サイバー・レジリエンス法がオープンソースに与える影響
サイバー・レジリエンス法(CRA)とオープンソースへの影響
Linux Professional Institute(LPI)は、進化し続けるソフトウェア規制の動向と、それがオープンソースコミュニティに与える影響を注意深く追っています。中でも「サイバー・レジリエンス法(Cyber Resilience Act, CRA)」は、欧州の開発者だけでなく、EU(欧州連合)域外でオープンソースプロジェクトを維持・貢献している人々にとっても世界的な議論を巻き起こしています。
プロジェクトにEU内のユーザーがいる場合や、EUからアクセス可能なプラットフォームでホストされている場合、CRAの対象となる可能性があります。これは、世界中の開発者にとって、責任の所在、コンプライアンス、持続可能性といった緊急の課題を突き付けることになります。
今回、LinuxやFOSSのエバンジェリストでLPIパートナー兼メンバーであるモレノ・ラッツォーリ(通称 Morrolinux)、テクノロジー専門のイタリア人弁護士でLPIソリューションプロバイダーパートナーのアンドレア・パルンボ、そしてC++やオープンソースなど「いじれるもの」に情熱を注ぐフリーランスのソフトウェア開発者トンマーゾ・ボンヴィチーニが座談会を行い、CRAがオープンソースプロジェクトにどのような意味を持つのかを解きほぐしました。本記事はその主要な洞察をまとめたものです。シートベルトを締めてください、少し揺れる道のりになりそうです。
サイバー・レジリエンス法(CRA)とは?
CRAは、ソフトウェアやハードウェアのサイバーセキュリティ基準を強化することを目的とした欧州の規制で、2024年12月11日に正式に発効しました。3年以内に遵守が義務化され、企業、開発者、オープンソースプロジェクトが対応を迫られることになります。
この法律は、ソフトウェアや接続機器に対して新たなセキュリティ義務を課し、脆弱性を減らし、セキュリティ脅威への対応速度を高めることを狙っています。しかしLPIが1年以上前から指摘しているように、CRAには順調とは言えない側面もあり、とりわけ自由かつオープンソースソフトウェアの商用流通に関して懸念が残ります。
良い点・悪い点・そして官僚主義
一見すると、CRAは素晴らしい取り組みに見えます。セキュリティ強化を望まない人はいないでしょう。規制は以下を義務付けています:
-
ソフトウェアとハードウェアに最低限のセキュリティ基準を設定
-
ライフサイクル管理を要求し、継続的なセキュリティアップデートを確保
-
既知の脆弱性を24時間以内に報告する義務
文面上は堅実なサイバーセキュリティ施策に思えますが、実際の影響を考えると事態は複雑です。
特に大きな懸念は、コンプライアンスの責任を誰が負うのかという点です。ボランティアやコミュニティの貢献に支えられているオープンソースプロジェクトにとって、これらの義務は過大な負担となり得ます。もし一人の開発者がパッチを提供し、それにバグが混入した場合、責任を負うのはその開発者なのか、メンテナーなのか、それともプロジェクト全体なのか——答えは容易ではありません。
オープンソースは巻き込まれるのか?
