サイバーセキュリティ事故の責任は技術者にあり？ 議会を巻き込む議論の行方：Cybersecurity Dive

米政府は企画、設計段階からセキュリティ対策を組み込むことでセキュアな環境を確保しようとする「セキュリティバイデザイン」の取り組みを進めている。技術関係者に製品への責任を負わせようとするこの取り組みは議会を巻き込み長期化する見込みだ。

[David Jones，Cybersecurity Dive]

　米政府は近年、企画、設計段階からセキュリティ対策を組み込むことでセキュアな環境を確保しようとする「セキュリティバイデザイン」の取り組みを進めている。

セキュリティバイデザインの“お手本”はどう動いているか

　2023年4月3日の週、国家サイバー担当局のケンバ・ウォルデン局長代行は次のように述べた。

　「テクノロジー業界に製品セキュリティの責任を負わせるための構想は、自動車業界がより安全な自動車を生産できるようした同様の取り組みに基づいている」（ウォルデン氏）

　ウォルデン氏は、同年4月6日に開催されたアメリカのシンクタンクであるAtlantic Councilによる国家サイバーセキュリティ戦略に関する講演の中で（注1）、「説明責任の推進はエンドユーザーからメーカーに負担を移すために複数のステークホルダーを巻き込み、また、複数年にわたる取り組みになる」と述べた。

　ウォルデン氏は次のようにも述べた。「私たちは自動車業界でも同じ取り組みをしてきた。コードの欠陥にエンドユーザーが責任を負うことは許されない。非常にシンプルな話だ」

サイバー犯罪防止のための安全基準

　ウォルデン氏は「セキュリティバイデザインの製品の責任を技術関係者に負わせる取り組みは、複数年にわたって議会を巻き込む可能性がある」と指摘する。

　バイデン政権は国家サイバーセキュリティ戦略の重要な柱の一つとして（注2）、責任追及に関する議論を展開し、国家や犯罪行為者による悪意を伴うサイバー活動を防止および阻止するために米国がより高度な能力を高めることを目指している。

　「決められた曜日に継続的なセキュリティアップデートを展開するという現在の慣行を正常化することはできない」とウォルデン氏は述べる。これは米国サイバーセキュリティ・社会基盤安全保障庁（以下、CISA）のジェン・イースタリー局長が以前提起した懸念でもある。

　ウォルデン氏は「（セキュアバイデザインの）計画が正しく実行されるためには時間と綿密な検討が必要だ」と警告した。

　「われわれは計画が正しく実行されることを望んでいるし、計画について思慮深くあるべきだ。また、注意義務と責任の所在だけでなく、サイバーセキュリティ分野における安全基準がどうあるべきかを考えなければならない」（ウォルデン氏）

　ウォルデン氏は、その具体的な形態については明言しなかったものの、「立法の取り組みには議会が関与する必要があるだろう」と付け加えた。

　同じ講演会に登壇したイースタリー氏は次のように述べた。「ソフトウェアやその関連技術は設計上安全ではないという考え方を業界は受け入れてきた。ソフトウェア業界の欠陥は、悪意を持った人間の行動によるものにあるのではない。より構造的な問題がある。つまり、（ソフトウェア製品を提供する）動機が適切に調整されていなかった。これまではコスト削減や市場への迅速な投入または優れた機能が動機だった。安全性やセキュリティではなかったのだ」

（注1）Rebalancing responsibility: Implementing the National Cybersecurity Strategy（Atlantic Council）
（注2）White House releases national cyber strategy, shifting security burden（Cybersecurity Dive）

（初出）Biden cyber officials see auto, food safety as models for security overhaul

原文へのリンク