ニュース
ウイルス騒ぎ、商習慣が禍根 問われるメーカーの法的責任
2003/09/15 19:32
週刊BCN 2003年09月15日vol.1006掲載
米国のネットセキュリティの専門家ウィリアム・マーレー氏によると、昨年1年間だけでも2000以上の脆弱性が報告されている。なぜこれほど多くの脆弱性が存在するのだろうか。同氏は「問題の1つは、ユーザーがセキュリティよりソフトの機能性を重視するから」と指摘する。
ソフト業界は、発売のタイミングがすべて。新しい機能の製品を競合他社に先駆けて発売した会社が勝つ。このため、とりあえず製品を完成させ、問題が浮上すれば後からパッチを開発して対応するという手法が当たり前になっている。ほかの業界では考えられない商慣習だ。
マーレー氏は、「ユーザーが最新機能にこだわり、ソフトメーカーが不完全な製品を発売する限り、ソフトの脆弱性はなくならない」と断言する。
同氏はまた、OS(基本ソフト)があらゆる利用方法に対応できることも問題だという。「インスタント・メッセージを使うつもりはないのに、標準機能としてついている。こうした機能が多ければ多いほど脆弱なソフトが多くなるのは当たり前」と指摘する。
脆弱性の対処方法としては、パッチが主流だ。ところが、脆弱性があまりに多くてパッチによる修復が追いつかないケースや、システムが不安定になることを恐れてパッチをインストールしないケースも多い。
「ネットユーザー全員がタイムリーにパッチを当てることなどあり得ない。パッチで対処しようとする限り、今後も同様の問題は発生し続けるだろう。このままではインターネットが社会の基幹インフラになることはない」と同氏は断言する。
それではどのような対処方法が今後主流になるだろうか。
1つはウイルスに狙われやすい主流ソフトからの脱却だろう。日本政府などがLinux採用の検討を始めたのはこのためだ。
また、脆弱性をもつソフトを開発したメーカーの法的責任を問う声も強まっている。米調査会社ガートナーは、2008年までに多くの先進国がソフトメーカーの責任を問う法律を成立させるだろうと予測している。
またマーレー氏は、インターネットの構造がフラットなものから幾つもの階層に分かれた構造になると予測する。比較的高額の接続料を支払うことで、よりしっかりしたセキュリティの階層を利用できるようになるわけだ。(湯川鶴章)
- 1