当初のCRAには、オープンソースプロジェクトを免除する規定がなく、非商用のソフトウェアであっても企業向けソリューションと同等の厳格な基準が課される恐れがありました。しかしオープンソースコミュニティによる強力な働きかけの結果、最終版には次のような免除が盛り込まれました:
-
非商用の自由かつオープンソースソフトウェア(FOSS)は対象外
-
費用回収や非商用活動への再投資で運営されるプロジェクトも対象外
-
寄付はCRA適用の引き金とならない
これはコミュニティ主導のプロジェクトにとって朗報ですが、問題も残ります。例えば、オープンソースツールが商用製品に利用された場合はどうでしょうか? 企業がオープンソースコンポーネントを自社製品に組み込むと、その企業がコンプライアンスの責任を負うことになります。結果的に、大企業はオープンソースの依存関係を明示せざるを得ず、それが間接的にコントリビューターに影響を及ぼす可能性があります。
プライバシーとセキュリティのジレンマ
CRAの中で最も議論を呼んでいるのが、脆弱性を発見から24時間以内に以下へ報告しなければならないという要件です:
-
ENISA(欧州連合サイバーセキュリティ庁)
-
EU加盟国ごとのCSIRT(コンピュータセキュリティ対応チーム)
これにより次のようなリスクが生じます:
-
政府機関による悪用の恐れ
過去にNSAが脆弱性を利用した事例のように、脆弱性を中央集権的に集めることで大規模監視やサイバー攻撃に転用されかねません。 -
ハッカーにとっての巨大な標的
複数の機関が脆弱性データを保持することで、攻撃者がそれらのデータベースを侵入しゼロデイ脆弱性を兵器化する危険が高まります。
アンドレアはこれを次のように皮肉を込めて表現しました。
「ヨーロッパ中で最も危険なセキュリティホールのリストを作って、それをまるでパーティーの招待状のように配っているんです。」
「未完成ソフトウェア」はどう扱われる?
もう一つ曖昧なのが、「未完成ソフトウェア」の定義です。これにはアルファ版、ベータ版、テスト版が含まれます。こうした段階のソフトウェアは市場投入が認められていますが、リリース前にリスク評価とセキュリティ対策を行う義務があります。
問題はここからです:
-
CRAは「未完成ソフトウェアは限定された期間のみ提供可能」としていますが、その「限定」が1年なのか10年なのかを明確にしていません。
-
「未完成である」と明示する義務もありますが、その方法は不明確です。設定画面の注意書きで良いのか、起動時のポップアップが必要なのか?
ローリングリリースや継続的アップデート(ナイトリービルドなど)を行う開発者にとって、これはまさに悪夢であり、オープンソースに限らない課題です。
オープンソースへの貢献はどう影響を受ける?
オープンソースプロジェクトに貢献している人は心配すべきでしょうか? 答えは「はっきりしない」が現実です。
-
小さな修正であればほぼ問題なし
-
フォークや大幅な改変といった大きな貢献は、CRAの一部遵守責任を伴う可能性あり
-
大きく分岐したフォークを維持する場合、CRA上の「公式な製造者」と見なされることもあり得ます
結論として、小さなパッチを送るだけなら大丈夫でしょう。しかし、新規にプロジェクトを立ち上げたり、既存のプロジェクトを独自に発展させる場合は、追加の監視や責任が課される可能性があります。
今後の展望
CRAは完全に悪いものではありません。セキュリティの最低基準を定め、これまで曖昧だった責任範囲を明確化する点は評価できます。しかし、特にオープンソースに関する広範かつ曖昧な定義は、明確化よりも混乱を招きかねません。
現時点での重要なポイントは以下のとおりです:
-
オープンソースは原則的に免除、ただし商用利用される場合を除く
-
企業がFOSSを組み込む場合は、企業側に遵守義務がある
-
脆弱性報告に関するプライバシー問題は未解決
-
小規模開発者は官僚的手続きに苦労する可能性がある
朗報として、施行はすぐではありません。CRAの義務化は2027年12月からであり、開発者や企業、コミュニティには3年間の適応期間があります。
最後に
モレノ、アンドレア、トンマーゾの議論の結論は明確でした。
CRAは破滅的な規制ではないが、決して完璧でもない。
より強固なセキュリティを掲げる一方で、小規模開発者に障害を作り、脆弱性報告の中央集権化に不安を残しています。オープンソースコミュニティは重要な免除を勝ち取りましたが、実際の執行がどうなるかは依然として未知数です。
もっと深く知りたい方は、Morrolinuxのチャンネルで公開されている座談会(イタリア語)をご覧ください:
「Cyber Resilience Act APPROVATO. Cosa cambia per l’Open Source」
About Max Roveri:
