「サイバー攻撃被害の開示は逆効果」と言われる理由

企業がサイバー攻撃に遭った事実を開示すると、脅威グループに対して攻撃に関するロードマップを与えることになったり、セキュリティ担当役員に過剰な負担をかけたりするという意見がある。この意見は正しいのだろうか。

[David Jones，Cybersecurity Dive]

　サイバー攻撃に遭った企業がそれを開示しなければならないという新しい規則は、企業にとってどのような影響があるのだろうか。

攻撃者を利するのか、企業の負担増になるのか

　サイバー攻撃の被害の開示は逆効果だという見方がある。脅威グループに対して攻撃ロードマップを与えてしまったり、セキュリティ担当役員に過剰な負担をかけたりするのではないかという懸念がある。このような懸念は正しいのだろうか。

　開示規則を採択した証券取引委員会（SEC）がこの問題を軽視しているという指摘がある。

　これに対して、企業財務部門のエリック・ゲルディング氏（ディレクター）は「2023年7月に採択された最終規則に先立ち、内部審議の一環として、スタッフがこれらの問題を慎重に検討した」と述べた（注1）。

　2022年3月の勧告後、SECは幅広いパブリックコメントを受け取り、最終規則の文言に幾つかの重要な変更を加えた。

　SECによる施行が始まる直前の2023年12月14日に、ゲルディング氏は最終勧告に関する幾つかの重要な論点を公表した（注2）。

SECは以前にもサイバーガイダンスを発表していた

　SECは、今回の最終規則以前にもサイバーセキュリティ開示に関するガイダンスを発表済みだ。2011年に発表されたスタッフガイダンスや2018年に最終発表された勧告などがある。「以前のガイダンスが発行された後、SECは、コンプライアンスの改善を確認した。しかし、企業のセキュリティ開示には一貫性がなかった」（ゲルディング氏）

　つまりこれまでのガイダンスだけでは、投資家が必要とする情報を十分に提供するよう企業に促すことができなかった。

　「新しい開示規則によって、よりタイムリーで一貫性があり、比較可能で、意思決定に役立つ情報を投資家に対して提供できるとSECは考えている。投資家は十分な情報を得た上で投資や議決権行使について意思決定できる」（ゲルディング氏）

さらなる経済的脅威の存在

　経済はデジタルシステムに大きく依存しており、テレワークの増加やデジタル決済の利用の増加、クラウドコンピューティングサービスを含むITの第三者プロバイダーへの依存度の高まりがサイバーリスクを加速させている。

　「私の見解では、人工知能やその他のテクノロジーは、サイバーセキュリティの脅威に対する上場企業の防御能力を高めるのみならず、攻撃者が高度な攻撃を仕掛ける能力をも高める可能性がある。『サイバーセキュリティインシデントによって企業と投資家に発生する潜在的なコストが驚異的な速度で増えている』とSECは考えている。つまり、より良い情報開示が求められている」（ゲルディング氏）

SECはセキュリティの管理までは望んでいない

　ゲルディング氏は「SECは、企業がサイバーセキュリティの方針や手順をどのように管理すべきかを指示しようとしているのではない」と強調した。

　「上場企業は企業固有の事実や状況に基づいて、サイバーセキュリティのリスクや脅威にどのように対処するかを決定する柔軟性を持つ。上場企業がサイバーセキュリティ対策にどの程度成功しているのかを評価するために、一貫性のある比較可能な情報の開示が投資家には必要だ」（ゲルティング氏）

最終規則は当初案とは異なる

　最終規則では、重大なサイバーセキュリティインシデントが発生した際、企業は事実の開示を求められているが、これは当初の提案よりも狭い範囲にとどまった。コンプライアンスコストに加えて、企業がインシデントに対応して、復旧する必要性をSECが考慮したからだ。

　最終規則では、企業がインシデントにどのように対応するか、あるいはシステムの脆弱（ぜいじゃく）性に関する技術的な詳細の開示は求めていない。

　「SECは情報開示の必要性と、特定の技術的情報を開示することで攻撃者がそれらの情報を将来の攻撃に悪用するリスクとのバランスをとった」（ゲルティング氏）

国家安全保障への懸念

　最終的な開示規則では、司法省からの通達を条件として、国家安全保障上の懸念に基づき、企業が開示を延期することを認めている。連邦捜査局（FBI）は2023年12月の初めに、重大なサイバーインシデントの開示について、企業が国家安全保障上の遅延を求める手続きを開示する方針を発表した（注3）。

　ゲルティング氏は「企業が国家安全保障の理由で遅延を求めたとしても、そのサイバーセキュリティインシデントが自動的に開示対象になるのではない」という解釈についても指摘した。開示が必要か否かの判断は、インシデントを取り巻く全ての関連事実を考慮した上でのことだ。

　組織が重大性を判断する前に、FBIや司法省、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）、その他の国家安全保障機関や法執行機関に相談することをSECの開示要件が妨げるものではないということだ。

出典：What the SEC weighed in finalizing the cyber disclosure rules（Cybersecurity Dive）
注1：SEC votes to overhaul disclosure rules for material cyber events（Cybersecurity Dive）
注2：Cybersecurity Disclosure（SEC）
注3：FBI to field SEC cyber incident disclosure delay requests（Cybersecurity Dive）