もはや隠蔽は不可能に サイバー攻撃の「開示」について米国から始まる新しい波

米国証券取引所（SEC）はサイバー攻撃に遭った企業に対して、新しい報告義務を定めた。米国企業だけでなく、米国の証券市場で株式や債券を発行する日本企業にも適用される。

[David Jones，Cybersecurity Dive]

　米国証券取引委員会（SEC）は、重要なサイバーセキュリティインシデントが発生した場合（注1）、4営業日以内の開示を企業に対して義務付ける措置を承認した。

何を開示しなければならないのか

　既に多くの上場企業がサイバーセキュリティに関する情報を投資家に対して開示している。さらに何が要求されるのだろうか。

　攻撃に遭った企業は投資家や一般の人々が閲覧可能なフォーム「8-K」を使って、SECに対してインシデントを開示しなければならない。さらにサイバーセキュリティのリスク管理やガバナンス、戦略に関する年次の開示も必要になった。

　SECのゲーリー・ゲンスラー委員長は公聴会で次のように述べた。

　「（企業間で）開示の内容が一貫性を持つようになり、比較が可能になり、意思決定に役立つ方法で成されるなら、企業も投資家も恩恵を受けるだろう」

企業によって開示ルールが異なる

　SECの最終規則は官報に掲載されてから30日後に効力を持つ。

　日本企業など、米国以外の企業の場合、「10-K」や「20-F」のフォームを利用して、リスク管理とガバナンスに関する年次開示が必要になる。2023年12月15日以降に終了する事業年度の年次報告書から義務付けられる。

　同様に米国外の企業は「8-K」や「6-K」のフォームを利用して、重大なインシデントについて開示しなければならない。これらの開示は、連邦官報への掲載から90日後（または2023年12月18日）が提出期限だ。

　SECが定めた「小規模な企業」の場合、「8-K」を用いて重大なインシデントを報告するまでに、さらに180日の猶予期間がある。

SECの規則には反対意見もある

　これらの変更は連邦政府と州当局による取り組みの一環だ。2020年のSolarWindsに対するSUNBURST攻撃や2021年のColonial Pipelineに対するランサムウェア攻撃を受けて、企業が重大なサイバー攻撃やデータ漏えいに関する情報を投資家や消費者に開示するよう促すためのものだ。

　Colonial Pipelineへの攻撃の後に浮き彫りになった課題は、過去のランサムウェア攻撃のうち70％以上が、政府機関や法執行機関に開示されていなかったことだ（注2）。開示があれば何らかの対策が可能だったはずだが、そうではなかったために無防備な企業が出てしまった。

　提案されたSECの規則への反対意見の中にはもっともなものもある（注3）。攻撃について企業が詳細を開示すると、攻撃が有効だったかどうか攻撃者にばれてしまうという懸念だ。攻撃者の活動を間接的に助けるリスクがある。

　採用されたSECの規則の要件の一つにはこのような事態を避ける項目がある。事件の詳細を開示することが国家安全保障または公共の安全に対する重大なリスクをもたらすと司法長官が判断した場合、開示を延期できる。

　2023年7月23日の採決に際しては、SECのメンバーの間で激しい議論が起きた。決議の結果は3対2の賛成多数で、ヘスター・ピアース氏とマーク・ウエダ氏は、SECの要件が企業に対する過度の負担になるとして反対した。

　ピアース氏は開示がハッカーに攻撃の手引きを提供する恐れについて懸念を示した。ウエダ氏は「セキュリティに関する開示が、企業運営上のその他の重要なリスクに関する要求事項の大半を上回る」と述べた。

　債券格付け事業を営むMoody’s Investors Service の関係者は、今回の決定が上場企業の信用にポジティブな影響をもたらすとした。企業がサイバーリスクにどのように対処するか、また、企業がどのように成長していくかに関する透明性を提供できると指摘した。

　Moody’s Investors Serviceのレスリー・リッター氏（シニア・バイスプレジデント）は、投票後に次のように述べた。

　「SECが採択したサイバーセキュリティに関する規制は、拡大しつつあるリスクに対する透明性を高めるとともに、さらなる一貫性と予測可能性を提供するものだ。開示数が増えていけば、企業はサイバーセキュリティに関する実務を比較できるようになり、防御の改善が促されるだろう。一方で、リソースが限られている中小企業にとって、開示基準を満たすことは大きな課題となる可能性がある」

不正確な内容を発表すると罰せられる

　今回の規則の採択は唐突なものではない。これまでも、企業の過去のサイバーセキュリティについて、より高い透明性と明確さを提供できるような措置をSECは採ってきた。

　SECは、2020年のランサムウェア攻撃による機密データの流出に関する誤解を招くようなコメントを発表したとして、ソフトウェア企業のBlackbaudに対して、同社が300万ドルを支払う和解を成立させた（注4）。

　2023年6月下旬、SECはSolarWindsに対して、ロシアに関連する攻撃者による2020年のインシデントについて、同社のCFO（最高財務責任者）とCISO（最高情報セキュリティ責任者）の発言に関する強制措置の可能性を通知した（注5）。

出典：SEC votes to overhaul disclosure rules for material cyber events（Cybersecurity Dive）

注1：SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies（sec）

注2：What cyber incident reporting rules mean for critical infrastructure（Cybersecurity Dive）

注3：SEC delays final rule on cyber incident disclosure as industry pushes back（Cybersecurity Dive）

注4：Blackbaud to pay $3M to settle SEC charges of a misleading ransomware investigation（Cybersecurity Dive）

注5：SEC notifies SolarWinds CISO and CFO of possible action in cyber investigation（Cybersecurity Dive）