論文の概要: Incentivizing Secure Software Development: The Role of Liability (Waiver) and Audit
- arxiv url: http://arxiv.org/abs/2401.08476v1
- Date: Tue, 16 Jan 2024 16:27:30 GMT
- ステータス: 処理完了
- システム内更新日: 2024-03-25 12:27:42.444506
- Title: Incentivizing Secure Software Development: The Role of Liability (Waiver) and Audit
- Title(参考訳): セキュアなソフトウェア開発のインセンティブ: 責任(ウェイバー)と監査の役割
- Authors: Ziyuan Huang, Gergely Biczók, Mingyan Liu,
- Abstract要約: 最近提案された米国国家サイバーセキュリティ戦略は、サイバーインシデントに対する責任をソフトウェアベンダーに戻す。
そうすることで、戦略は責任放棄という概念を推し進めます。
我々は、オプトインベンダーにとって最適な戦略は、決して辞めることではなく、"ワン・アンド・ドーン"あるいは"インクリメンタル"な方法で累積的な投資を行うことであることを示す。
- 参考スコア(独自算出の注目度): 13.971996404435172
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Misaligned incentives in secure software development have long been the focus of research in the economics of security. Product liability, a powerful legal framework in other industries, has been largely ineffective for software products until recent times. However, the rapid regulatory responses to recent global cyberattacks by both the United States and the European Union, together with the (relative) success of the General Data Protection Regulation in defining both duty and standard of care for software vendors, may just enable regulators to use liability to re-align incentives for the benefit of the digital society. Specifically, the recently proposed United States National Cybersecurity Strategy shifts responsibility for cyber incidents back to software vendors. In doing so, the strategy also puts forward the concept of the liability waiver: if a software company voluntarily undergoes and passes an IT security audit, its liability is waived. In this paper, we analyze this audit scenario from the aspect of the software vendor. We propose a mechanism where a software vendor should first undergo a repeated auditing process in each stage of which the vendor decides whether to quit early or stay with additional security investment. We show that the optimal strategy for an opt-in vendor is to never quit; and exert cumulative investments in either "one-and-done" or "incremental" manner. We relate the audit mechanism to a liability waiver insurance policy and revealed its effect on reshaping the vendor's risk perception. We also discuss influence of audit quality on the vendor's incentives and pinpoint that a desirable audit rule should be highly accurate and less strict.
- Abstract(参考訳): セキュアなソフトウェア開発における誤ったインセンティブは、長い間、セキュリティの経済学の研究の中心であった。
他の業界における強力な法的枠組みである製品責任は、近年までソフトウェア製品にはほとんど効果がなかった。
しかし、米国と欧州連合(EU)の最近の世界的なサイバー攻撃に対する迅速な規制対応は、ソフトウェアベンダーの義務とケアの標準を定義する一般データ保護規則(General Data Protection Regulation)の(相対的な)成功と並んで、規制当局がデジタル社会の利益のためにインセンティブを再調整するために責任を行使することを可能にしている。
具体的には、最近提案された米国国家サイバーセキュリティ戦略は、サイバーインシデントに対する責任をソフトウェアベンダーに戻す。
ソフトウェア企業が自発的にITセキュリティ監査を受け、合格した場合、その責任は放棄されます。
本稿では,この監査シナリオをソフトウェアベンダの側面から分析する。
本稿では,ソフトウェアベンダが早期に退社するか,追加のセキュリティ投資を行うかを決定する段階ごとに,監査プロセスを繰り返し実施する仕組みを提案する。
我々は、オプトインベンダーにとって最適な戦略は、決して辞めることではなく、"ワン・アンド・ドーン"あるいは"インクリメンタル"な方法で累積的な投資を行うことであることを示す。
