米国:コンピュータプログラムに対して、武器と同じ規制を提案 グーグルは反対

  on
ヘリコプター
米国政府は、コンピュータコードに対して、戦車や軍用機同様の輸出規制をかけようとしている。 ロイター

世界各国の政府は、コンピュータコード(またはプログラム)の輸出に対して、戦車や軍用機といった武器と同様の規制を実施するべきであろうか?

米国政府は、武器として使われる可能性があるコードの輸出を取り締まることを提案した。その結果、米国政府とシリコン・バレーの間では、コンピュータコードの輸出について議論が巻き起こっている。

1996年、武器の輸出入をコントロールするために、ワッセナー・アレンジメントが設立された。米国、ロシア、日本、欧州諸国など41か国が調印している同アレンジメントでは、調印国以外との間で実施される武器取引の報告が義務付けられている。軍用機、戦車、ヘリコプター、軍艦、ミサイル、大砲、および携帯用の武器などについての報告である。

米商務省は、そのワッセナー・アレンジメントの適用範囲を特定のコードにまで拡大することを提案している。あらゆる種類の「侵入ソフトウェア(intrusion software)」への規制も提案に含まれている。「侵入ソフトウェア」とは、米商務省産業安全保障局が使用している用語で、「監視ツールによる検出を防いだり」「外部からの指示を実行するために、(コンピュータやネットワーク接続機器の)保護機能を無効化し、データや情報を抽出を実行したり」するために設計・修正などされたソフトウェアである。

しかし、グーグル、シスコシステムズ、および数百名のコンピュータ科学者は、変更案に反対を表明した。彼らは、規制が実施された場合、イノベーションが鈍化すると主張する。科学者は、他国の同僚と知識を共有することが難しくなる。

セキュリティ企業であるVeracodeの副社長を務めるクリス・エング(Chris Eng)氏は、「セキュリティ企業はもちろん、自社を防御するためにセキュリティ産業に頼っている人たちにとって危険なことである」と述べた。

サイバーセキュリティの開発は、テクノロージー企業と、企業の鼻を明かそうとする研究者たちが、友好的な競争を繰り広げることによって進んできたという伝統がある。

例えば、「モノのインターネット(Internet of Things)」企業は、スマートキーを提案する。その鍵があれば、顧客は住居に入る人をコントロールしやすくする。一方、デジタルな金庫破りは、物理的な暴力からパスワードを破るための計略まで、その鍵を破るためにあらゆる手法を展開する。そして、金庫破りは、製造者に発見した脆弱性を報告する。その結果として、セキュリティホールが改善されるのである。

エング氏は「攻撃と防御は表裏一体である。ワッセナー・アレンジメントは、活発に展開されていたセキュリティ研究に冷や水を浴びせかねない」と指摘した。同氏は、「例えば、私が何か(脆弱性)を発見し、ドイツにいる私のチームに改善を頼みたいとする。私は、輸出ライセンスを獲得する必要がある。そして、政府は、輸出に同意する前に、その脆弱情報にアクセスする。すべてがゆっくりになる」と述べた。

グーグルも同じ考えである。同社は産業安全保障局に対して、どのような種類の情報をシェアするのが違法なのかを明確にするために、アレンジメントの言い回しをシンプルにしてほしいと求めた。ワッセーナー・アレンジメントがこのまま採用された場合、同社は何万ものライセンスをリクエストせざるを得ないという。

シスコシステムズも同意する。同社は20日、ワッセーナー・アレンジメントは、思いがけない結果を生むであろうと警告した。(同社は2005年、同社のオペレーティングシステムのセキュリティの主要な欠陥を発見した人物に対して訴訟を起こしたことがある。)

シスコシステムズは、「もし、このまま(ワッセーナー・アレンジメント)が拡大実施された場合、国境をまたいで活動するチームや、脆弱性の調査・グローバルネットワークの実験をするセキュリティ企業にとって大きなチャレンジとなるだろう。そして、その中にはシスコシステムズも含まれている。セイバーセキュリティを改善するというよりは、ネガティブなインパクトになると言える」と述べた。

*この記事は、米国版International Business Times の記事を日本向けに抄訳したものです。
(原文:Jeff Stone記者「Google, Cisco Oppose US Bid To Regulate Export Of Malicious Code As Missiles, Warplanes Are Regulated」)