英国とポルトガルは、倫理的ハッカーが起訴の恐れなく脆弱性を発見・報告できるよう、彼らを保護することを検討している。
各国政府がサイバー犯罪という増大する脅威への対処を模索する中、コンピューターセキュリティ研究者に注目が集まっている。
先週、英国の安全保障担当大臣であるダン・ジャーヴィス(Dan Jarvis)氏は、コンピューター犯罪と闘うための新たなアプローチを示し、セキュリティ侵害が英国経済に与えてきた損害を強調するとともに、コンピューターセキュリティ研究者の重要性を訴えた。その翌日には、ポルトガル議会が同じグループに対する保護を強化する法律を可決した。
ジャーヴィス氏は演説の中で、英国の1990年コンピュータ不正使用法(Computer Misuse Act)がもはや時代にそぐわないものになっていると説明し、「この法律は、多くのサイバーセキュリティ専門家に、自分たちが行える活動が制約されていると感じさせてしまう可能性がある。このような研究者は、英国のシステムのレジリエンスを高め、未知の脆弱性から守るうえで重要な役割を果たしている。彼らを締め出すべきではなく、彼らとその活動を歓迎すべきだ」と述べた。
さらに同氏は、政府が現行法制の改正を検討していると述べた。「我々はコンピュータ不正使用法の法改正を検討している。これは、こうした研究者が脆弱性を発見し共有することを可能にする『法定の抗弁(statutory defense)』を設けるものであり、一定のセーフガードを満たす限り、彼らを起訴から保護することになる。」
ポルトガルの法律もまた、研究者が金銭的利益を追求せず、かつデータ保護法に違反しないことを条件に、セキュリティ研究者に一定の保護を与えている。
英国とポルトガルによるこうした新たな取り組みは、研究者に法的保護を与える他国の動きとも歩調を合わせるものだ。オランダ、フランス、ベルギーはいずれも、同様のガイドラインを導入している。
ジャーヴィス氏の提案は、セキュリティ業界から概ね好意的に受け止められている。Check Point Software の英国・アイルランドにおけるエンタープライズビジネス責任者であるシャーロット・ウィルソン(Charlotte Wilson)氏は、コンピュータ不正使用法は時代遅れで目的に適っていないと述べた。「現状では、この法律は、セキュリティ研究者をサイバー犯罪者とほとんど同じように扱っており、防御を弱体化させるのではなく強化しようと善意で行動している場合であっても同様です」と同氏は指摘する。
しかし同氏は続けて、「解決策は比較的シンプルです。研究者が、起訴の恐れなくシステムをテストし、責任を持って脆弱性を報告できる法的なセーフスペースを設ければよいのです。ポルトガルは最近、善意のテストに関する明確なルールと、責任ある情報開示のための枠組みを導入することで、この重要な一歩を踏み出しました。これは、セキュリティ上の弱点を特定し修正するうえで研究者が果たす不可欠な役割を認識した、実務的なモデルであり、英国も真剣に採用を検討すべきものです」と述べた。
ウィルソン氏はさらに、組織は政府の対応だけに依存すべきではなく、企業側も研究者を支援するために行動を起こせると強調した。「企業は、研究者がどのように安全に問題を報告できるかを明示した、明確な脆弱性開示ポリシーを公開すべきです。また、脆弱性に迅速に対応し、どのようなテストが許可されているのか、どのように結果を報告するのか、そのプロセスがどうなっているのかを透明化することで、境界線を明確にすべきです。」
同氏の見解には、Huntress のセキュリティオペレーション部門シニアマネージャーであるドレイ・アガ(Dray Agha)氏も同調している。「組織は、責任ある情報開示に報奨を与え、短絡的な法的脅しを避け、コミュニティの取り組みに参加し、不正行為の防止と正当な研究の促進とのバランスを適切に取る改革を支持することで、このプロセスを支援できます」と同氏は述べた。
さらに同氏は、政府は研究者が十分に保護されるようにすべきだとし、責任ある研究を検証・支援する独立した監督機関の設置を求めた。「この機関は、迅速な助言的見解を提供し、開示をめぐる紛争を仲裁し、組織側の対応が遅い場合や非協力的な場合に、研究者が無防備な状態に置かれないよう保証書を発行することができます。」
また同氏は、多くの企業がセキュリティ侵害の公表に消極的であり、その姿勢を改める必要があると指摘した。「ユーザー組織は、開示チャネルを維持し、報告を速やかに受領したことを認め、定められた是正期間内に対応することを法的義務とされるべきです。これにより、研究者から負担を取り除き、彼らが法的リスクを感じるグレーゾーンを減らすことができます」と同氏は述べた。
これは、協力の必要性を演説の中で強調したダン・ジャーヴィス氏にとって、まさに望むところだろう。「この取り組みは政府だけの責任ではありません」と同氏は述べた。「社会全体で取り組む必要があります。真の抑止力を生み出せるのはパートナーシップを通じてのみであり、そのために政府と企業は協力してセキュリティの向上に取り組んでいるのです。あまりにも長い間、企業や政治家は、サイバー分野への投資は成長の足かせになるという誤った認識を抱いてきました。しかし、それは間違いです。サイバーセキュリティは私たちの安全を守るものであり、成長を支える重要な原動力なのです。」
ジャーヴィス氏の演説は、今後の法制化に向けた前段階に過ぎないが、英国が他国と同様の道を進み、ようやくセキュリティ研究者に日が当たる環境を整えようとしていることは明らかだ。
翻訳元: https://www.csoonline.com/article/4104382/security-researchers-given-new-boost.html
