SEC のサイバーセキュリティ開示規則の発行から 1 年

2023 年 12 月、サイバー攻撃の急増を受けて、 米国の証券取引委員会 (SEC) は新しいサイバーセキュリティ開示規則を施行しました。 これを受け、経営幹部と取締役会はコンプライアンスと透明性のための対策を迫られています。 このブログでは、SEC がこれまでに取った執行措置と、コンプライアンス遵守のために公開会社の CISO がやるべきことを解説します。

サイバー攻撃の急増を受けて SEC が対策を取り、取締役会はサイバーセキュリティを注視

近年、サイバー攻撃は巧妙さを増しており、公的組織と私的組織の両方に影響を与えています。 透明性と堅牢なサイバーセキュリティ対策が緊急に求められていることを鑑みて、米国の 証券取引委員会 (SEC) は 2023 年 7 月に新しいサイバーセキュリティ開示規則を採択しました。規則は 2023 年 9 月に施行され、規則への準拠は 2023 年 12 月から求められました。

この規則は、すべての公開会社に重要なサイバーセキュリティインシデントを 4 営業日以内に開示することと、自社のリスク管理戦略を詳しく説明することを求めており、サイバーセキュリティが取締役会レベルでのリスク管理上の懸念事項であることを強調しています。

取締役会は、信認義務の一部として、サイバーセキュリティ脅威によるリスクの監視における重要な役割を担っています。 取締役会は経営幹部と連携して、自社が直面するリスクと、規則の遵守のために自社が実施している戦略に細心の注意を払う必要があります。

2023 年後半にこの規則が承認された際に、Tenable は情報セキュリティリーダーへの影響に関する見解を公表しました。 今回の記事では、この規則による 1 年経過後の影響を探ります。 また、最近の執行措置と、コンプライアンスを促進してサイバーセキュリティ態勢を強化するために企業が採用を検討するべき対策についても見ていきます。

重要な注意点が 1 つあります。 2025 年には SEC の上層部が変わるため、この規則にも影響が及ぶ可能性があります。 しかし、SEC の規則は、世界中の政府機関がサイバーリスクに向けている注意を示す一例に過ぎません。

EU は最近、加盟国全体でのサイバーセキュリティ向上を目的として、ネットワークおよび情報システムに関する (NIS2) 指令を発行しました。 この指令では「重大な」インシデントを 24 時間以内に報告し、72 時間以内にさらに詳細な報告書を提出し、1 か月以内に最終報告書を提出することを求めています。 また、欧州の一般データ保護規則 (GDPR) のようなより焦点を絞った規則は、インシデントの開示という規定はないものの、その地域で事業を行いたい企業に大きな変化をもたらしています。

すべては信頼の一言に尽きます。 Tenable 最高経営責任者の Amit Yoran は、この規則の発効にあたって明確な意見を記していました。

「SEC の規則は、企業が本来実施すべきであった適切なサイバーリスク管理の実践を強制するものです。企業に対して、サイバーセキュリティリスク管理戦略やガバナンスの年次更新を求めること、そして重大な侵害が発生した場合には 4 営業日以内に報告することを義務付けることで、経営陣に注意を喚起し、顧客や投資家に対して、信頼できる相手が誰であるのかをより明確に伝えることができるようになるでしょう」と彼は述べています。

SEC のサイバーセキュリティ開示規則の主要な要件

こうした状況の中で、法務、財務、投資家向け広報、取締役会などのステークホルダーのそうした取り組みをサポートしたいと考えている CISO が、SEC 規則について知っておくべきことがいくつかあります。

SEC は公開会社に対し、重要なサイバーセキュリティインシデントについて、重要と判断してから 4 営業日以内に Form 8-K を使用して報告することを求めています。 この要件の目的は、事業運営と財務実績に影響し得る潜在的なリスクについて、投資家にタイムリーな関連情報を提供することです。

米国公認会計士協会 (AICPA) と英国勅許管理会計士協会 (CIMA) が 12 月に開催した会議において、SEC のコーポレートファイナンス部門 (DCF) 開示レビュープログラムのアソシエイトディレクターである Sebastian Gomez Abero 氏は、サイバーセキュリティインシデントの開示のトリガーとなるのは侵害の発見ではなく、その重要性であると強調しました。 会議を開催した組織が公表した彼の発言に関する EY のサマリーによると、Gomez Abero 氏はまた、登録企業に対し、サイバーセキュリティインシデントの重要性評価においては量的要因と質的要因の両方を考慮する必要があると念を押しました。

さらに、企業は毎年 Form 10-K 報告書または Form 20-F 報告書に、自社のサイバーセキュリティリスク管理とガバナンスの手法についての説明を記載する必要があります。 この規則は、サイバーセキュリティを、堅固な企業ガバナンスプログラムにおけるリスク管理の重要な要素として本質的に認めるものです。 多くの企業から最近提出された Form 10-K は、この新しい要件を取り入れています。

EY による会議のサマリーによれば、Gomez Abero 氏は登録企業に対し、「サイバーセキュリティに関する年次開示では、合理的な投資家に向けて、組織がサイバー脅威による重要なリスクを評価、特定、管理するプロセスを理解するために十分な詳細情報を提供する必要があり、単にこのようなプロセスが存在すると述べるだけでは不十分である」と注意喚起しました。 さらに、重要なサイバーリスクを評価する管理グループを持つ登録企業は、メンバー全員の専門分野を開示する必要もあります。

執行措置による高額な罰金と重い罰則

サイバーセキュリティ規則の導入以来、SEC は罰金を科す、和解交渉を行うなど、コンプライアンスを確保するための大規模な執行措置をさまざまな企業に対して取っています。

例えば 2024 年 10 月、SEC は Unisys、Avaya Holdings、Check Point Software Technologies、Mimecast に、SolarWinds サイバー攻撃に関する自社のエクスポージャーについて誤解を招く開示をしたとして、合計で約 700 万米ドルの罰金を科しました。

同じ命令の中で、SEC はこれらの企業が攻撃の自社への影響を軽視し、潜在的な影響に関する投資家の誤解を招いたと主張しました。 各社は、SEC の主張を認めることも否定することもなく和解に応じました。

SEC によるもう 1 つの注目するべき執行措置を紹介します。 2024 年 6 月、R. R. Donnelley & Sons Company (RRD) は 2021 年以降における重大なサイバーセキュリティインシデントの不十分な開示と不適切な管理について 210 万米ドル以上の支払いに合意しました。 SEC によれば、RRD の内部プロセスでは上級管理職に対するインシデントの適切な報告と開示をタイムリーに行えておらず、堅牢なインシデント管理フレームワークを適用することの重要性が軽視されていました。

教訓

組織が SEC のサイバーセキュリティ要件を遵守できるように支援する際に考慮するべき、3 つの重要な教訓があります。

1. 透明性を確保する。 組織のインシデントの管理と開示の手法は細かくチェックされています。 取締役会と経営幹部が注意を払っているだけでなく、組織に投資する投資家もサイバーリスクを知りたがっています。 Form 8-K での開示の要件を満たすためには、率直で簡潔なアプローチを選びましょう。例えば、サイバーインシデントを定期的に評価するために、サイバーセキュリティ開示委員会を立ち上げたり、重要性に関するフレームワークを策定したりすることなどです。 これにより、罰金の支払いを回避できます。
2. サイバーリスクをビジネスリスクと見なす。 サイバーセキュリティリスク管理手法とガバナンス手法は、組織にとって戦略的に重要です。 Form 10-K と Form 20-F の要件には、サイバーセキュリティに関する堅固な戦略を持つことの重要性が明文化されています。 この要件への対応を、コンプライアンスに関する面倒な雑用ではなく、自組織がサイバーリスクを低減するためのあらゆる方法について取締役会と投資家を教育する機会だと考えるべきです。
3. 先行的に対応する。 サイバーセキュリティ戦略を、単なる年 1 回のコンプライアンスに関する作業だと考えてはいけません。 自組織が備えるサイバーセキュリティのシステムとプロセスにより、アタックサーフェス全体の継続的な可視性を確実に得られるようにする必要があります。これにより「会社のセキュリティは大丈夫?」、「会社のリスクはどこにある?」という質問にいつでも答えられるようになります。

サイバーエクスポージャー管理が SEC の要件達成を支援

それでは、CISO は何をすればいいのでしょうか? その第一歩は、サイバーエクスポージャー管理を含む包括的なサイバーセキュリティプログラムの構築です。こうしたプログラムから必要な情報を得ることにより、CISO は法務、財務、投資家向け広報、取締役会、その他の社内のステークホルダーに脆弱性やサイバーインシデントについて伝達して、それらを会社のサイバーリスク管理と公開報告書に適切に反映させることができます。

サイバーエクスポージャー管理は、サイバーセキュリティの取り組みをビジネスリスク管理に整合させて SEC のサイバーセキュリティ開示要件を満たすために必要なツールを組織に提供します。

