Information Technology Planning, Implementation and IT Solutions for Business - Baseline

ネットにプライバシーと言論の自由はあるか？：脆弱性は公表すべきか
（2008/11/27公開）

開発者の権利

　とはいえ、DMCAはリバースエンジニアリングを押さえつけるばかりではない。セキュリティー脆弱（ぜいじゃく）性に関する貴重な情報の公開を抑制するために、テクノロジーベンダーが用いるツールの1つでもあるのだ。広範なビジネスに影響しかねないセキュリティー上の問題を発見したものの、脅されて沈黙しているセキュリティー研究者を代弁すべく、EFFは訴訟を起こす努力を傾けてきた。

　フォン・ローマン氏はこう説明している。「セキュリティー研究はIT専門家にとって不可欠な存在だ。というのも、ベンダーはいつも決まって製品は完ぺきに安全だと言うのだが、そうした主張すべてを検証する社内チームをIT専門家は持ち合わせていない。そうしたユーザーにとって、新製品がちゃんと動くかどうか総点検してくれるセキュリティー研究者の存在は極めて重要なのだ」。

　ところがベンダーの多くは、セキュリティー上の重大エラーやバグが発覚することで悪評が立つのを嫌う。決まり悪い思いをして問題を修正する代わりに、訴訟に持ち込むのだ。

　「問題が発生したら率直な対話が必要だが、大企業はまず本能的な反応として問題を隠ぺいしようとする。われわれはこの分野でしばらく忙しいだろう。この手の話は山ほどある。私は多くの訴訟を担当し、数え切れないほどのセキュリティー研究者に助言してきた」と、EFFのコーン氏は語っている。

　これは最近のケースだが、マサチューセッツ湾交通局のカード読み取り技術の重大な脆弱（ぜいじゃく）性を公開したMITの学生たちが訴えられたのだ。EFFがすぐさま学生の弁護に回り、当初の口外禁止命令は解除された。

　MITの電気工学・コンピュータ学科のロン・リベスト教授は、「彼らは私のクラスの学生にとって大きな助けになってくれた。EFFはその活動と支援ゆえに称賛されるべきだと思う。脆弱性を公開すべきかどうかというのは難しい問題だ。脆弱性を公開すべきとの立場と、現行ユーザーやベンダーそのほかへ配慮すべきとの立場が常に対立している。だが、IT技術が進歩して行くには、脆弱性を徹底的に議論すると共に、セキュリティー研究者が脆弱性を調査し、一層優れたソリューションを提案できる環境が必要だ」と述べている。

　EFFはこのほど、セキュリティー研究者の権利保護をめぐる法的な取り組みを統合する開発者を法的脅威から守るプロジェクトを立ち上げた。コーン氏とフォン・ローマン氏によれば、その最終目標は広く企業と消費者をより一層保護することだ。