「もうセキュリティから逃げられない」 SECの新規則施行で上場企業が頭を悩ませる：Cybersecurity Dive

SECのサイバーインシデント報告義務規則によって、上場企業はサイバーガバナンスと脅威への対応策を高いレベルで管理しなければならない。

[David Jones，Cybersecurity Dive]

　米国証券取引委員会（SEC）は、歴史的なサイバーインシデント報告要件の実施日を正式に迎えた。

　重大なサイバーインシデントが発生したと判断された場合（注1）、4営業日以内の報告を義務付けるこの規則は、米国で事業を展開する上場企業に対して、最高レベルのサイバーリスク戦略の準備と実施を求める。

　PwCでサイバーやリスク、規制マーケティングの領域を担当するリードパートナーのジョー・ノセラ氏は「重大性の判断について正確な情報を収集し、それらの情報に基づいた判断ができているかどうかを確認するために、企業はインシデント対応プログラムを見直している。SECが定める“重大性”の定義は曖昧であり、企業はそれを自らの組織にどのように適用すべきかを検討している」と述べた。

セキュリティ対策から逃げる経営責任者たち

　SECの重要な目標の一つは、重大な侵害やランサムウェア、国家によるスパイ攻撃を軽減するための企業の備えを強化することにある。

　SolarWindsやColonial Pipelineに対するサイバー攻撃の後（注2）（注3）、連邦政府や州によって多くの規制強化が実施されたにもかかわらず、米国ではロシアや中国、そして最近ではイランに関連したサイバー攻撃者によるランサムウェアやその他の悪意のある活動が再び増加している。

　サイバーセキュリティを専門とするプライベートエクイティ・ファンドであるOption3のパートナーのリサ・ドナン氏は「世界中で緊張が続いており、悪質な攻撃者や国家と関連する攻撃者に絶好の機会を提供している。政府はあらゆる対策を駆使してサイバーコンプライアンスを強化している」と話した。

　近年、米国で起きた大規模な攻撃や侵害に関連する調査から、企業幹部がこれらの攻撃の幾つかを未然に防げたにもかかわらず、セキュリティリスクに気づいていなかったり、見逃していたりしたケースが明らかになっている。

　Morgan Stanleyは、1500万人分の個人情報の保護を怠ったとしてSECから告発され、和解のために3500万ドルを支払った（注4）。

　2021年のランサムウェア攻撃に関する調査の結果、米国運輸省は（注5）、Colonial Pipelineがコントロールルームについて複数の違反を犯したと認定し、最大で100万ドルの民事罰金の支払いを求める旨を勧告した。

　他の調査では、経営責任者たちは、ソフトウェアの脆弱（ぜいじゃく）性や緩和戦略、攻撃を防ぐために講じれたであろう対策について、投資家に対して故意に誤解を与えていた。

　SolarWindsと同社のCISO（最高情報セキュリティ責任者）のティム・ブラウン氏に対する民事訴訟において（注6）、SECは、IPOから2020年12月に発生したマルウェア「Sunburst」攻撃までの2年間に、「Orion Platform」の弱点やリモートアクセスに関するセキュリティの懸念について論じた社内のプレゼンテーションや電子メールがあったとしている。

　一方、SolarWindsは投資家に対し、同社のプラットフォームのセキュリティの質を過大に評価した公式声明を発表しており、それらの社内の議論は一般には隠されていた。

“重大性”を判断する5つの指標

　法律事務所のBaker McKenzie’sに所属し、SECと金融機関執行グループの議長でもあるジェローム・トマス氏によると、企業は既存のインシデント対応計画を見直し、新たな開示要件に対応できるように、それらの計画を調整しているという。

　トマス氏によると、それらの作業には、法務チームと情報セキュリティチームによる机上演習の実施も含まれる。

　「上場企業は、重大性の判断に必要な要素を熟知している。企業は、以前の定量的な評価基準をサイバーインシデントにどのように適用し、利用できるかを判断することに焦点を当てている」（トマス氏）

　データセキュリティインシデントにおける重大性の判断に使用される情報は、初期段階では流動的であることが多い。これには幾つかの異なる要素が含まれ、以下はその一部である。

• 影響を受けたデータ量
• 影響を受けた顧客数
• 事業中断のコスト
• 身代金の支払い
• 問題となった個人情報の種類

　コンサルティング事業者のBerkeley Research Groupでサイバーセキュリティと調査実務を担当するマネージングディレクターであり、元米国連邦捜査局（FBI）捜査官のクリス・スタングル氏によると、より強固なインシデント対応計画を策定するための一環として、企業は地元のFBIオフィスとの関係を築くべきだという。