サイバーエクスポージャー管理を利用すれば、組織のアタックサーフェスの包括的な可視化、ビジネスへの潜在的な影響に基づいた脆弱性の優先順位付け、リスク管理文書を準備する際の情報源となる実用的なインサイトの取得が可能になります。 さらに、サイバーエクスポージャー管理は、文書での報告が必要になる可能性のあるサイバーリスクとインシデントを特定するサイバープログラムの一部でもあります。 CISO が会社全体のエクスポージャーの可視性を得るために使用できる、わかりやすくて動的に更新されるダッシュボードを備えたサイバーエクスポージャー管理は、コンプライアンスの確保と強固なセキュリティ態勢の実証に欠かせません。

さらに、資産の可視化、リスクの優先順位付け、インシデント対応を統合したサイバーエクスポージャー管理戦略と、CISO、法務、IR、財務の強力な連携により、組織はサイバーエクスポージャー管理に組み込まれた継続的な監視を利用して、自組織の手法や対応をいつでも正確に報告できるようになります。

事業運営に最大の脅威をもたらす脆弱性に集中することにより、企業はリソースを効果的に割り当て、規制へのコンプライアンスを支えるサイバーセキュリティプログラムを構築できます。

経営幹部が考慮するべきこと

サイバーエクスポージャー管理を採用すれば、CISO は法務、財務、投資家向け広報、取締役会、その他の経営幹部に対して、組織のサイバーセキュリティリスクに関する明確で実用的なインサイトを確実に提供できるようになります。

サイバーエクスポージャー管理は、情報に基づいた意思決定を支援し、包括的なリスク管理フレームワークの構築を支えます。その結果、企業は脅威に対して先行的に対処し、投資家やステークホルダーとの間に信頼を醸成できます。

経営幹部全員が、統合的で先を見据えたサイバーセキュリティ戦略に目を向け、SEC の新しい規則に取り組んでいく必要があります。 その取り組みの一環として、4 日以内の開示義務を守るために迅速に導入できる包括的なインシデント対応計画を策定して維持することが欠かせません。

コンプライアンスに関する予防的な対策

SEC のサイバーセキュリティ開示規則に準拠し、法的、財務的に深刻な結果をもたらす侵害のリスクを減らすために、組織は防御を強化する事前対策型の戦略を採用する必要があります。 以下に示す予防的な対策には、サイバーセキュリティ態勢を強化してコンプライアンスを確保するために企業が実施するべき主要なステップが概説されています。

• 脆弱性管理: 強固なサイバーセキュリティ態勢の維持には、効果的な脆弱性管理が不可欠です。 自動化された脆弱性評価ツールによって定期的にインフラを検査し、セキュリティギャップを速やかに特定できます。
• ゼロトラストアーキテクチャ: ゼロトラストセキュリティモデルは、組織のネットワークの内外を問わず、すべてのユーザーとすべてのデバイスをデフォルトで信頼すべきではないという原則に基づいて機能します。 ゼロトラストの実装とは、企業のリソースへのアクセスを試みるすべてのユーザーとデバイスを継続的に検証し、ユーザーのセッションを通して厳格な認証、承認、検証を確実に行うことを意味します。

キーポイント

SEC のサイバーセキュリティ開示規則は、今日のデジタル環境において透明性と予防的なリスク管理が極めて重要であることを明確に示しています。

コンプライアンスには労力とリソースが必要ですが、同時に、企業にとって投資家やステークホルダーとの間に信頼関係を築くチャンスにもなります。

予防に重点を置いた堅固なサイバーセキュリティ手法を優先することにより、企業は規制による期待事項との整合性を高め、重要な報告要件に備えることができます。 このような企業は、エクスポージャーを解決することができ、リスクが増え続ける世界における、回復力を備えた信頼できるリーダーとなるでしょう。

もっと詳しく

• ウェブページを見る:How to reduce SEC cybersecurity rule compliance challenges (SEC のサイバーセキュリティ規則へのコンプランスに関する課題を減らす方法)
• ブログ: FAQ: What the new SEC Cybersecurity Rules Mean for Infosec Leaders (米証券取引委員会 (SEC) によるサイバーセキュリティに関する新しい規則が情報セキュリティリーダーにとって何を意味するか)
• オンデマンドウェビナーを見る: Preparing for the new SEC cybersecurity disclosures (SEC の新たなサイバーセキュリティ開示に備える)
• Gartner のレポートをダウンロード: How to Grow Vulnerability Management into Exposure Management (脆弱性管理をサイバーエクスポージャー管理へと成長させる方法)