現在地 HOME > 掲示板 > IT1 > 666.html ★阿修羅♪ |
|
エンタープライズ:ニュース 2003/08/27 21:20:00 更新
ソフトの脆弱性にも製造責任を――ウイルスまん延で高まる声
http://www.zdnet.co.jp/enterprise/0308/27/epn11.html
ソフトメーカーはライセンス契約によって製品の欠陥に対するクレームを
免れることができる。しかし最近のウイルスまん延を受け、製造物責任法
を改正してソフト企業に責任を負わせるべきとの声が上がっている。
シリコンバレーの新興企業3社でシステム管理者を務める経験豊かなト
ーマス・リービット氏は、これまでにもコンピュータワームやウイルスに
対処した経験があった。
しかし、先週のSobig.FとMSBlastの攻撃は非常に深刻で、同氏はそれま
で以上に力を入れて対処策を練らなければならなかった。まずは正体不明
のウイルス作者を見つけ出して罰することが第一歩だが、Microsoftもそ
の責任の一端を負うべきではないだろうか?
「土木作業員はめったにミスをしない。ミスをすればそこでキャリアが
終わる。今われわれが使っているソフトも、それと同程度かもっとひどい
損害をもたらす可能性がある」(リービット氏)
Microsoftのセキュリティ上の失策は、世論の裁きにおいては何度とな
く非難されることになるかもしれない。しかし現行の製造物責任法(PL法)
が改正されない限り、同社が法の裁きを受けることはないだろうとの点で
法務専門家の意見は一致している。
訴訟大国の米国では、物理的な製品で問題が起きると、だいたい数百万
ドルの支払いを伴う判決や和解に至る。しかしソフトベンダーはたいてい
の場合、典型的なソフトウェア利用許諾書に記されている独特の免責条項
のおかげで、製品の欠陥に対する申し立てから保護される。このような許
諾書は、業界で「エンドユーザーライセンス契約」(EULA)、あるいは製
品の入っている収縮包装の箱に印刷されているか、ソフト自体に組み入れ
られていることが多いため「シュリンクラップ契約」と呼ばれている。
こうした契約書は通常、ソフトをインストールする条件として発効し、
顧客は欠陥に対して訴訟を起こす権利を放棄しなければならないと定めて
いる。このようなEULAはこれまでたびたび法廷で支持されている。
「負傷者や死者が出ない限り、ソフトの欠陥を理由にソフトパブリッシ
ャーを訴えることはほとんど不可能だ」と弁護士にしてフロリダ工科大学
コンピュータサイエンス学教授のセム・ケイナー氏。「ソフト関連法の改
正案は、主にソフトベンダーの責任を減じることを目的としている。最近
ではこの手の論争に、組み込みソフトが巻き込まれている。自動車を買う
ときに、ブレーキや燃料インジェクタを制御するソフトに、車体とは別の、
メーカー寄りの法律が適用されるといったことがもうすぐ起きるかもしれ
ない」
Microsoftのセキュリティ慣行は、これまでいくつもの過失をめぐって
注目を浴びてきた。しかしSobig.FとMSBlastが驚くほどのスピードで企業
ネットワークを混乱させていることから、この問題にここ数年でかつてな
いほどの関心が集まっている。
深刻さを増すウイルス被害 カリフォルニア州カールズバッドの調査会社
Computer Economicsは、今月中にMSBlast、Sobig.Fも含めて約75種類の新
しいコンピュータウイルスが確認されるだろうと予測している。同社は
2003年8月のコンピュータ攻撃による被害額を、約20億ドルと見積もって
いる。記録的なペースではあるが、2000年にILOVEYOUウイルスがもたらし
た被害よりはかなり少ないと同社は報告している。生産性の逸失とシステ
ム復旧コストによるILoveYouの被害額は、史上最大の推定80億ドルだった。
Microsoftは先週、Internet Explorer(IE)とWindowsの新たな脆弱性
を公表し、7月に公表した、MSBlastに悪用される脆弱性にパッチをあてる
ようユーザーに呼びかけ、さらには将来的にセキュリティパッチのインス
トールを自動化する可能性を示唆した。これで同社のセキュリティ問題が
さらに浮き彫りになる形となった。
同社にコメントを求めたが、返答は得られなかった。
たびたび脆弱性が発見され、その影響が次第に深刻になっているという
のに、ソフトベンダーの免責は存続している。1997年には、プログラマー
がゼロの入力を受け付けないようにする有効性チェックを怠ったために、
米海軍のミサイル巡洋艦「ヨークタウン」が機能しなくなったことがあっ
た。1月にはオハイオ州の原子力発電所がSlammerワームに襲われた。ただ
し、この施設は当時既に閉鎖されており、安全上の問題は発生しなかった
と報じられている。そして先週、New York Timesで大量のウイルスにより
ネットワーク障害が起きた(8月23日の記事参照)。
こうした度重なる問題を受けて、業を煮やした一部のセキュリティ専門
家は、企業にバグだらけの危険なコードを修正するよう促す方向で、ソフ
トウェア責任法を改正するよう求めている。
「ソフトメーカーが製品に対して刑事的、民事的、金銭的に責任を負わ
なくてはならないように法律が改正されれば、製品の質、セキュリティ、
安定性は高まるだろう。EULAは、私が思いつく中で最も狡猾な“釈放カー
ド”だ」と作家でセキュリティコンサルタントのリチャード・フォルノ氏
は語る。
MSBlastは、Windows Me以外のWindowsに影響する深刻なセキュリティホ
ールを悪用する。これを悪用すると、コンピュータを乗っ取ることが可能
になる。ポーランドのハッカーと独立系セキュリティコンサルタントのグ
ループ「Last Stage of Delirium」がこの欠陥を発見し、Microsoftと協
力して修正に当たった。Microsoftは7月にこの脆弱性を修正するパッチを
発行した(7月17日の記事参照)が、多くのユーザーはそれをインストー
ルしていない。それを受けて同社は、将来的にソフトウェアアップデート
の自動化に踏み切るかもしれないと示唆した。
品質改善を促すために プログラマーは、セキュリティ問題の解決は非常
に難しいと主張し、現状を維持しようとする傾向にある。ほとんどのプロ
グラミング言語は、セキュリティではなくスピードを念頭に置いて設計さ
れている。プログラマーはまた、そもそもプログラミングは難しい作業だ
とも主張している。今のソフトは脆弱で、1つのエラーでも問題が起きる。
加えて、ソフトウェア工学は従来の工学と比べて歴史の浅い分野だ。
しかし批判的な向きは、そろそろソフト企業を甘やかすのをやめて、品
質改善につながる本当のインセンティブを作り出すべきだとしている。
「残念なことに、ソフトメーカーのビジネス哲学を変える唯一の方法は、
その泣き所、つまり財布を攻撃することだ。それには数社の大手顧客が
『もうたくさんだ』と言って別の動作環境に乗り換えればいい。それだけ
で、Microsoftに早急に、効果的に製品を改善する気を起こさせることが
できるだろう」(フォルノ氏)
「Bad Software: What To Do When Software Fails」の著者であるフロ
リダ工科大のケイナー氏は、穏当な措置を定めた新法の制定に賛成してい
る。例えば、ソフト企業に対して製品の既知の欠陥を開示すること、何が
問題を引き起こす可能性があるのかを見込み客に説明することを義務付け
る、といった措置が挙げられる。
Microsoftのような独占企業を相手にする場合は、もっと厳しい法律が
必要かもしれないとケイナー氏は語る。「独占市場の場合はもっと難しい。
欠陥の開示が競争に影響し得ないからだ。独占企業はとんでもない欠陥の
ある製品をリリースするかもしれない。しかし顧客にほかの選択肢がなけ
れば、独占企業に製品の改善を促すだけの大きなプレッシャーにはならな
い」
免責拡大の提案も 現状をこのように変えるには、現行のソフトウェア責
任法と判例法の大幅改正が必要になるだろう。これらの法律により、技術
ベンダーは欠陥製品を販売しても、その責任を免れられる。
1994年、Transport Corporation of Americaはディスクドライブの故障
でビジネスが中断され、推定47万3079ドルの損害を被ったとしてIBMを訴
