「バグの責任は開発者ではなくベンダーに」--白熱する議論に著名セキュリティ専門家が参戦

Colin Barker(CNET News.com)

2005-10-21 12:31

 コンピュータセキュリティの専門家Bruce Schneierが、ソフトウェアのコードに欠陥が多いせいでセキュリティ問題が生じた場合、だれが責任を負うべきかという議論に参戦した。

 この議論は、以前ホワイトハウスのサイバーセキュリティアドバイザーを務めていたHoward Schmidtが現地時間10月11日に、ロンドンで開催されたセミナーで述べた意見に端を発している。Schmidtはこのとき、プログラマはみずからが記述したコードに責任を持たねばならないと発言した。「ソフトウェア開発においては、記述したコードが安全であるという言質を開発者個人から得ていかねばならない」(Schmidt)

 Schmidtの主張には、Counterpane Internet SecurityのCEOであるBruce Schneierなど技術界の著名人を含め、ソフトウェア開発者が強く反発した。Schneierは自身のブログやWired NewsのコラムでSchmidtのコメントを取り上げ、責めを負うべきは問題のあるソフトウェアを販売する企業であり、開発者ではないと反発している。

 Schneierによれば、ソフトウェア企業のビジネスとは金を稼ぐことであるという。「企業は、パッチ適用にかかる費用や時に巻き起こるマスコミのバッシング、売上の落ち込みなどのソフトウェアの存在を不安定にする要因に対し、その安全性を確保するためのコストを釣り合わせようとするものだ。すなわち、多くの開発者を雇い、搭載する機能は少なめにして、市場に長期間流通させるといった、本来なら安全性を高める作業を故意に怠るのである」(Schneier)

 その結果が「お粗末なソフトウェア」の誕生だと、Schneierは指摘する。企業は、「セキュリティを最初から組み込む」ことよりも、「ときたま見舞われるマスコミのバッシングの嵐」に耐えることに資金を使っているというのだ。

 「安全性の低いソフトウェアが一般に出回るのは、こうした理由からだ。だが、これに料金を支払うのは製造業者ではなくユーザーなので、事態は一向に改善されない。この普遍的な問題の責任は、ソフトウェアメーカーに負わせるべきである」(Schneier)

 大半のZDNet UK読者もSchneierの意見に賛同しており、セキュリティ問題の責めを負うのは当該のソフトウェアを販売するベンダーだと考えているようだ。

 1000名以上の読者が回答を寄せたZDNetのオンラインアンケートでは、全体の53%がベンダーに問題があると感じていることがわかった。そのほか40%がだれにも責任はないと回答し、ソフトウェアプログラマが責められるべきだとしたのはわずかに6%であった。

 Schneierは、「コンピュータセキュリティは技術的な問題ではなく、経済的な問題だ」と考えているという。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]