セキュリティホールの責任はどこに 106
ストーリー by Oliver
当然のこと 部門より
当然のこと 部門より
liquor 曰く、 "ほぼ毎日と言っていいほど流れる各種のセキュリティホール情報。脆弱性はソフトウェアメーカーに責任を、という法律の制定を求める記事が出てました。
脆弱性を見つけてしまうユーザーや研究者、使うクラッカーが悪い、ってことではなくセキュリティホールを塞いでないメーカーが悪いと法律で決まると、今後品質の向上が必須となるのでしょうが、開発期間は延びてしまいそうですね。"
フリーソフトウェアへの影響は? (スコア:5, 興味深い)
例えばMicrosoftのような大きな「ソフトウェアメーカー」を対象に考えると、 セキュリティに対する一定の責任を追求するのも妥当に思えるのですが、 これが拡大解釈されてフリーソフトウェアやオープンソースソフトウェアなどに広がると、 どのような影響が有り得るか心配になります。
もちろん、フリーソフトウェアやオープンソースソフトウェアについても、 セキュリティに対する配慮は重要であり、一定の責任は意識するべきだと思います。 しかし、こうしたソフトウェアの作者は往々にして専属のプログラマなのではなく、 自分の空き時間を使ってソフトウェア開発をしているに過ぎません。 セキュリティ上の問題が生じても、すぐに対応できないことはよくあることです。 また、リリース後何年もたって、開発者本人がすでにそのソフトウェアから離れてしまっても、 広く流通して使われ続けることも少なくなく、 そうした場合にいざ問題が発生しても、もはや責任をもってメンテナンスをできる人間がいない、 ということも有り得ます。
NASの提出した文書がどのようなものか記事の上からは分からないのですが、 ヒステリックに、 ソフトウェア開発者にリリース前の品質保証や問題発見後の早期修正義務などを迫ったり、 法的追求の可能性などを示唆するものであるとしたら、 よほど(何らかの意味で)恵まれた人間以外は、恐くてフリーソフトウェア公開や オープンソースプロジェクトへの参加を躊躇するようになるでしょう。 フリーソフトウェアの世界にあっては、 多少のセキュリティホールがあっても、ソースが公開されていることによって、 「誰か」がそれを修正することによって、ソフトウェアが改良され続けてきました。 変に開発元を重視しすぎると、こうしたフリーソフトウェア・オープンソフトウェアの良い性質を破壊しかねません。
誰もが完璧なプログラムを目指しはしますが、 「バグのないプログラム」という言葉は「腐敗しない絶対権力」と同じくらいナンセンスであることは周知の事実です。 NASの提案に限らず、こうした提案がヒステリックな方向に進まないよう、 我々は十分注意するべきであると思います。
――個人的には某M$社に対してだけは、どれだけヒステリックに言っても言い足りない気もしますけどネ。:-)
Re:フリーソフトウェアへの影響は? (スコア:4, すばらしい洞察)
物に対する責任というと製造物責任法を思い出します。
製造物責任法ではその責任を負うべき対象は
製造業者で、製造業者とはその物を製造・加工したり
輸入することなど生業とするものとなっていたかと
思います。
その考えを適用するならフリーソフトウェアや
オープンソースソフトウェアであるなしに関わらず
生業であるかどうかに注目することになるのかなぁと。
ただ、フリーソフトウェアやオープンソースソフトウェア
に対して同じ考えを適用するのが適切かどうかは
充分に議論すべきだとは思いますが。
僕的には生業でないものについてまで生業にしている
人と同様の責任を負うのは負担が大きすぎるから
キツいなぁと重います。
Re:フリーソフトウェアへの影響は? (スコア:3, おもしろおかしい)
マイクロソフトが槍玉に挙がっていますが、マイクロソフトに限らず大抵のベンダーのソフトウェアにはGPLと同じように「責任は取りません」という契約条項が記載されていて、パッケージを開けた瞬間にそれが適用されますよね。
で、仮に、全く同様の悪さができるセキュリティホールがマイクロソフトのソフトウェアと、それと同じ機能を持つフリーソフトウェアにおいて同時に発見された場合に、ユーザーに及ぶ被害はタブン同じ程度ですよね。
