論文の概要: Incentivizing Secure Software Development: The Role of Liability (Waiver) and Audit
- arxiv url: http://arxiv.org/abs/2401.08476v1
- Date: Tue, 16 Jan 2024 16:27:30 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-25 12:27:42.444506
- Title: Incentivizing Secure Software Development: The Role of Liability (Waiver) and Audit
- Title(参考訳): セキュアなソフトウェア開発のインセンティブ: 責任(ウェイバー)と監査の役割
- Authors: Ziyuan Huang, Gergely Biczók, Mingyan Liu,
- Abstract要約: 最近提案された米国国家サイバーセキュリティ戦略は、サイバーインシデントに対する責任をソフトウェアベンダーに戻す。
そうすることで、戦略は責任放棄という概念を推し進めます。
我々は、オプトインベンダーにとって最適な戦略は、決して辞めることではなく、"ワン・アンド・ドーン"あるいは"インクリメンタル"な方法で累積的な投資を行うことであることを示す。
- 参考スコア(独自算出の注目度): 13.971996404435172
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Misaligned incentives in secure software development have long been the focus of research in the economics of security. Product liability, a powerful legal framework in other industries, has been largely ineffective for software products until recent times. However, the rapid regulatory responses to recent global cyberattacks by both the United States and the European Union, together with the (relative) success of the General Data Protection Regulation in defining both duty and standard of care for software vendors, may just enable regulators to use liability to re-align incentives for the benefit of the digital society. Specifically, the recently proposed United States National Cybersecurity Strategy shifts responsibility for cyber incidents back to software vendors. In doing so, the strategy also puts forward the concept of the liability waiver: if a software company voluntarily undergoes and passes an IT security audit, its liability is waived. In this paper, we analyze this audit scenario from the aspect of the software vendor. We propose a mechanism where a software vendor should first undergo a repeated auditing process in each stage of which the vendor decides whether to quit early or stay with additional security investment. We show that the optimal strategy for an opt-in vendor is to never quit; and exert cumulative investments in either "one-and-done" or "incremental" manner. We relate the audit mechanism to a liability waiver insurance policy and revealed its effect on reshaping the vendor's risk perception. We also discuss influence of audit quality on the vendor's incentives and pinpoint that a desirable audit rule should be highly accurate and less strict.
- Abstract(参考訳): セキュアなソフトウェア開発における誤ったインセンティブは、長い間、セキュリティの経済学の研究の中心であった。
他の業界における強力な法的枠組みである製品責任は、近年までソフトウェア製品にはほとんど効果がなかった。
しかし、米国と欧州連合(EU)の最近の世界的なサイバー攻撃に対する迅速な規制対応は、ソフトウェアベンダーの義務とケアの標準を定義する一般データ保護規則(General Data Protection Regulation)の(相対的な)成功と並んで、規制当局がデジタル社会の利益のためにインセンティブを再調整するために責任を行使することを可能にしている。
具体的には、最近提案された米国国家サイバーセキュリティ戦略は、サイバーインシデントに対する責任をソフトウェアベンダーに戻す。
ソフトウェア企業が自発的にITセキュリティ監査を受け、合格した場合、その責任は放棄されます。
本稿では,この監査シナリオをソフトウェアベンダの側面から分析する。
本稿では,ソフトウェアベンダが早期に退社するか,追加のセキュリティ投資を行うかを決定する段階ごとに,監査プロセスを繰り返し実施する仕組みを提案する。
我々は、オプトインベンダーにとって最適な戦略は、決して辞めることではなく、"ワン・アンド・ドーン"あるいは"インクリメンタル"な方法で累積的な投資を行うことであることを示す。
