ソフトウェア提供者に対して不安全な製品に法的責任を負わせるべきだという新たな動きが、英国ビジネス・貿易委員会の新しい報告書で示されました。
この文書は、主要な分野で頻発し高額なサイバー攻撃が発生していることから、自主的な対策だけでは英国の経済的安定を守るにはもはや十分ではないと主張しています。
不安全なソフトウェアによる公共コストの増加
2025年に発生した一連の事件、たとえばCo-op、M&S、ジャガー・ランドローバー(JLR)への攻撃は、サイバー侵入による財務的・運用上の影響を浮き彫りにしました。M&Sは3億ポンドの損失を報告し、Co-opはシステムが混乱した後、葬儀業務の一部を手作業に切り替えました。
報告書は、英国の国家サイバーセキュリティセンター(NCSC)が「セキュア・バイ・デザイン」モデルを推進しているものの、開発者が悪用可能な欠陥を含む製品をリリースしても罰則がないことを指摘しています。
委員会は、このギャップが公共部門や消費者を増大するリスクにさらしていると警告しています。また、提供者が不安全な機能を持つソフトウェアを販売しても、攻撃でその弱点が突かれた場合のコストを負担しないことも強調しています。
主要な提言として、政府が企業に対し、ソフトウェアセキュリティ実践規範で示された原則に従うことを義務付ける法律を導入することが挙げられています。現行の規範は自主的であり、自己評価による監視のみで、強制ではなく奨励を目的としています。
報告書は、国際的な動きがより強力な措置が可能であることを示していると引用しています。EUのサイバーレジリエンス法は2027年に全面施行され、責任追及への転換と位置付けられ、規制当局が製品のリコール命令や不遵守に対する罰金を科す権限を持つようになります。
なぜ責任が重要なのか
委員会は、英国の経済的安全保障は、市場に流通する不安全な製品の量を減らさなければ維持できないと主張しています。以下の3つの重点分野を示しています:
-
回避可能な脆弱性についてソフトウェア開発者に責任を負わせること
-
サイバーレジリエンスへのより大きな投資を促すこと
-
国家的な脅威状況を明確にするため、サイバーインシデントの報告を義務化すること
サイバーレジリエンスについてさらに読む:英国政府、ついにサイバーセキュリティおよびレジリエンス法案を導入
責任をベンダー側に移すことで、提案された改革は、民間部門のセキュリティ失敗のコストを公共が負担するという傾向に対抗することを目指しています。
「サイバーセキュリティ業界として、私たちはセキュリティやベンダーの評価方法を再考する必要があります。たとえば、エッジ向けインフラなど重要なコンポーネントで繰り返し脆弱性が見つかるベンダーの傾向や分類をより深く見るべきです」と、CybaVerseのエンジニアリングCTO、サイモン・フィリップス氏はコメントしています。
「なぜインシデントの負担や関連コストが常に被害者の責任でなければならないのでしょうか。本当に防御を強化するには、表面的なものやランサムウェアの支払いだけでなく、サイバー犯罪が繁栄する本当の要因を見極める必要があります。」
委員会は、セキュア・バイ・デザインの原則への準拠が、選択的なものではなく、基準となるべきだと結論付けました。また、企業が基準を満たさない場合に、執行機関が遵守状況を監視し、罰則を科す権限を持つよう、閣僚に求めました。
翻訳元: https://www.infosecurity-magazine.com/news/uk-liability-software-providers/