なのに、マイクロソフトは法律を適用されて、フリーソフトウェアは法律の適用対象にならない、というのは、ユーザーの立場からは納得がいきません。というか理解できない。
すぐに対応できないから責任はない、というのは、まさにマイクロソフトが先日言ったこと [srad.jp]と何ら変わりません。
ワタシとしては、ソフトウェアのセキュリティは法律で義務付ける種類のものではないと思います。それは車が人を撥ねないように、人に近づいたら自動的に回避・フルブレーキがかかるようにしろ、というのと同じで、ソフトウェアの開発コスト上あまりにも高くつくことだからです。
# もちろん、コスト的に実現可能な範囲でセキュリティ対策を取るというのは大切なことです。それはベンダーの信頼に関わるから。
ユーザーが自己責任でソフトウェアを評価し、自分が使うには機能上・セキュリティ上の問題が多すぎると判断すれば使わない。そうやって、性能と危険性が見合わないソフトウェアが自然淘汰されていくのが理想的な姿だと思います。
つまり、セキュリティもソフトウェアの重要な機能の一部と捉えるべきだと…あれ?ビル・ゲイツと同じこと [srad.jp]言ってるような…どこで間違ったんだ?(笑)
Re:フリーソフトウェアへの影響は? (スコア:2, 興味深い)
それはどうですかね…どっちかというとちゃんとライセンス条項を読まずに使っている人が多いんじゃないでしょうか。
フリーソフトウェアについて言えば、(特に日本では)「フリー」という言葉の意味がかなり誤解されていて、とくにGPLなんかは「無償」ではなく「自由」なのだと理解されていないのではないでしょうか。かなり大雑把に言えば、「責任は持たない。自由に使っていいよ、但し手を加えたらその成果はフリーソフトウェアの世界にフィードバックしてね(=有償)」というライセンスですよね。
マイクロソフトのライセンスだって責任は持たないと明記されているにもかかわらず、パッケージを破いてそれに同意しておきながら、問題が多いからといって問題への対策を要求する。
「それは契約外なので、ご要望には応じかねます」…なんて言うと信頼を失うから、ベンダーも無料でセキュリティパッチを提供するんですけどね。フリーソフトウェアの開発者だって、ベンダーだって無料でできることには限度がある。そこから先はユーザーの責任です。
今は、そこから先を、ベンダーをひっぱたいて引き出すべきだと考えている人が多いんでしょうね…ふーむ…。
Re:フリーソフトウェアへの影響は? (スコア:3, 興味深い)
責任をとらない自由なんて (スコア:2, すばらしい洞察)
だからこそ自由なんですしね.
ACさんの言うとおり,ユーザーが責任をとることなく自由のみを享受しようとするのならば,そんな自由はそのうち廃れるでしょう.
自由は与えられるものではなく,獲得し,守りつづける必要のあるものですから.
Re:フリーソフトウェアへの影響は? (スコア:1, 参考になる)
オンラインソフト社会の構造改革(前編) [impress.co.jp]
オンラインソフト社会の構造改革(中編) [impress.co.jp]
オンラインソフト社会の構造改革(後編) [impress.co.jp]
バグなどの情報を公開すべきという主張はごもっともなんですが、それを責任と言ってみたりジャングルジムのたとえを持ち出すあたり、なんか引っかかる……
# 情報公開するのが当然じゃないのか?
Re:フリーソフトウェアへの影響は? (スコア:1)
「金取るならそれなりの物をよこせ」
ってことでしょう。
フリーソフトウェアの場合は、フリーであることが(言葉が悪いかもしれないけど)免罪符になるかも。
……ダメじゃん、IEとか。
Re: フリーソフトウェアへの影響は? (スコア:1)
今回は、フリーウェア作者をどうこうって話ではないようです。
利潤目的には相応の責任を (スコア:3, すばらしい洞察)
しかし、高品質なオープンソースのフリーウェア(ここでは無料の意味)は、製 品などではなく、人類全体の叡智として扱われるべきです。たとえば、新たに 発見された数学の公式や物理法則に賠償責任が生じるでしょうか?
利潤目的の製品ならば、その金額に応じて賠償責任を義務化するのは妥当でしょ う。賠償責任のリスクに応じて単価が上がるでしょうが、その一方、その上昇 分の額を元に、フリーOSのサポート業者のコストを算出する適切な尺度が見え てくるメリットも存在します。
ですから、単価(または他の適切な尺度)に比例する責任を課すのが適当かと思 います。それなら、フリーソフトは免責ですしね。または、賠償責任をサービ スと位置付けて金額に反映する、という見方でもいいです。
Re:利潤目的には相応の責任を (スコア:3, すばらしい洞察)
だけど単価を唯一の基準にしちゃうと、某社あたりがOSは無償にする(当然セキュリティホールがあっても免責)だけど、Hotfixのサポートは有償(それも結構なお値段)なんて商売をしないかと....。
開発/販売者は、バグやセキュリティホールのFixは無差別に無償(または妥当な実費)で提供しなければならないよう義務付ける事も必要になるかと思います。
Re:利潤目的には相応の責任を (スコア:1)
Hotfixの有料化 (スコア:1)
Re:利潤目的には相応の責任を (スコア:2, 興味深い)
メーカがセキュリティ対応のサポートにかかるコストを削るため、
オープンソースにしてしまう可能性も考えられるね。
そもそもきちんとサポートされてないソフトウェアが多いので、
それはそれでよいかと。
#むむ、同じソフトウェアとはいえ、ゲーム業界とかだと
#画像データや音楽データについてはオープンソースにする必要がないので
#古いゲームがただで遊べるようにはならんね。
# mishimaは本田透先生を熱烈に応援しています
Re:利潤目的には相応の責任を (スコア:1)
となると、面倒だからオープンソースってのはあるかも。
Re:利潤目的には相応の責任を (スコア:1)
面倒だからネットワークゲームを作らなくなるでしょう。
責任のすり替えでは? (スコア:2, すばらしい洞察)
「悪いのはクラッカー/ハッカーではなくメーカ」
というように見えますね。これは明らかに責任のすり替えだと思います。
原因の一端は、確かに脆弱な「商品(!free)」を作成・販売しているメーカにもあると思います。
ですが、やはりセキュリティーホールを「悪用」している人間に、一番問題があると思います。
だからといってメーカの責任を問いただすな、といっているわけではありませんが…。
#M$などは、明らかに怠慢ですし責任を問いただされてしかるべき組織だと思いますし。
自動車にたとえてみれば (スコア:2, 参考になる)
結局これって
という感じの議論だと思うのですが, 何か変なことを言っていますかね?
Re:自動車にたとえてみれば (スコア:2, 参考になる)
パッチをあてない (スコア:1)
Re:パッチをあてない (スコア:3, すばらしい洞察)
もちろん、サーバ管理者はパッチの存在を知ってしかるべきなので、
責任はあるでしょう。
でも、現状で一般ユーザにまで責任を追わせるのは酷だとおもいます。
現状パッチの情報はコンピュータ関連の情報サイト、
もしくはメーカのサイトまで行かなけれ知ることができません。
すくなくとも、メーカの正規ユーザであってもパッチ提供の
通知がきた試しがありません。
果たして、一般ユーザが定期的に情報収集をおこなえるでしょうか。
車であれば、リコール情報はオーナに届く仕組みになっていると
思います。
製造者に責任を負わせるのは結構ですが、その前に情報通達手段を
もっときちっとしてほしいです。
現状の「自己責任」ということで自分で情報収集しなければならない
状態であれば、どんなにパッチ提供されても存在を知らない人が
多すぎて効果がありません。
実際、私の周りでIEなどMicrosoft関連のパッチを当てている人は
知りません。
Re:パッチをあてない (スコア:1)
> もしくはメーカのサイトまで行かなけれ知ることができません。
Microsoft は自動通知のプログラムを配ってませんでしたっけ。
私は自動通知の機構が信用できないのでいれてませんが。;-)の
Re:パッチをあてない (スコア:1)
が、他のバージョンのOS用のツールってありましたっけ?
