セキュリティ分野における政府の役割
――頻繁に発生するデータ漏洩事件が世間を騒がせているが、政府は、こうした事件の発生を防止するために、どのような法律を制定しようとしているのか。
データ漏洩に対処するための法律を制定すること自体は、すばらしいことだと思う。実際、Microsoftはこの分野の連邦法を支持してもいる。ただ、これらが現実的で扱いやすいものになるかとなると、いささか疑問も残る。
政府は、折に触れて、ソフトウェアに製造物責任法を適用する可能性をほのめかしている。仮にそれが本当に必要だとしても、問題は、その内容だ。
バグ・フリー・コードが義務づけられるのだろうか。――そんなことは、不可能だ。
適切なプラクティスの採用が義務づけられるのだろうか。――そうであるなら、当社はすでにソフトウェア開発ライフサイクル(SDL)を採用している。
あるいは、このほかにも、今日われわれが実践しそびれている、法律で定めるべき行動があると考えているのだろうか。そしてその法律は、取締当局にわれわれの行動を監視させるためのものなのだろうか。それとも、個人に集団訴訟を起こしやすくさせるためのものなのだろうか。――もしそういったたぐいのものだとすれば、この法律の周りに一大訴訟ビジネスが生まれ、当社も、セキュリティ(技術)に注いできた資金を訴訟に回さなければならなくなる。
そしてその場合、自宅のガレージで製品を開発している個人ディベロッパーはどうなるのだろうか。というのも、IT産業のすばらしさは、バリヤが低く、だれでも参入できるという点にあるからだ。――もし、製造物責任法が適用されれば、低かったバリヤが高くなってしまうことは言うまでもない。
さらに、オープンソースや非営利企業はどう扱われることになるのだろうか。――同じ過ちに対して、株主を持つ営利企業のMicrosoftは責任を問われ、非営利のLinuxは責任を問われない、といったようなことは許されないはずだ。
このように、製造物責任に関する議論は非常に複雑なのだ。
――政府は具体的にどのような役割を果たせばいいのか。
例えば、セキュリティ・サイエンスに関する基本的な研究開発は政府の役割だろう。実際、政府が取り組んでいるシステム構成のガイドラインによって、システム構成プロセスにおけるセキュリティは一段と強化された。
――ところで、あなたには今、何か不安に感じていることはないか。
2つある。1つは、自己満足に浸ってしまうことだ。ご存じのように、当社が全力を挙げてセキュリティに取り組んだ結果、その成果がようやく数字になって表れ、人々から「Microsoftがとうとう動き出した。他社も彼らに続くべきだ」とまで言われるようになった。技術者からは、「やるべき仕事は完了した――次は何をしようか」といった声さえ聞かれるほどだ。
だが、われわれが解決しようとしているのは、技術的な問題ではなく、犯罪に関する問題だ。19年間法執行機関に身を置いた経験のある人間として言わせてもらえば――この分野に従事する人ならだれでも同じことを言おうとするだろうが――、「自分の仕事は自分が必要とされない世界を作ることだ」と言いたい。
私自身は、それが現実になることは――少なくとも近い将来は――ないということもよく知っている。犯罪は太古の昔から存在しており、これまでもこれからも、なくなることはない。何となれば、悪意を有する者は新しい環境に適応する能力を持っているからだ。それを思えば、われわれには現状に甘んじている暇などない。
もう1つの不安は、脅威モデルが進化を続けていることだ。初期のインターネット犯罪は、ネットワークを探検する少年たちの仕業によるものがほとんどで、その多くは実害を伴わなかった。だが、今日のインターネット犯罪は「グローバル規模で」「匿名で」しかも「大量のターゲットを狙って」仕掛けられる。そのため、犯人を追跡するのは非常に難しい。オンライン活動が活発になればなるほど、彼らはその環境にどんどん適応していくことになるだろう。
この脅威モデルこそ、法律を守る市民が克服し続けなければならない課題なのだ。
(ジャイクマール・ビジャヤン/Computerworld オンライン米国版)