米大統領だったハリー・トルーマンの机の上には、「The buck stops here（責任は私が取る）」と書かれたプレートが置かれていたそうですが、サイバーセキュリティの世界では、市民の安全保証で政府が果たす役割はそれほど明確ではありません。ウォッチガードの CTO、Corey Nachreiner は最近、Help Net Security に寄稿した「Where Does the Cyber Security Buck Stop（サイバーセキュリティにおける責任の所在）」という記事で、オンラインセキュリティに対する政府の責任についての意見を述べています。

Corey は、市民の保護と検閲の境界線は曖昧だと主張しています。たとえば、法律が正しいものでないと、ビジネスやイノベーションが妨げられる可能性があります。Corey は、法律の制定にあたっては、現代のサイバー犯罪を処罰し、ベンダの安全な製品の開発につながる市場インセンティブがない IoT などの分野を取り締まることに重点的に取り組むべきだとしています。

Corey の記事から、米国の現行のサイバー法の問題に言及している部分を抜粋してご紹介します。

CFAA（コンピュータ詐欺・不正使用防止法）は、サイバー犯罪からの国民の保護という観点では、最も重要な米国連邦法と言えるでしょう。大まかに言えば、この法律は、人（またはプログラム）が保護されたコンピュータへの不正アクセスを利用して情報を盗んだり傷つけたりすることは違法であるとしています。ただし、CFAA には、DDoS 攻撃やフィッシング詐欺メールに関する直接的な言及はありません。そのため、この法律には、現代の多くのサイバー犯罪を本当に犯罪として認めるほどの具体的な規定がない、あるいは、何らかの行為（パスワードの共有など）を犯罪と認めるにはあまりに漠然としていて範囲が広すぎるという問題が残されています。

Help Net Security の Corey の 記事全文(英文)で、オンラインセキュリティへの政府の関与の是非の詳細をご確認ください。

ISP のセキュリティ規制と新しい GDPR 要件については、Secplicity のこちらの記事を参照してください。サイバーセキュリティの専門家である Bruce Schneier 氏も昨年、米国エネルギー商務委員会で証言し、IoT 規制についての意見を述べました。この話題に興味がある方であれば、彼の証言内容も一読の価値があります。