Hfnetchk.exe [microsoft.com]というパッチ適用状況のチェックツールは
あるにはあるんですが、一般ユーザー向けというより、ネットワーク
管理者向けのツールと言った印象でお世辞にも使いやすいとはいえない
感じがします。
Re:パッチをあてない (スコア:1)
Windows Update に載ってるよ。ほんまに告知するだけ。
# Widows Update の情報に沿うんでまだ不十分だけどね
Re:パッチをあてない (スコア:1)
これはパッチを自動的に当ててくれたりするわけではなく、あたらしいパッチがでると その旨知らせてくれる程度のものですが。
どうやって手に入れるか、とかはちょっと忘れてしまいました。 仕事場のマシンには入っていますがちょっとうるさい上に
ちゃんと使うにはMSIEでPlugInやら何やらActiveにせねばならないので
逆に大変危険かもしれません。
なので、あえてリンクは張りませんです。
自己完結レス (スコア:1)
でも、あのツールってWindowsUpdateを定期的に監視してる人には
あまり意味がないツールだし、Hotfixが上がってからWindows Update
に掲載されるまでのタイムラグが名がすぎるような・・・。
#逆に、重要な更新に出てこないHotfixはバギーで適用したくないって
人も多いかもしれないけど
#あれ、何かWindows Update死んでるっぽい
Re:パッチをあてない (スコア:1)
デフォルトでWindows Updateの重要なパッチがダウンロードされて
インストール*させられる*仕様に変更になっていますね。
この点だけで考えると、前の発言で指摘している問題は解消に向かうと思います。
もっとも、いらん機能もインストール*させられて*調子が悪くなったり
逆にセキュリティホールとなるソフトが勝手に入る事例も増えるとは
思うけれど、既存のセキュリティホールがそのままよりなんぼかましだと思いますよ。
(少なくとも持続的にアップデートできる、という点では。)
Re:パッチをあてない (スコア:1, すばらしい洞察)
被害者の立場から見れば、直接被害の保障は加害者にするのが一般的だとおもいますが、自己責任の放棄とみなされれば、たとえ欠陥品であっても、損害賠償を負うのは当然ですよね。
日本では自己責任の意味が軽すぎるのではないでしょうか。
Re:パッチをあてない (スコア:1, 興味深い)
確かに、一般論として日本では自己責任の意味が軽すぎると思
う時があります。
が、Windowsのアップデートはそれが余計なトラブルを引き起こ
しそうで怖い⇒アップデートをあてずに様子を見てみよう(もし
くは、別の方法で回避しよう)、と思う人が出てしまうのは、M
Sの責任としか言いようがないように思います。
きちんとパッチはパッチ(問題を解決するだけのもの)、アップデー
トはアップデート(なんらかの仕様変更や設定の変更を伴うもの)
と分けて提供してくれれば済む話なんだと思いますが。
ダウンが許されないシステムでは、「Windowsのセキュリティアッ
プデートを適用したらダウンしちゃった」では済まされないです
から、アップデートを様子見したいという気持ちも理解できます。
Re:パッチをあてない (スコア:2, 参考になる)
1.セキュリティホールだけ塞いでくれない。(当てた途端に業務PGが動かなくなる!)
