米SECはサイバー攻撃を受けた上場企業が当局に報告することを義務付ける規則の制定を延期した。SECがこの規則を提案する背景には、多くの企業がサイバー攻撃に遭ったことを隠す傾向への危機感があるが、セキュリティ専門家からは規則への反発の声が挙がっている。
この記事は会員限定です。会員登録すると全てご覧いただけます。
米証券取引委員会(以下、SEC)は、上場企業に対して、重大なサイバー攻撃に関する報告を義務付ける規則の制定を2023年10月まで延期した(注1)。この規則は2022年3月に提案された。サイバー攻撃に遭った企業は侵害が重大かどうかを判断した後、4日以内に報告書を提出することを義務付けられる。サイバーセキュリティ関連企業からはこの規則に反発する声が上がっている。反発の理由とは。
SECはこの規則を提案する一環で、取締役会の専門知識の有無や上層部のサイバーリスクへの関与などサイバーガバナンスに関する追加的な開示も求めている(注2)。SECは2022年2月、投資会社とアドバイザーに対して、サイバーセキュリティ施策の文書化も提案している。
SECがこの規則を提案する背景には、企業が重大なサイバー攻撃やランサムウェア攻撃を受けたことを開示するのを数年遅らせたり、開示しなかったりしていることへの危機感がある。2022年に米国連邦上院議会が発表したレポートによると、企業が公的機関に報告したランサムウェア攻撃は全体の約4分の1にとどまっている(注3)。インシデントの大部分は隠されてきた。データ開示や、消費者と投資家からの訴訟、風評被害などを避けるために身代金が支払われている。
セキュリティ関連業界が反発する中、SECはサイバーインシデントの開示に関する最終規則の策定を延期した。
ITセキュリティの専門家によると、サイバー被害の報告が遅延することでリスクは増大するという。大規模なサイバー攻撃に関して、投資家や消費者、企業の多くがボランディアのように自主的に開示される情報にしか頼れなくなるためだ。
セキュリティソリューションを提供するllumioのゲイリー・バーレット氏(地域CTO《最高技術責任者》)は電子メールで次のように述べた。「SECによる強制がなければ、侵害の報告は自主的に行われるものであり続ける。これまでの歴史に照らして、それではサイバー攻撃にうまく対処できない」
SECは規則制定を延期する理由を公にしていないが、(インシデント発生から)情報開示までの期間を4日間とする提案に対してさまざまな利害関係者が反発した。
セキュリティソリューションを提供するRapid7のような一部の企業は、「SECが提案する開示ルールでは、現在進行している攻撃が公的に記録される危険性がある」と主張した。つまり、事態が収束する前に開示を求められた場合、ハッカーに犯罪に関する潜在的なヒントを与える恐れがあるのだ。Rapid7の関係者はSECに対して攻撃が緩和されるまで企業が情報開示を遅らせることができるように求めた(注4)。
注1:Cybersecurity Risk Governance (General Services Administration)
注2:Update on SEC’s Cybersecurity Rules(Covington)
注3:Feds remain in the dark as ransomware disclosure lags(Cybersecurity Dive)
注4:Comments to the Securities and Exchange Commission(RAPID7)
(初出)SEC delays final rule on cyber incident disclosure as industry pushes back
© Industry Dive. All rights reserved.