先日書いたSANS「最も危険なプログラミングエラー トップ25」つながりのお話。
今週、米国ニューヨーク州が、「安全なソフトウェアの調達ルールガイド」なるものを策定、公開した。今後、ニューヨーク州の政府機関と取引を行うソフトウェアベンダは、このルールガイドに従い、自社のソフトウェアに「最も危険なプログラミングエラー トップ25」が含まれていないことを証明しなければならないんだって。それには、このリストにあるプログラミングエラーに対するソースコード分析を行い、発見された場合にはもちろん修正し、納入時に「このソフトウェアには、危険なプログラミングエラー トップ25にあるコーディングエラーは一切ありません!!」っていう証明書をつけることが必須。
つまり、ニューヨーク州の政府機関が今後使用するソフトウェアに脆弱性が見つかったとして、その脆弱性を突いた攻撃が行われた場合、脆弱性の原因がプログラミングエラーにあったとすると、その責任はソフトウェアを開発したベンダが全部かぶらなくてはならないわけですよ。責任の所在が、実にはっきりするわけですな。
これに対し、「ソフトウェア開発ベンダに対してセキュリティに関するより厳しいルールを設定すると、ソフトウェアの価格が高騰したり、開発により長い時間がかかるのではないか?」と懸念する専門家も一部いるようだ。しかし、ニューヨーク州の当局員は、「そんなことはない。反対に、安全なソフトウェアを販売しているというセールスポイントになるではないか」と反論する。まぁ、民間企業と違って、政府機関にとってはコストや時間はそれほど重要ではないのかも…
ちなみに、ニューヨーク州は、他の州に対してもこのルールガイドの導入を勧めているようだ。そのうち、日本政府も真似するようになったりして。
SANSでは、このルールガイドについて、「これはあくまでもガイドラインの一つ。実際に契約書を作成する際には、弁護士にきちんと相談すること」としている。さらに、同ルールガイドは「生きている文書」なので、今後改善するためにも、意見やアイデアがどんどん欲しいとのことだ。
さて、どうなることやら…? 今後の動きに注目したい。