2.パッチの数が多すぎて上記1.の確認とPG修正が追いつかない。
3.修正情報がどこにあるかよくわからん。
→ 1カ所にまとめて置いてくれ、といいたいです。
(結局、ルータとファイアウォールでパケットを止めるしか方法がありません。
この手の製品の穴は少ないし対策も楽でいいです。)
notice : I ignore an anonymous contribution.
今朝ここも・・・ (スコア:1)
あれって何ですかね?
数分間、slashdot.jpのトップがKUGIXって文字だけのページに書き換えられていました・・・
M$とか(!?) (スコア:1, 余計なもの)
ずっとリリースされないんじゃないでしょうか?(笑)
誰がどう判断するのか? (スコア:1)
仕様そのものがセキュリティーホールであれば、断罪されるべきだろうなぁ。
「それは仕様です」って、言い訳は抑制できるでしょうし。
仕様の穴といえば (スコア:2, 興味深い)
(´д`;)
Re:誰がどう判断するのか? (スコア:1)
そもそも,そういった「セキュリティ上の制約」自体をきちんと記述できていないし,またどんな制約が存在すべきかが必ずしもわかっていないという問題もあります.今までのところ,セキュリティホールが見つかってはじめてわかることが多いようです.
仕様がセキュリティ上の制約をきっちりみたすことがもし「証明」されても,今度はコードが仕様通りに作られていることも示さなくてはいけないですしね.
Re:誰がどう判断するのか? (スコア:1)
セキュリティホールが見つかったらさっさと直すべきだということには賛成です.世の中に広く知られている類のセキュリティホールを平気で入れてしまうようなベンダーは断罪されてしかるべきでしょう.
でも,仕様でもコードのレベルでも,unknownなセキュリティーホールをリリース前にあらかじめ見つけられなかったことについて責められるのは少しきびしすぎると思います.
Re:誰がどう判断するのか? (スコア:1)
ファイルの先頭を読んで、拡張子にかかわらず、実行形式なら実行してしまうような仕様を撲滅するだけでも、かなり、セキュアになると思いますよ。
元のレポートは (スコア:1)
さすがにオープンになってますねえ。
# まだ読んでないです。
根本的には (スコア:1)
現状のMS製品だって、「命や資産に関わるところに使うな」って書くだけでPL法から逃れてるし、、、
(個人的には、ウイルスによる被害でBIOS飛ばされたりしたら、メーカーにPL法が適用できないのかと思ってみたり。すでにPOSにNT載ってたりするけど、その辺の問題は無いんですかね)
元記事で言うような、仮に「XX法」って法律が出来ても、現在のMS製品に適用することは出来ないでしょう。
そうすれば今後は、「(XX法の対象となる用途)では使うな」って書かれるか、賠償費用を製品価格に上乗せするだけだと思うのだが。
そもそも、「セキュリティーホール」があることで、誰に、どんな被害が出るのか、その当事者からの論理的な声が無ければアメリカとて動かないのでは。
少なくとも私を含め、娯楽として使ってる人間に、実際どれほどの被害があるのだろう?
書き忘れたけど (スコア:2, 参考になる)
それと、コンシューマーに提供されるソフトウェアと、生命に関わるようなミッションクリティカルなソフトウェアに求められる信頼性とかって基本的に全く異なるものでしょう? それを同一に語るってのはそもそも前提として間違ってるのでは? ファイルサーバーとかに使うOSでも原子炉の制御システムに使われる可能性があるからって、信頼性高めたらとんでもない値段になると思うんですケド
ところで、立法上の措置を取ったところで、セキュリティーホールに対する抜本的な対策にならないと思うんですよ。
設計がヘボだとか、実装がダサいとかという話は別としても、それこそモリスワームからNimdaに到るまでのワーム被害とか、クラッキングにしてみても、既知のセキュリティーホールを突いたもので、管理者の問題意識だとかスキルだとかってのも無視できないんでわ? ベンダーに一方的な法的リスクを負わせただけで万事解決ってほど問題は簡単じゃないと思うんですが。
Re:根本的には (スコア:1)
法律の適用対象となっていません。
ただし、POS端末の組込ソフトウェアなどはPOS端末本体が製造物責任を負うと解すこともできるので、POS端末の製
造者に製造物責任を問うことができるかもしれないです。
Re:根本的には (スコア:1)
とすれば、この辺の感覚のズレが色々な問題の根底なのか?