我々は、監査機構を債務返済保険政策に関連付け、ベンダーのリスク認識を再構築する効果を明らかにした。
我々はまた、監査品質がベンダーのインセンティブに与える影響についても論じ、望ましい監査ルールは極めて正確かつ厳格でないべきであると指摘している。
関連論文リスト
- A Safe Harbor for AI Evaluation and Red Teaming [124.89885800509505]
一部の研究者は、そのような研究の実施や研究成果の公表が、アカウント停止や法的報復につながることを恐れている。
我々は、主要なAI開発者が法的、技術的に安全な港を提供することを約束することを提案します。
これらのコミットメントは、ジェネレーティブAIのリスクに取り組むための、より包括的で意図しないコミュニティ努力への必要なステップである、と私たちは信じています。
論文 参考訳(メタデータ) (2024-03-07T20:55:08Z) - Coordinated Disclosure for AI: Beyond Security Vulnerabilities [0.7252027234425334]
人工知能(AI)分野におけるHarmレポートは現在、アドホックベースで運用されている。
対照的に、Coordinated Disclosureの倫理とエコシステムは、ソフトウェアセキュリティと透明性において重要な役割を担います。
論文 参考訳(メタデータ) (2024-02-10T20:39:04Z) - The risks of risk-based AI regulation: taking liability seriously [46.90451304069951]
AIの開発と規制は、重要な段階に達したようだ。
一部の専門家は、GPT-4よりも強力なAIシステムのトレーニングに関するモラトリアムを求めている。
本稿では、最も先進的な法的提案である欧州連合のAI法について分析する。
論文 参考訳(メタデータ) (2023-11-03T12:51:37Z) - Safety Margins for Reinforcement Learning [74.13100479426424]
安全マージンを生成するためにプロキシ臨界度メトリクスをどのように活用するかを示す。
Atari 環境での APE-X と A3C からの学習方針に対するアプローチを評価する。
論文 参考訳(メタデータ) (2023-07-25T16:49:54Z) - Both eyes open: Vigilant Incentives help Regulatory Markets improve AI
Safety [69.59465535312815]
Regulatory Markets for AIは、適応性を考慮して設計された提案である。
政府はAI企業が達成すべき結果に基づく目標を設定する必要がある。
我々は、規制市場がこの目標を達成するのを阻止するインセンティブについて、非常に簡単に対応できることを警告する。
論文 参考訳(メタデータ) (2023-03-06T14:42:05Z) - The Opportunity to Regulate Cybersecurity in the EU (and the World):
Recommendations for the Cybersecurity Resilience Act [1.2691047660244335]
ほとんどの状況で安全はサイバーセキュリティになりつつある。
これは、欧州連合で提案され、合意された時に、サイバーセキュリティ回復法に反映されるべきである。
これは、長い間サイバーセキュリティ研究コミュニティが求めてきたこと、そしてソフトではなく明確な厳格な法的ルールを構成するものに基づいている。
論文 参考訳(メタデータ) (2022-05-26T07:20:44Z) - Audit and Assurance of AI Algorithms: A framework to ensure ethical
algorithmic practices in Artificial Intelligence [0.0]
アメリカには、厳格な法律の禁止や、損傷を測定するための特定のプロトコルが欠けている。
自動運転車や銀行から医療、住宅、そして法的な決定に至るまで、もうすぐ膨大な量のアルゴリズムが存在する。
政府、企業、社会はアルゴリズム監査を受け、アルゴリズムが合法的で倫理的かつ安全であることを体系的に検証する。
論文 参考訳(メタデータ) (2021-07-14T15:16:40Z) - Regulation conform DLT-operable payment adapter based on trustless -
justified trust combined generalized state channels [77.34726150561087]
物の経済(EoT)は、ピアツーピアの信頼性のないネットワークで動作するソフトウェアエージェントに基づいています。
基本的価値と技術的可能性が異なる現在のソリューションの概要を述べる。
我々は,暗号ベースの分散型の信頼できない要素の強みと,確立された,十分に規制された支払い手段を組み合わせることを提案する。
論文 参考訳(メタデータ) (2020-07-03T10:45:55Z) - On the Principle of Accountability: Challenges for Smart Homes &
Cybersecurity [1.52292571922932]
この章では、データ保護ガバナンスにおける説明責任原則とその役割を紹介します。
我々は、個人データを保護するためのEU一般データ保護法(General Data Protection Law)の要件を考慮して、スマートホームにおけるサイバーセキュリティ管理の文脈における説明責任の意味に焦点を当てる。
論文 参考訳(メタデータ) (2020-06-19T09:50:21Z) - Toward Trustworthy AI Development: Mechanisms for Supporting Verifiable
Claims [59.64274607533249]
AI開発者は、責任を負うことのできる検証可能な主張をする必要がある。
このレポートは、さまざまな利害関係者がAIシステムに関するクレームの妥当性を改善するための様々なステップを示唆している。
我々は、この目的のための10のメカニズム、すなわち、組織、ソフトウェア、ハードウェアを分析し、それらのメカニズムの実装、探索、改善を目的とした推奨を行う。
論文 参考訳(メタデータ) (2020-04-15T17:15:35Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。