「バグの責任は開発者ではなくベンダーに」--白熱する議論に著名セキュリティ専門家が参戦

Colin Barker(CNET News.com) 2005年10月21日 12時31分

  • このエントリーをはてなブックマークに追加

 コンピュータセキュリティの専門家Bruce Schneierが、ソフトウェアのコードに欠陥が多いせいでセキュリティ問題が生じた場合、だれが責任を負うべきかという議論に参戦した。

 この議論は、以前ホワイトハウスのサイバーセキュリティアドバイザーを務めていたHoward Schmidtが現地時間10月11日に、ロンドンで開催されたセミナーで述べた意見に端を発している。Schmidtはこのとき、プログラマはみずからが記述したコードに責任を持たねばならないと発言した。「ソフトウェア開発においては、記述したコードが安全であるという言質を開発者個人から得ていかねばならない」(Schmidt)

 Schmidtの主張には、Counterpane Internet SecurityのCEOであるBruce Schneierなど技術界の著名人を含め、ソフトウェア開発者が強く反発した。Schneierは自身のブログやWired NewsのコラムでSchmidtのコメントを取り上げ、責めを負うべきは問題のあるソフトウェアを販売する企業であり、開発者ではないと反発している。

 Schneierによれば、ソフトウェア企業のビジネスとは金を稼ぐことであるという。「企業は、パッチ適用にかかる費用や時に巻き起こるマスコミのバッシング、売上の落ち込みなどのソフトウェアの存在を不安定にする要因に対し、その安全性を確保するためのコストを釣り合わせようとするものだ。すなわち、多くの開発者を雇い、搭載する機能は少なめにして、市場に長期間流通させるといった、本来なら安全性を高める作業を故意に怠るのである」(Schneier)

 その結果が「お粗末なソフトウェア」の誕生だと、Schneierは指摘する。企業は、「セキュリティを最初から組み込む」ことよりも、「ときたま見舞われるマスコミのバッシングの嵐」に耐えることに資金を使っているというのだ。

 「安全性の低いソフトウェアが一般に出回るのは、こうした理由からだ。だが、これに料金を支払うのは製造業者ではなくユーザーなので、事態は一向に改善されない。この普遍的な問題の責任は、ソフトウェアメーカーに負わせるべきである」(Schneier)

 大半のZDNet UK読者もSchneierの意見に賛同しており、セキュリティ問題の責めを負うのは当該のソフトウェアを販売するベンダーだと考えているようだ。

 1000名以上の読者が回答を寄せたZDNetのオンラインアンケートでは、全体の53%がベンダーに問題があると感じていることがわかった。そのほか40%がだれにも責任はないと回答し、ソフトウェアプログラマが責められるべきだとしたのはわずかに6%であった。

 Schneierは、「コンピュータセキュリティは技術的な問題ではなく、経済的な問題だ」と考えているという。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • ビジネスの継続的な成長を促す新たなITのビジョン

    多くの企業においてITに求められる役割が、「守り」のコスト削減から「攻め」のビジネス貢献へとシフトしつつある。その中でIBMが提唱する新たなビジョンEnterprise Hybrid ITとは?

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!