米政権、ソフトウェアの安全への適切な注意義務を怠った者に責任を負わせる国家サイバーセキュリティ戦略 20
ストーリー by headless
責任 部門より
責任 部門より
米バイデン-ハリス政権は 2 日、すべての米国人が安全なデジタルエコシステムのすべての利点を確実に享受できるようにする国家サイバーセキュリティ戦略を発表した
(ファクトシート、
The Verge の記事、
Ars Technica の記事、
戦略全文: PDF)。
現在のサイバーセキュリティ防御では個人や中小企業、地方自治体などの負担が大きい。どのように優れたセキュリティソフトウェアでもすべての脆弱性を防ぐことはできないことを認識したうえで、ソフトウェア開発時に適切な注意を怠った者に責任を負わせる必要があるという。ソフトウェアを開発する企業には革新を行う自由が必要なのと同時に、消費者や企業、重要なインフラ提供者への注意義務を果たせなければその責任を負う必要もある。
その責任はエンドユーザーや、商用製品に組み込まれたオープンソースコンポーネントの開発者ではなく、被害を減らすための対策を実施する能力の最も高い利害関係者に移動する必要があるとのこと。これにより、イノベーションとスタートアップ企業や中小企業が市場のリーダーと競うことのできる能力を維持しつつ、市場がより安全なソフトウェアを作り出すようになるとのことだ。
現在のサイバーセキュリティ防御では個人や中小企業、地方自治体などの負担が大きい。どのように優れたセキュリティソフトウェアでもすべての脆弱性を防ぐことはできないことを認識したうえで、ソフトウェア開発時に適切な注意を怠った者に責任を負わせる必要があるという。ソフトウェアを開発する企業には革新を行う自由が必要なのと同時に、消費者や企業、重要なインフラ提供者への注意義務を果たせなければその責任を負う必要もある。
その責任はエンドユーザーや、商用製品に組み込まれたオープンソースコンポーネントの開発者ではなく、被害を減らすための対策を実施する能力の最も高い利害関係者に移動する必要があるとのこと。これにより、イノベーションとスタートアップ企業や中小企業が市場のリーダーと競うことのできる能力を維持しつつ、市場がより安全なソフトウェアを作り出すようになるとのことだ。
適切な注意とは (スコア:5, 参考になる)
徳島の半田病院 [security.srad.jp]という事例がある日本ではどれだけ言ってもベンダの責任に転嫁されそうである
納品したら最後までベンダが介護しないといけなくなる
Re: (スコア:0)
ようやく米国も追いつこうとしてる訳だな
Re: (スコア:0)
開発側で取れる対策、利用期限をつけるとかになりそう。
オンラインアップデートのサーバーに一定期間接続しなかったり、有効な保守契約がなければ停止する、みたいな。
Re: (スコア:0)
OSアプデ延期の時点で問答無用で切り捨てるんですね分かります。
スマホの方がバッサリ消えるか…
マニュアルが立派になる未来 (スコア:1)
マニュアルが長大になって、事故を起こすような人(≒マニュアルをちゃんと読まないような人)がますます読まなくなる未来が見える
Re: (スコア:0)
長大なマニュアルを渡しただけで責任を果たしたと言い張れないということかも。
責任と資格 (スコア:1)
日本でなら、まずは国家資格を義務付けてもらいたい。資格を持たぬ者に「適切な注意義務」など分かるものか。
というか、取引に無資格者が紛れ込んでいると業務レベルがクソになる。
Re: (スコア:0)
だって情報処理安全確保支援士の登録・更新料高いんだもんなぁ……
Re:責任と資格 (スコア:1)
だって情報処理安全確保支援士の登録・更新料高いんだもんなぁ……
リスクに比べたら安過ぎるでしょう
関わったものに永続的な責任追及される資格なんですから取得できないくらい高くしてくれないと
Re: (スコア:0)
更新料を会社が払ってくれると言うなら喜んで取得するさ。
その見込みが無いのに資格を取得しろというのは割に合わない。
ciscoとかのベンダ資格もそう。
Re: (スコア:0)
資格取得して待遇のよい企業に転職するのがよいと思います。
Re: (スコア:0)
3年間で14万円ほどはやはり高額ですよね。
Re: (スコア:0)
>だって情報処理安全確保支援士の登録・更新料高いんだもんなぁ……
現状、取得・維持することに自己満足以上のメリットもないからなあ
国の入札要件にでもなるかと思ったらそれもなくて、ガッカリ資格だよなぁ……
国策として正しい (スコア:0)
やらかした場合の責任転嫁としても集る先としても
# 90日以内に対応しない~ほんとにやばいまでの間で罰金取れる絶妙な調整がパトリオット
Re: (スコア:0)
市役所で部下が横領したら、上司が責任を問われて一部を賠償するという話にもなってますね
https://www.asahi.com/articles/ASR2B71Y4R27ONFB00Q.html [asahi.com]
なるほど理解した (スコア:0)
ソフトウェアをネットワークに接続してはいけませんとマニュアルに書かれるんですねわかります。
#ネットワーク接続は自己責任で。
Re: (スコア:0)
・アンチウィルスソフトのウィルス定義ファイルは随時更新。
(アンチウィルスソフトはお役所認定バージョンに限定)
・OSやアプリのセキュリティアップデートは公開から※日以内に実施。
・アカウントの共用不可。
・各種パスワードの共用不可、強度は「強」(文字数とか文字種とか辞書と不一致とか……)以上必須。
・付箋パスワードは一発レッドカード。
ってな感じの条件があって、そっから外れてるとユーザー側がセキュリティインシデントの責任を負わされるってのが落としドコロ?
ちゃんとわかってる国はいいんだ (スコア:0)
オープンソースのコンポーネントの脆弱性で問題が起きたら作者に責任を負わせるという法律を作る国が出てこない事を祈りたい
Re: (スコア:0)
オープンソースのコンポーネントの脆弱性で問題が起きたら作者に責任を負わせるという法律を作る国が出てこない事を祈りたい
エ○コムあたりから後援資金取れそうですね