米国証券取引所(SEC)がサイバー攻撃に遭った企業に求める報告義務は、日本企業にも適用される。SECへの開示が必要かどうか、いざというときに備えておく必要がある。
米国内外の上場企業はセキュリティインシデントが発生した際の説明責任に備えるために、社内のセキュリティ慣行とガバナンスを再検討する必要が出てきた。なぜだろうか。
米国証券取引委員会(SEC)が新たなサイバーセキュリティ開示規則を採択したからだ(注1)。新規則ではサイバー攻撃を受けた企業に次のような厳しい義務を課した。
インシデントが事業に対して重大な影響を及ぼすと判断した場合、企業は4営業日以内にSECに報告しなければならない。
新規則の義務が厳しいものになったため、採択までの公開ヒアリングでは多くの議論があった。採決も全会一致とはいかず、賛成3対反対2だった(注2)。
新規則は2023年9月5日に施行された(注3)。新規則は投資家やその他の一般市民が、よりタイムリーで一貫した方法によって企業のサイバーインシデントに関する情報を得られるように設計された。
SECのゲーリー・ゲンスラー氏(委員長)は「企業が火災で工場を失った場合、事業に重大な影響を及ぼす事象と考えられる。サイバー攻撃によって何百万ものファイルを損失した場合も同様に重大な事象と評価されるべきだ。長年にわたり、SECの開示要件は変動する時代における投資家のニーズに対応するために進化してきた」と語った。
ゲンスラー氏は2023年7月26日の公開会議で次のようにも述べた(注4)。
「インシデントが工場に関するものであるか、サイバーセキュリティに関するものであるかにかかわらず、SECが今後監督していく開示情報は投資家の判断にとって重要なものになるだろう」
国家安全保障や機密情報の公開に関する懸念に対応するため、SECは新規則で配慮を示している。それでも、依然として最終規則には、企業データに対するセキュリティや顧客情報の喪失の可能性について、投資家にタイムリーな情報提供を行うための厳格なスケジュールが盛り込まれた。
PwC USにおいてサイバーやリスク、規制マーケティングの業務を担当するリードパートナーのジョー・ノセラ氏は次のように述べた。
「SECは多くの分野でコンプライアンスを合理的なものにしようと試みてきたため、これまでは規則の変更に対して企業からは好意的な反応が多かった。しかし、この度採択した、インシデントを4営業日以内に開示しなければならないという要件は、企業に重い負担を課すものとなるだろう」
ITモニタリングソフトウェアに関する事業を営む上場企業のSolarWindsに対してマルウェア「Sunburst」を用いた攻撃が2020年に発生し(注5)、2021年には非上場企業で燃料供給を担うColonial Pipelineに対するランサムウェア攻撃があった。これらの攻撃をきっかけにして、連邦政府当局がインシデントの透明性の欠如に関する懸念を表明したことで、規制を変更する流れが生まれた。
ミシガン州選出の民主党議員であるゲーリー・ピーターズ氏によって2022年に発表された報告書によると(注6)、ランサムウェア攻撃のうち約75%が報告されなかった。SECや他の規制当局によると、企業はしばしば重大な侵害や攻撃についてタイムリーな情報開示を怠ってきた(注7)。
Gartnerが2022年9月に発表した報告書によると、2021年、上場企業は全ての情報漏えいのうち43%以下しかSECに報告していない。
同社によると、企業は規制当局にインシデントを報告するまでに平均79.8日を要しており、これは2020年の平均60.6日よりも悪化している。
Gartnerは「投資家の信頼を維持したいのであれば、企業は不規則で一貫性のない報告を続けられると期待すべきではない。企業は、攻撃や侵害に迅速に対応できるかを判断するために、インシデント対応計画とサイバーセキュリティコントロールに対する内部監査を実施すべきだ」と指摘した。
新しい規則に対応するために、多くの企業はセキュリティオペレーションチームやトップの経営層、取締役会の間の関係を見直さなければならない。
取締役会や投資家向けの広報部門が現在進行中のサイバーリスクを十分に認識していることを確認するために、CISO(最高情報セキュリティ責任者)は企業の上層部とより直接的かつ頻繁なコミュニケーションを取る必要がある。
サイバーセキュリティ事業を営むSumo Logicのジョージ・ガーチョウ氏(CSO《最高戦略責任者》兼IT部門のシニア・バイスプレジデント、IANS《インド・アジア通信社》の研究者)は次のように述べた。
