で強力なセキュリティのメカニズムを構築できるとの見解に疑問を投げかけている。同氏は市場尊重型のアプローチを唱道するパネリストらに対し、「率直に言って、私にはあなた方が現実を見ているとは思えない。大気汚染防止法があるのは、メーカーが自分では空気の浄化に取り組まないからこそだ」と語っている。