昨日の記事でソフトウエアに誤りがあることはさけられないということを述べました。情報セキュリティ上のリスク管理の前提は、普段使用しているソフトウエアにはなんらかの欠陥があるという前提に立って行うべきだというのが私の主張です。
実際、ソフトウエアは複雑になればなるほどバグ(誤り)を完全になくすことは不可能になります。機能や動作環境が複雑になると、起こりうるすべてのケースでのテストができないからです。また、事前にテストできないケースも存在します。動作せてみないと、どんなことが起こるか現実にわからないからです。ソフトウエアというものは、それほど動作する外部の環境に影響されるものなのです。
情報セキュリティの観点からは、外部の会社にソフトウエア開発をまかせる場合バグによるリスクを回避するためには、実際のところ契約によるしか、有効な手段はありません。
契約の中にバグを出来るだけなくすための努力義務と、バグが発見されてしまった場合の修正についての具体的対応の仕方、また、バグかバグでないかの判断の方法などの項目を入れておく必要があります。
このような議論をしていると製造物責任法(PL法)のことが頭に浮かびますが、ソフトウエア単体ではPL法の対象にはならないそうです。しかし、何らかの機器に組み込まれて動作しているソフトウエア、わかりやすい例では最近のデジタル家電なとはすべてPL法の対象となりますので、間接的にPL法の対象となり、ソフトウエアのバグの問題は深刻です。
携帯電話の例もそうですが、従来の携帯電話は組み込みのソフトに欠陥があった場合は、本体を回収してソフトを書換、入れ替えしないといけませんでしたがだんだんとコンピュータのようにソフトウエアを外部からダウンロードして修正できるようになっていくと思われます。
デジタル家電製品も同じです。実際、最近の製品には内蔵ソフトのダウンロード機能がついているようですので、バグがあった場合の修正という面では従来よりも楽になってきているといえます。
しかし、ソフトウエアが間接的にとはいえPL法の対象となることはソフトウエア開発者の立場からすると大変気が重い問題です。繰り返しますが、ソフトウエアは複雑になればなるほどバグを最初からない製品を作り出すことは不可能です。そこを突いてPL法をたてに訴えられたりすることは、消費者の側からすれば当然の行為ですが、開発者の立場にすればどうしようもない問題なのです。
あまりこの点をしつこく突くと、ソフトウエア開発者の士気が落ちてしまいますし、訴えられることを想定してソフトウエアの価格自体を高額なものに設定しなければならなくなります。ソフトを作るのなんて、わりが合わなくてやってられないと技術者が思い始めてしまったら、それはそれで大変良くない状況です。
情報セキュリティを守る側からすればソフトウエアのバグの問題は非常に大きなテーマなのですが、開発者にしてもどうしても避けて通れない部分であるわけです。
バグによって損害を受けた方がヒステリックにならずに、かつ開発者にも過剰な責任の重圧がかからずにすむ道を模索することが必要だと私は考えています。
← クリックして応援よろしくお願いします!
★★★超好評メルマガ! 「IPネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★
スパイウェア対策無料レポートはこちらから!
こちらのセキュリティ対策情報サイトもお勧めです!~メチャセキュリティ・ドットコム~
実際、ソフトウエアは複雑になればなるほどバグ(誤り)を完全になくすことは不可能になります。機能や動作環境が複雑になると、起こりうるすべてのケースでのテストができないからです。また、事前にテストできないケースも存在します。動作せてみないと、どんなことが起こるか現実にわからないからです。ソフトウエアというものは、それほど動作する外部の環境に影響されるものなのです。
情報セキュリティの観点からは、外部の会社にソフトウエア開発をまかせる場合バグによるリスクを回避するためには、実際のところ契約によるしか、有効な手段はありません。
契約の中にバグを出来るだけなくすための努力義務と、バグが発見されてしまった場合の修正についての具体的対応の仕方、また、バグかバグでないかの判断の方法などの項目を入れておく必要があります。
このような議論をしていると製造物責任法(PL法)のことが頭に浮かびますが、ソフトウエア単体ではPL法の対象にはならないそうです。しかし、何らかの機器に組み込まれて動作しているソフトウエア、わかりやすい例では最近のデジタル家電なとはすべてPL法の対象となりますので、間接的にPL法の対象となり、ソフトウエアのバグの問題は深刻です。
携帯電話の例もそうですが、従来の携帯電話は組み込みのソフトに欠陥があった場合は、本体を回収してソフトを書換、入れ替えしないといけませんでしたがだんだんとコンピュータのようにソフトウエアを外部からダウンロードして修正できるようになっていくと思われます。
デジタル家電製品も同じです。実際、最近の製品には内蔵ソフトのダウンロード機能がついているようですので、バグがあった場合の修正という面では従来よりも楽になってきているといえます。
しかし、ソフトウエアが間接的にとはいえPL法の対象となることはソフトウエア開発者の立場からすると大変気が重い問題です。繰り返しますが、ソフトウエアは複雑になればなるほどバグを最初からない製品を作り出すことは不可能です。そこを突いてPL法をたてに訴えられたりすることは、消費者の側からすれば当然の行為ですが、開発者の立場にすればどうしようもない問題なのです。
あまりこの点をしつこく突くと、ソフトウエア開発者の士気が落ちてしまいますし、訴えられることを想定してソフトウエアの価格自体を高額なものに設定しなければならなくなります。ソフトを作るのなんて、わりが合わなくてやってられないと技術者が思い始めてしまったら、それはそれで大変良くない状況です。
情報セキュリティを守る側からすればソフトウエアのバグの問題は非常に大きなテーマなのですが、開発者にしてもどうしても避けて通れない部分であるわけです。
バグによって損害を受けた方がヒステリックにならずに、かつ開発者にも過剰な責任の重圧がかからずにすむ道を模索することが必要だと私は考えています。
← クリックして応援よろしくお願いします!★★★超好評メルマガ! 「IPネットワーク考」のご紹介とお申し込みはここをクリックしてください★★★
スパイウェア対策無料レポートはこちらから!
こちらのセキュリティ対策情報サイトもお勧めです!~メチャセキュリティ・ドットコム~