我々は、監査機構を債務返済保険政策に関連付け、ベンダーのリスク認識を再構築する効果を明らかにした。
我々はまた、監査品質がベンダーのインセンティブに与える影響についても論じ、望ましい監査ルールは極めて正確かつ厳格でないべきであると指摘している。
関連論文リスト
- Powering LLM Regulation through Data: Bridging the Gap from Compute Thresholds to Customer Experiences [0.0]
本稿では,計算レベルのしきい値と一般化モデル評価に着目した現在の規制手法は,特定のLCMベースのユーザエクスペリエンスの安全性と有効性を保証するには不十分である,と論じる。
本稿では,ユーザによる実際の体験と評価のための高品質データセットのキュレーションを中心とした認定プロセスへの移行を提案する。
論文 参考訳(メタデータ) (2025-01-12T16:20:40Z) - Blockchain-Enhanced Framework for Secure Third-Party Vendor Risk Management and Vigilant Security Controls [0.6990493129893112]
本稿では,サードパーティベンダのリスクを管理するための,包括的なセキュアなフレームワークを提案する。
ブロックチェーンテクノロジを統合して、ベンダの評価やインタラクションにおける透明性、トレーサビリティ、不変性を保証します。
論文 参考訳(メタデータ) (2024-11-20T16:42:14Z) - The Impact of SBOM Generators on Vulnerability Assessment in Python: A Comparison and a Novel Approach [56.4040698609393]
Software Bill of Materials (SBOM) は、ソフトウェア構成における透明性と妥当性を高めるツールとして推奨されている。
現在のSBOM生成ツールは、コンポーネントや依存関係を識別する際の不正確さに悩まされることが多い。
提案するPIP-sbomは,その欠点に対処する新しいピップインスパイアされたソリューションである。
論文 参考訳(メタデータ) (2024-09-10T10:12:37Z) - Agent-Driven Automatic Software Improvement [55.2480439325792]
本提案は,Large Language Models (LLMs) を利用したエージェントの展開に着目して,革新的なソリューションの探求を目的とする。
継続的学習と適応を可能にするエージェントの反復的性質は、コード生成における一般的な課題を克服するのに役立ちます。
我々は,これらのシステムにおける反復的なフィードバックを用いて,エージェントの基盤となるLLMをさらに微調整し,自動化されたソフトウェア改善のタスクに整合性を持たせることを目指している。
論文 参考訳(メタデータ) (2024-06-24T15:45:22Z) - An Industry Interview Study of Software Signing for Supply Chain Security [5.433194344896805]
実際にソフトウェア署名の効果的な実装に影響を与える課題について検討する。
私たちは、ソフトウェア署名の実装を妨げる、技術的、組織的、人間的なさまざまな課題を強調します。
論文 参考訳(メタデータ) (2024-06-12T13:30:53Z) - Position: How Regulation Will Change Software Security Research [3.8165295526908243]
ソフトウェア工学の研究は、業界が新しい標準に従うのに役立つより良いツールとサポートを提供する必要がある、と私たちは主張する。
我々は法学者と計算機科学者の強い協力を主張する。
論文 参考訳(メタデータ) (2024-06-06T15:16:44Z) - A Safe Harbor for AI Evaluation and Red Teaming [124.89885800509505]
一部の研究者は、そのような研究の実施や研究成果の公表が、アカウント停止や法的報復につながることを恐れている。
我々は、主要なAI開発者が法的、技術的に安全な港を提供することを約束することを提案します。
これらのコミットメントは、ジェネレーティブAIのリスクに取り組むための、より包括的で意図しないコミュニティ努力への必要なステップである、と私たちは信じています。
論文 参考訳(メタデータ) (2024-03-07T20:55:08Z) - The risks of risk-based AI regulation: taking liability seriously [46.90451304069951]
AIの開発と規制は、重要な段階に達したようだ。
一部の専門家は、GPT-4よりも強力なAIシステムのトレーニングに関するモラトリアムを求めている。
本稿では、最も先進的な法的提案である欧州連合のAI法について分析する。
論文 参考訳(メタデータ) (2023-11-03T12:51:37Z) - Both eyes open: Vigilant Incentives help Regulatory Markets improve AI
Safety [69.59465535312815]
Regulatory Markets for AIは、適応性を考慮して設計された提案である。
政府はAI企業が達成すべき結果に基づく目標を設定する必要がある。
我々は、規制市場がこの目標を達成するのを阻止するインセンティブについて、非常に簡単に対応できることを警告する。
論文 参考訳(メタデータ) (2023-03-06T14:42:05Z) - Toward Trustworthy AI Development: Mechanisms for Supporting Verifiable
Claims [59.64274607533249]
AI開発者は、責任を負うことのできる検証可能な主張をする必要がある。
このレポートは、さまざまな利害関係者がAIシステムに関するクレームの妥当性を改善するための様々なステップを示唆している。
我々は、この目的のための10のメカニズム、すなわち、組織、ソフトウェア、ハードウェアを分析し、それらのメカニズムの実装、探索、改善を目的とした推奨を行う。
論文 参考訳(メタデータ) (2020-04-15T17:15:35Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。