オープンソース業界に広がる懸念　欧州で導入予定のサイバーレジリエンス法

ApacheやLinuxなども対象？

　EUも実態に無配慮なわけではない。元々オープンソースソフトウェアを推進する姿勢をとっていることもあり、草案でも「商業活動の範囲外で開発または供給されるフリーおよびオープンソースソフトウェアは規制の対象とすべきではない」と明記している。

　しかし、草案の文言では不十分というのがオープンソース関係者の一致した見方だ。

　Eclipse Foundationの執行ディレクターMike Milinkovich氏は4月21日付のHackadayのポッドキャストに登場して、オープンソース活動に対する影響を解説している。同財団は欧州に法的拠点を置いており、メンバーも欧州勢の比率が大きい。

　Milinkovich氏は、EUが「商業活動」と言う場合、定期性、製品の特徴、製品の開発者（企業）の意図の3つから判断している、と説明。つまり、「定期的にリリースされる」「商業目的で利用されることを（も）想定している」「堅牢な商業製品の特徴を備えている」という3点から考えれば、ホビー開発者には影響はなくとも、ApacheやLinuxなどの大規模プロジェクトは対象に該当するだろうと述べた。

　また「世界のソフトウェア製品において、コードの70－90％をオープンソースソフトウェアが占めている」（Milinkovich氏）と、その影響の大きさにも言及した。

　CRAに対するオープンソース陣営の懸念は、オープンソースの実態へのEUの理解と、現実とのギャップから来たものと見ることができる。

　TechCrunchは、CRAに限らず欧州でのサイバー関連の規制法案が増えており、オープンソースソフトウェアがテーマとなっていることが多い点を指摘する。2021年に草案が出た「EU AI法（AI Act）」に言及し、CRAをめぐる問題は「リスクベースでAIアプリケーションを管理しようとするEU AI法を思わせる」と批判的に伝えている。

　一方、ソフトウェア産業の外の環境もEUの立法に影響している。欧州地域を専門とするシンクタンクCEPA（The Center for European Policy Analysis）はウクライナ危機で激化しているロシア側のサイバー攻撃が背景にあると指摘する。

　CEPAによると、欧州のサイバーセキュリティ関連法は、もともとプライバシー保護と経済的な危機回避に重点を置いており、米国ほど安全保障面に力を入れてなかった。CRAは、このギャップを埋めることを目指しており「これまで規制の対象でなかった接続機器やサービスに対して共通のサイバーセキュリティ基準を設定するもの」であるという。

　となると、規制は必然的に厳しく、脆弱性への責任も“免除”されにくくなりそうだ。CRAがどのような形で着地するのか、注目される。