えた。第8巡回区連邦控訴裁は、IBMは顧客が署名した契約書において「適
切な記述により黙示の保証を否認している」として、同社寄りの判決を下
した。その1年後、同じ裁判所でRockport Pharmacyと薬局向けソフトを販
売するDigital Simplisticsの裁判が争われたが、Digital Simplisticsに
プログラミング問題に対する責任はないとの判決が下され、同社の契約違
反と怠慢を訴える申し立ては退けられた。
EULAは個人のエンドユーザーの間ではいまだに物議をかもしているが、
判事はこれを、ほかの形態の契約と同じ効力を持つ、正当な契約と見なす
傾向がある。おそらく、最も強い影響を持つ判例は、ProCD対ツァイデン
ベルクの訴訟だろう。1996年に第7巡回区控訴裁で争われたこの訴訟では
「シュリンクラップ契約」が支持された。
フランク・イースターブルック判事の記した判決文には、次のように書
かれている。「ProCDの提案した契約は、購入者が契約書を熟読する機会
を得た後でソフトを使用することにより承諾する形のものだ。ツァイデン
ベルク氏はその通りに行動した。同氏には選択の余地はなかった。当該ソ
フトはライセンス契約書を画面に表示し、同氏が契約内容を承諾しなけれ
ば先に進めないようになっていたからだ」
法律上は、ソフトベンダーはEULAにおいて、顧客が裁判により損害賠償
を請求することを認めても構わない。しかし、ほとんどのすべてのEULAに
免責条項が含まれる傾向がある。
ペンシルバニア大学ロースクールのR・ポーク・ワグナー助教授は、
「理論上、特にMicrosoftが当該ソフト製品をリリースする前に欠陥の存
在を知っていたか、知っていたはずと思われる場合、この種の深刻な欠陥
に対する責任が発生するかもしれない」と語る。しかし同氏はこう付け加
えてもいる。「実際には、シュリンクラップ契約の特徴の1つなのだが、
ソフト企業はこうした責任すべてを放棄できるし、通常そうしている。少
なくとも今のところ、裁判所はこうした契約を積極的に支持しているよう
だ」
ソフトウェア責任法の変更案は、免責を排除するよりも、むしろ拡大し
ようとしている。Uniform Computer Information Transactions Act
(UCITA)法案では、「ソフトパブリッシャーは“現状のまま”ソフトを
販売し、欠陥に対する責任を放棄することができる」と明示的に規定する
ことで、シュリンクラップ契約の妥当性に関して残る疑惑を排除しようと
している。しかし、この法案は州議会で行き詰まっている(8月8日の記事
参照)。
もちろん、連邦議会がこれとは反対の方向へと動き、シュリンクラップ
契約の適用範囲を制限する可能性もある。しかしソフトウェア責任法がそ
のような方向に改正された場合、ソフトのコストが増加することも考えら
れる。ソフト企業が製品のテストまたは損害賠償保険、あるいはその両方
にかける費用を増やさざるを得なくなるからだ。
サンフランシスコのシンクタンクPacific Research Instituteの技術政
策アナリスト、ソニア・アリソン氏は、現行法が妥当とされている理由の
1つとして、「ソフトの方が脆弱性の発生を前もって知ることが難しいた
め、タイヤ(などの物理的な製品)とは本質的に違う」ことを挙げている。
深刻なソフトの欠陥により被害を被った人の間でも、ソフトベンダーの
民事責任を認める新法に懐疑的な意見が見られる。
メールボックスの氾らんに見舞われたシステム管理者のリービット氏は、
先週のウイルス攻撃には困らされたが、それでも連邦議会や州議会の介入
を求めることには疑問があるとしている。
「法的な解決策として、これで問題は解決されるだろうが、それと同じ
だけの混乱も起きるだろう。私としては、連邦議会に責任の緩和や定義を
任せるのはちょっと心配だ。この種の問題に対する連邦議員たちの適性能
力に、私はいくばくかの疑問を持っている」(リービット氏)
原文へのリンク
関連記事
Windowsを危険にさらすRPCのセキュリティホール
「ソフトの脆弱性はメーカー側に責任」科学者が法律の制定を呼びかけ
[Declan McCullagh,ZDNet/USA]