Infostand海外ITトピックス

オープンソース業界に広がる懸念 欧州で導入予定のサイバーレジリエンス法

ApacheやLinuxなども対象?

 EUも実態に無配慮なわけではない。元々オープンソースソフトウェアを推進する姿勢をとっていることもあり、草案でも「商業活動の範囲外で開発または供給されるフリーおよびオープンソースソフトウェアは規制の対象とすべきではない」と明記している。

 しかし、草案の文言では不十分というのがオープンソース関係者の一致した見方だ。

 Eclipse Foundationの執行ディレクターMike Milinkovich氏は4月21日付のHackadayのポッドキャストに登場して、オープンソース活動に対する影響を解説している。同財団は欧州に法的拠点を置いており、メンバーも欧州勢の比率が大きい。

 Milinkovich氏は、EUが「商業活動」と言う場合、定期性、製品の特徴、製品の開発者(企業)の意図の3つから判断している、と説明。つまり、「定期的にリリースされる」「商業目的で利用されることを(も)想定している」「堅牢な商業製品の特徴を備えている」という3点から考えれば、ホビー開発者には影響はなくとも、ApacheやLinuxなどの大規模プロジェクトは対象に該当するだろうと述べた。

 また「世界のソフトウェア製品において、コードの70-90%をオープンソースソフトウェアが占めている」(Milinkovich氏)と、その影響の大きさにも言及した。

 CRAに対するオープンソース陣営の懸念は、オープンソースの実態へのEUの理解と、現実とのギャップから来たものと見ることができる。

 TechCrunchは、CRAに限らず欧州でのサイバー関連の規制法案が増えており、オープンソースソフトウェアがテーマとなっていることが多い点を指摘する。2021年に草案が出た「EU AI法(AI Act)」に言及し、CRAをめぐる問題は「リスクベースでAIアプリケーションを管理しようとするEU AI法を思わせる」と批判的に伝えている。

 一方、ソフトウェア産業の外の環境もEUの立法に影響している。欧州地域を専門とするシンクタンクCEPA(The Center for European Policy Analysis)はウクライナ危機で激化しているロシア側のサイバー攻撃が背景にあると指摘する。

 CEPAによると、欧州のサイバーセキュリティ関連法は、もともとプライバシー保護と経済的な危機回避に重点を置いており、米国ほど安全保障面に力を入れてなかった。CRAは、このギャップを埋めることを目指しており「これまで規制の対象でなかった接続機器やサービスに対して共通のサイバーセキュリティ基準を設定するもの」であるという。

 となると、規制は必然的に厳しく、脆弱性への責任も“免除”されにくくなりそうだ。CRAがどのような形で着地するのか、注目される。