普通の人はソフトウェアは製品として買う工業製品だし、有体物 [yahoo.co.jp]と考えるでしょう。
この感覚がソフトウェアに対しては通用しないのであれば、そんな実態の判らん、あやふやな物の動作に一喜一憂するのは無駄ってことでしょう(^^;
(少なくとも現状では)
ふと思ったが、メーカー製パソコンはどうなっているのだろうか?
Re:根本的には (スコア:1, 興味深い)
>
>ふと思ったが、メーカー製パソコンはどうなっているのだろうか?
OEM版のWindowsを搭載してるんだから、一次対応
はパソコンメーカーとなるんでしょう。
製品の中の部品なんかの欠陥などを根本原因とする不具合対応
の場合は、(金額や内容にもよるんでしょうけど)最終製品
のメーカーから部品メーカーに賠償請求がいったりします
が、ソフトウェアであるWindowsの場合はどうなん
でしょう?
仮にWindows(じゃなくて、添付版のソフトでもい
いけど)がバグって画面を激しくチカチカさせて子供がテ
ンカンなんか起こしたらどうなるんでしょうね??
ハードウェアメーカーには問題なくてもユーザーからは責
められかねないし、「ソフトウェアには製造物責任はない」
とかなると、一方的にハードウェアメーカーだけが責任を
問われかねないので、やっぱり無条件に製造物責任の対象
外ってのはどうも感覚がずれている気がしますね。
Re:根本的には (スコア:1)
>書くだけでPL法から逃れてる、
コレなんかどうなるのでしょうかねぇ・・・
POSにNTよりヤバイかと。
http://news.2ch.net/test/read.cgi/newsplus/1011841134/l50
Re:根本的には (スコア:1)
安全性に問題があると判っている部品で仕組みを作って、後から騒いでるんでしょ?
しかも「なりつつある」だけでしょ? ほんとにその仕組みが無いと、あなた困るの?
少なくとも、私がそう言う仕組みの開発に関わるなら、全力で開発そのものに反対しますが。(少なくとも現状では)
Re:根本的には (スコア:2, 参考になる)
SSL を使用した HTTP 通信で保証されるのは,
ということだけで,それ以上でもそれ以下でもありません。
通信は盗聴されないかもしれないし,相手は別人のなりすましではないかもしれませんが,相手先が顧客名簿を流出させないという保証には,ならないでしょうね。暗号化と相手先確認だけが問題なら,「SSLなら大丈夫」でいいのでしょうけれど。
Re:根本的には (スコア:2)
それは違うでしょう。
高島屋の例を用いるなら、 https://www.takashimaya.co.jp/ [takashimaya.co.jp] にアクセスすれば、鍵アイコンが現れ、そこをクリックして、サーバ証明書の内容を確認すると、「サブジェクト」という欄に、
と書かれているのを確認できます。この社名と所在地は、この証明書を発行した認証局で一定の基準によって審査されているものです。 本来、ユーザは、これを確認できない限り信用しないように心がけねばならないことになっています。P.S. 証明書のこの部分、日本語も使えるようになっているべきだけど、国際化はどうなっているのだろう…?
当然! (スコア:1)
ソニーの対応はハードメーカとしてのもの? (スコア:1, 参考になる)
パソコンを家電製品としてみなしてこういう責任をまっとうするのなら、OEMのWindowsやIEそのものについても同じように家電製品のメーカーが責任を負うべきじゃないのかな。
Re:ソニーの対応はハードメーカとしてのもの? (スコア:1)
やはり、ベンダーがきっちりサポートして欲しいです。
AMIGA4000T(60/50)使い