サイバー攻撃よりも怖い「証券取引委員会」 何が恐ろしいのか

米国の証券取引委員会はサイバー攻撃を受けた企業に対して非常に厳しい態度を取り始めた。これは日本企業にも波及するのだろうか。

[David Jones，Cybersecurity Dive]

　証券取引委員会（SEC）がサイバー攻撃を受けた企業に対して非常に厳しい態度を取り始めた。なぜ攻撃を受けた企業が非難されるのだろうか。

上場企業は情報公開が重要

　証券市場では投資家が公開された情報に基づいて株式を売買する。このため、企業から開示される情報が重要な意味を持つ。これはサイバー攻撃に関する情報でも同じことだ。

　SECはこの考え方を強く推進しており、情報公開を怠った企業を告発している。

　今回はシステムマネジメントツールを開発、販売するSolarWindsが詐欺の容疑で告発された。

　法律とリスク管理の専門家によると、SECが全ての上場企業に対してサイバー分野における新しい情報開示要件に従うように促す警告だという。

　SECはSolarWindsと同社のティム・ブラウン氏（CISO《最高情報セキュリティ責任者》を告発した（注1）投資家を欺いたことが理由だ。同社とブラウン氏は「2020年12月に「SUNBURST」と名付けられたマルウェアが用いられたサプライチェーン攻撃が始まるまで自社の脆弱（ぜいじゃく）性を隠し、セキュリティの利点を誇張した」とされている。

　SECが勝訴した場合、SolarWindsは多額の金銭的な処罰を受ける可能性があり、攻撃の「数カ月後」にCISOに昇進したブラウン氏は、企業の役員や取締役として働くことを永久に禁じられる可能性がある。

SECの厳しい姿勢が現れた

　コンサルティングサービスを提供するGallagherのジョン・ファーリー氏（サイバー分野を担当するマネージングディレクター）は次のように述べた。

　「SECは、企業が新たな情報開示の要件を厳格に受け止める必要があることを明確にした。企業のサイバーリスク管理戦略に関する情報開示は、現実を反映する形で日々実行されなければならない」

　SolarWindsの事件は、SECの新しい情報開示要件が施行されてから2カ月もたたないうちに発生した（注2）。新しい開示要件は上場企業に対して、重大なサイバーインシデントの開示を義務付けている。

　企業は重大性を判断してから4日以内にサイバーセキュリティインシデントを、財務状態に影響を与える重要事項に関する報告資料の開示様式「Form 8-K」で報告しなければならない。さらに、企業は取締役会の監督と、サイバーセキュリティリスク戦略に関する経営陣の役割についても、年次開示を提出しなければならない。

業界に激震が走った

　SolarWindsの内部でやりとりされたメールや文書、その他の証拠をSECが示し、ブラウン氏や他の幹部が同社の脆弱性や他の内部的な弱点に関する懸念を公然と話し合っていたことを明らかにしたことで業界全体に衝撃が走った。

　SolarWindsのネットワークエンジニアは2018年に「自社のリモートアクセス用の仮想プライベートネットワークに、外部デバイスからのアクセスを許す可能性のある脆弱性が残っている」旨を指摘していた。このエンジニアはネットワークの構成が「あまり安全ではない」と警告し、検出できない形で攻撃者のアクセスを許してしまう可能性があるとしていた。

　別の例では、シニアマネジャー向けの2018年のメールに、SolarWindsの安全な開発ライフサイクルが虚偽だということを示す内容があった。幹部はこうした虚偽を隠し、同社がそれを改善できるまでの時間を稼ごうとしていた。

　法律事務所Foley & Lardnerのアーロン・タントレフ氏（パートナー）は「彼らは自分たちの置かれた立場を知っていた」と述べた。

　SolarWindsも内部で適切な管理をしていなかったことを認めていたが、公の場ではこれに反する発言をしていた。

　SECがサイバーセキュリティの情報開示に関する行動を起こしたのは、実はSolarWindsに対する訴訟が初めてではない。2023年の初め、SECは教育ソフトウェアの開発企業Blackbaudを、2020年のランサムウェア攻撃について誤解を招く説明をしたとして告発した。その後、同社は300万ドルを支払い、和解した（注3）。