「多くの上場企業にとって、重要なインシデントかどうかを判断し、対応を効率化するためには運用を厳格化しなければならず、過酷なコストアップにつながるだろう」
悪意のある脅威活動の急速な増加は、企業がセキュリティオペレーションチームだけでなく、あらゆるレベルでこれらの脅威に対応できるように準備しなければならないことを意味する。
サイバーセキュリティ企業Mandiantのジェニファー・バーンサイド氏(サイバークライシス・コミュニケーション・プラクティスリーダー)は、次のように述べた。
「SECの新しい規則は、すでに複雑な対応プロセスにさらなる考慮事項を追加するものであり、サイバーイベントのさなかで企業に対して、より適切に、より迅速に非技術的な意思決定を求めるものだ」
Gartnerのウィリアム・キャンドリック氏(ディレクター・アナリスト)によると、CISOは新しいガイドラインを参照しながら、企業のインシデント対応計画を更新しなければならない。
「サイバーセキュリティの専門家は社内外の法務担当者と協力し、直面するサイバーインシデントが報告を要するほどに重大なものかどうか、また、いつ報告すべきかを判断するためのエスカレーションパスと連携プロセスを確立しなければならない。SECの新しい規則に沿うためには、サイバーセキュリティと法務、投資家向けの広報、ビジネスリーダーをはじめとするさまざまな部門をまたぐ業務が必要になる」(キャンドリック氏)
SECの新しい規則は、インシデントの迅速な報告のみならず、経営陣や取締役会が行うサイバーセキュリティに対する監督の年次報告も求めている。企業は、サイバーセキュリティリスクを評価するための内部プロセスを開示し、重要なリスクをどのように評価しているかに関する情報を提供しなければならない。
SECの規則は、投資コミュニティーが企業のサイバーセキュリティにますます関心を寄せる中で採択された。投資コミュニティーは経営陣に対して、サイバーインシデントへの対応だけでなく、サイバーリスクに対する準備や監督に関する説明責任も求めている。
プライベートエクイティファンドOption3のリサ・ドナン氏(パートナー)は「CEOと、CEOの下でセキュリティチームを構成するCISO、CIO(最高情報責任者)、CFO(最高財務責任者)がサイバーインシデントに関する責任を負うことを投資家は期待している。投資家はSECと同様に、企業がサイバーセキュリティリスク評価プログラムに関連してコンサルタントや第三者を利用したかどうかを知りたいと考えている」と述べた。
これらの新しい規則が施行される以前から、SECは、既存のサイバーリスクに関する監視の甘さや投資家に誤った情報を提供する行為について、企業の責任を追及してきた。
2020年のランサムウェアに対する調査範囲について誤った開示をしたとして、SECは2023年3月にソフトウェア企業のBlackbaudと300万ドルの和解に関する合意をした(注8)。
出典:SEC cyber rules ignite tension between reputation and security risk(Cybersecurity Dive)
注2:SEC votes to overhaul disclosure rules for material cyber events(Cybersecurity Dive)
注3:Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure(FEDERAL REGISTER)
注4:2023 07 26 Open Meeting(YouTube)
注5:A conversation with SolarWinds’ CISO(Cybersecurity Dive)
注6:Feds remain in the dark as ransomware disclosure lags(Cybersecurity Dive)
注7:SEC to ‘dig deeper’ in cybersecurity enforcement(Cybersecurity Dive)
注8:Blackbaud to pay $3M to settle SEC charges of a misleading ransomware investigation(Cybersecurity Dive)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。