パスワードを忘れた? アカウント作成
16518969 story
バグ

米政権、ソフトウェアの安全への適切な注意義務を怠った者に責任を負わせる国家サイバーセキュリティ戦略 20

ストーリー by headless
責任 部門より
米バイデン-ハリス政権は 2 日、すべての米国人が安全なデジタルエコシステムのすべての利点を確実に享受できるようにする国家サイバーセキュリティ戦略を発表した (ファクトシートThe Verge の記事Ars Technica の記事戦略全文: PDF)。

現在のサイバーセキュリティ防御では個人や中小企業、地方自治体などの負担が大きい。どのように優れたセキュリティソフトウェアでもすべての脆弱性を防ぐことはできないことを認識したうえで、ソフトウェア開発時に適切な注意を怠った者に責任を負わせる必要があるという。ソフトウェアを開発する企業には革新を行う自由が必要なのと同時に、消費者や企業、重要なインフラ提供者への注意義務を果たせなければその責任を負う必要もある。

その責任はエンドユーザーや、商用製品に組み込まれたオープンソースコンポーネントの開発者ではなく、被害を減らすための対策を実施する能力の最も高い利害関係者に移動する必要があるとのこと。これにより、イノベーションとスタートアップ企業や中小企業が市場のリーダーと競うことのできる能力を維持しつつ、市場がより安全なソフトウェアを作り出すようになるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 適切な注意とは (スコア:5, 参考になる)

    by Anonymous Coward on 2023年03月04日 20時34分 (#4421477)

    徳島の半田病院 [security.srad.jp]という事例がある日本ではどれだけ言ってもベンダの責任に転嫁されそうである
    納品したら最後までベンダが介護しないといけなくなる

    • by Anonymous Coward

      ようやく米国も追いつこうとしてる訳だな

    • by Anonymous Coward

      開発側で取れる対策、利用期限をつけるとかになりそう。
      オンラインアップデートのサーバーに一定期間接続しなかったり、有効な保守契約がなければ停止する、みたいな。

      • by Anonymous Coward

        OSアプデ延期の時点で問答無用で切り捨てるんですね分かります。
        スマホの方がバッサリ消えるか…

  • by Anonymous Coward on 2023年03月05日 9時15分 (#4421580)

    マニュアルが長大になって、事故を起こすような人(≒マニュアルをちゃんと読まないような人)がますます読まなくなる未来が見える

    • by Anonymous Coward

      長大なマニュアルを渡しただけで責任を果たしたと言い張れないということかも。

  • by Anonymous Coward on 2023年03月05日 12時30分 (#4421603)

    日本でなら、まずは国家資格を義務付けてもらいたい。資格を持たぬ者に「適切な注意義務」など分かるものか。
    というか、取引に無資格者が紛れ込んでいると業務レベルがクソになる。

    • by Anonymous Coward

      だって情報処理安全確保支援士の登録・更新料高いんだもんなぁ……

      • by Anonymous Coward on 2023年03月05日 23時24分 (#4421786)

        だって情報処理安全確保支援士の登録・更新料高いんだもんなぁ……

        リスクに比べたら安過ぎるでしょう
        関わったものに永続的な責任追及される資格なんですから取得できないくらい高くしてくれないと

        親コメント
      • by Anonymous Coward

        更新料を会社が払ってくれると言うなら喜んで取得するさ。
        その見込みが無いのに資格を取得しろというのは割に合わない。
        ciscoとかのベンダ資格もそう。

        • by Anonymous Coward

          資格取得して待遇のよい企業に転職するのがよいと思います。

      • by Anonymous Coward

        3年間で14万円ほどはやはり高額ですよね。

      • by Anonymous Coward

        >だって情報処理安全確保支援士の登録・更新料高いんだもんなぁ……
        現状、取得・維持することに自己満足以上のメリットもないからなあ
        国の入札要件にでもなるかと思ったらそれもなくて、ガッカリ資格だよなぁ……

  • by Anonymous Coward on 2023年03月04日 20時44分 (#4421485)

    やらかした場合の責任転嫁としても集る先としても

    # 90日以内に対応しない~ほんとにやばいまでの間で罰金取れる絶妙な調整がパトリオット

  • by Sukoya (33993) on 2023年03月04日 22時13分 (#4421500) 日記

    ソフトウェアをネットワークに接続してはいけませんとマニュアルに書かれるんですねわかります。
    #ネットワーク接続は自己責任で。

    • by Anonymous Coward

      ・アンチウィルスソフトのウィルス定義ファイルは随時更新。
       (アンチウィルスソフトはお役所認定バージョンに限定)
      ・OSやアプリのセキュリティアップデートは公開から※日以内に実施。
      ・アカウントの共用不可。
      ・各種パスワードの共用不可、強度は「強」(文字数とか文字種とか辞書と不一致とか……)以上必須。
      ・付箋パスワードは一発レッドカード。

      ってな感じの条件があって、そっから外れてるとユーザー側がセキュリティインシデントの責任を負わされるってのが落としドコロ?

  • by Anonymous Coward on 2023年03月05日 20時08分 (#4421736)

    オープンソースのコンポーネントの脆弱性で問題が起きたら作者に責任を負わせるという法律を作る国が出てこない事を祈りたい

    • by Anonymous Coward

      オープンソースのコンポーネントの脆弱性で問題が起きたら作者に責任を負わせるという法律を作る国が出てこない事を祈りたい

      エ○コムあたりから後援資金取れそうですね

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...