　サイバーセキュリティ事業を営むRapid7のコリー・トーマス氏（CEO）は、2023年11月1日に開催された四半期会議の中で、「現在の脅威環境と最近のSECによる取り締まりが、セキュリティ上の優先事項に対するCISOの考えに影響を与えている」と述べた。

　アナリストの質問に対する回答として、トーマス氏は「SolarWindsなどに対するSECの最近の行動を受けて、CISOはセキュリティと自身の個人的な責任に焦点を当てるようになっている。従って、彼らはセキュリティを最優先事項としている」と述べた。

　連邦政府および州当局が、消費者データの保護と企業の適切な内部統制の維持に一層力を入れている時期に、SECはこのような行動を起こした。SECはまた、何か問題が発生した場合であっても、企業は透明性を維持する必要があるというメッセージを送っている。

SECの取り組みは徐々に進んできた

　2022年に連邦取引委員会（FTC）が以前のデータセキュリティインシデントについてUberを調査したとき、同社のジョセフ・サリバン氏（元CSO《最高戦略責任者》）が（注4）、2016年のランサムウェア攻撃を隠していたことが明らかになり、同氏は妨害罪で有罪判決を受けた。

　2022年後半に、FTCはUberのグループ企業でオンライン酒類マーケットプレース事業を営むDrizlyに対して、2020年にハッキングが始まるまで同社の環境の安全確保を怠ったとして、データセキュリティ慣行の改革を命じた（注5）。さらにFTCはDrizlyのジェームズ・レラス氏（CEO）に対して、今後移籍する企業でもデータセキュリティプログラムを実施するように命じた。

　SECが新しいインシデント開示の要件を本気で実施することを企業は理解し始めている。弁護士によると、SECは企業に対して「セキュリティリスクを投資コミュニティーに開示する際に、透明性が維持されなければならない」というメッセージを送っている。

　法律サービスを提供するEversheds Sutherlandのマイケル・バハール氏（パートナー、グローバル・サイバーセキュリティ＆データプライバシー部門の共同責任者）は、「新しい規則と強制措置を通じて、SECはサイバーセキュリティに対して最高経営幹部の注意が必要だということを明確にしている」と述べた。

　「それに加えて、情報開示に従わない企業では不正を発見される危険性があると、SECは警告している」（バハール氏）

　これは米国で上場している日本企業の法人に対する警告と考えた方がいいだろう。なぜなら日本国内の規制と比べると格段に厳しいからだ。

SolarWindsは対決姿勢を示す

　今回のSECの告発をSolarWindsは強く否定した。同社は規制当局への提出書類とブログの投稿で（注6）、「安全な開発手法を採用しており、セキュアバイデザインに関する業界の基準を向上させるために連邦当局と協力関係にある」と述べた。

　SolarWindsのスダカル・ラマクリシュナ氏（CEO）はブログの中で、次のように記した。

　「透明性のあるコミュニケーションを実現するための取り組みは、顧客だけでなく、業界全体と政府パートナーにまで広がっている。学んだことを共有し、他の人々をより安全にするために、私たちは、率直な意見を頻繁に公表していきたい」

出典：For the SEC, the fraud case against SolarWinds is a cybersecurity warning shot（Cybersecurity Dive）
注1：SEC charges SolarWinds, its CISO with fraud（Cybersecurity Dive）
注2：SEC cyber disclosure rules are taking effect: Here’s what to expect（Cybersecurity Dive）
注3：Blackbaud to pay $3M to settle SEC charges of a misleading ransomware investigation（Cybersecurity Dive）
注4：Uber ex-CSO verdict raises thorny issues of cyber governance and transparency（Cybersecurity Dive）
注5：FTC orders Drizly to tighten data security practices as 2.5M consumers exposed（Cybersecurity Dive）
注6：Transparency, Information-Sharing, and Collaboration Make the Software Industry More Secure. We Must Not Risk Our Progress.（Orangematter）