どんなソフトウェアにもバグやセキュリティーホールがあることは自明の理だ。一方、ライセンス契約は相も変わらず、そうした欠陥によって生じた損害や損失からソフトウェアベンダーを保護している。しかし、驚いたことに、Black Hatのファウンダーとあるキーノート講演者は、ソフトウェアの製品責任は、政府による義務化を前提として、不可避あると主張している。もしそれが正しければ、業界に激震が走る。
「私はソフトウェア製品責任なくして未来はないと考えている」とJeff Moss、別名Dark Tangentは言った。ソフトウェアが世界を食い尽くす中、以前から製品責任の対象となっている業界が、次々ソフトウェア企業へと変わりつつある。Mossは、AirBus、BoeingおよびTeslaを、「移動データセンター」の製造元と呼ぶ。最近のJeepハック事件は、自動車メーカーがソフトウェア会社になり、ソフトウェア欠陥に対して脆弱になったことを如実に表している。
しかし伝統的ソフトウェア会社は責任を免除されている。これは公平な土俵とではない、とMossは言う。「市場の力がソフトウェア責任へとわれわれを動かすだろう」と彼は強く言った。キーノートスピーカー(で弁護士)のJennifer Granickも同じように、モノのインターネットによって、製品責任に馴染んでいる業界がソフトウェア会社になり、ソフトウェア責任の追及につながっていくと考える。
しかし彼女はこう付け加えた、「ソフトウェア責任の扱いは、当分かなりひどいものになり、苦しむのはスタートアップや革新的な人たちであり、伝統的企業ではない、と私は考えている」。
製品責任によって、ソフトウェア業界がセキュリティーを今よりはるかに深刻に捉えることは間違いない。同時に、膨大なコストとイノベーションの減速が起きるだろう。過去のソフトウェア責任擁護派、例えばBruce Schneierでさえ、こう言っている:
現在、セキュリティーの悪さや低品質ソフトウェアを使うことによる実際の影響はない。それどころか、市場はしばしば低品質に報いる。もっと正確に言えば、追加機能や発売日に報いる ー たとえ品質が犠牲になっても。
この文章は2003年に書かれたものだ。業界はようやくセキュリティーの重要性に目覚めたと言っていいと私は思うし、革新を抑制したり成長を止めたり不本意な結果を招くことなく改善するための、より良く早く手のかからない方法が今はある。
例えば、私が話を聞いたVeracodeの研究担当VP、Chris Engは、侵入報告義務を強く推進している。これは、一定規模を超える企業がハックされた場合、ハックされたことを公表するだけでなく、あらゆる入手可能な技術情報を提供することを義務付け、他の標的が新たな攻撃から学習できるようにするための規則だ。
現在そうはなっていない。会社にとっておそらく史上最悪の日に起きたことの技術的詳細情報を逐一報告したい会社はほとんどない。しかし、セキュリティー専門家はほぼ全員口を揃えて、強制報告義務は極めて有益であり、これを法規制することによって、CISO(最高情報セキュリティー責任者)がCEOに受け入れがたい考えを押し付け、放火犯が被害者責任を追及するような事態を避けられると言っている(実際には、法規制の〈脅し〉だけでも、法規制なしにこれを実現するよう業界が合意するきっかけになるだろう。両者にとって最良の結果だ)。
これは、いかに事態が悪化しているかを思い出すためのグラフだ。
一方では、自動車、さらには銃でさえ、ハックされるようになっている。危険の度合いは年々大きくなっているが、ソフトウェアセキュリティーは相変わらず多くの会社にとって付け足しだ。何か、誰もが合意することをする必要がある。