　スタングル氏は「危機的な状況の対応に追われている中で、FBIオフィスに初めて連絡するのは決して得策ではない。インシデント発生後、FBIは企業に専門的なアドバイスを提供する。これは、インシデントが重大なものかどうかを早い段階で判断する手助けになる」と語った。

　2023年12月の初め、FBIは企業がSECに対して、報告の猶予を要請するためのプロセスを公開した（注7）。この猶予は国家安全保障上の理由に基づくものであり、司法省の上層部を通す必要がある。

SECと企業　新規則施行に伴う、それぞれの懸念点

　SECの新しい規則の主な焦点は、リスクを緩和する戦略の主要な要素について、企業に開示を促すことだ。

　これは攻撃の全体的なリスクを軽減するために企業が計画を立てているかどうかを投資家に知らせ、サイバー侵害や悪意のある侵入に対応する能力があるかどうかの確認を目的としている。

　CAP GroupのCEO兼創設者であるブライアン・ウォーカー氏は、企業が頭を悩ませる最大の懸念事項は、政府による措置や投資家による行動のリスクにさらされることなく、規制要件を満たすための情報開示を実施する方法についてだという。

　「SECや株主が『リスクがコントロールされている』と安心するために十分な情報がどの程度なのかについて、企業は懸念を持っている。しかし将来のインシデントが企業による宣言と食い違う可能性もあるため、訴訟やSECからの罰金の可能性を高めることがないように、過度に詳細な情報を提供しないようにする必要がある」（ウォーカー氏）

　SECのもう一つの重要な懸念は、サイバーリスクに対する取締役会の監督である。企業は長年にわたり、セキュリティオペレーションチームと取締役会との定期的な連絡を怠ってきた。

　Capital Oneは、2019年の情報漏えい事件で1億600万件の顧客アカウントが流出した後、8000万ドルの違約金の支払いとthe Office of the Comptroller of the Currencyとの間の同意命令への対応を余儀なくされた（注8）。

　連邦準備制度理事会（FRB）はCapital Oneに停止命令を出し（注9）、取締役会に対してリスク管理と内部統制の改善策を提出するように求めた。

　サイバーセキュリティ企業のBitSightとGoogleが2023年12月11日（現地時間、以下同）の週に発表した調査によると、企業は幾つかの基本的なリスク指標に関して十分に対応できていない。

　報告書によると、最低限必要なセキュアプロダクトコントロールに関する16の指標のうち6つにおいて、企業のパフォーマンスは低かった（注10）。パフォーマンスが低かった指標のうち、依存性に関するパッチの適用や脆弱性の防止、脆弱性の修正に要する時間に関する項目が最も悪い結果だった。

　監視に関する懸念があるにもかかわらず、SECは、取締役会のサイバー専門家に関する具体的な情報を企業に開示させるという当初の提案を撤回した（注11）。

　SECの企業金融部門のディレクターであるエリック・ゲルディング氏によると、サイバーセキュリティの専門家を取締役会に登用することを企業に義務付けると、他のサイバーセキュリティへの投資や、取締役会における他の優先事項に費やすリソースに影響を与える可能性があるためだ。

　ゲルディング氏は、SECによる新しい規則の施行に先立ち、2023年12月14日のコメントの中で「その代わり、最終規則は、サイバーセキュリティの脅威による重大なリスクを評価し、それらを管理する経営陣の役割の開示に焦点を当てている」と述べている（注12）。

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）のディレクターであるジェン・イースタリー氏は、サイバーリスク管理に対する経営陣や取締役会の主体性の欠如を指摘し（注13）、「企業のリーダーはもはやその責任をCISOだけに委ね続けることはできない」と警告している。

　ここ数カ月間、上場企業は、取締役会の中でセキュリティの専門知識を増やすための措置を講じている。

　2023年12月の初め、Marriott Vacations Worldwideは、2024年1月1日付でメアリー・ギャリガン氏を取締役に選任した（注14）。ギャリガン氏は、Deloitteにおいてサイバーと戦略リスクに関する実務を担当するマネージングディレクターを10年以上務め、以前はFBIの特別捜査官も務めていた。

　一方、グローバルコマースプラットフォームのWexは2023年12月の初めに、かつてUnitedHealth Groupでエクゼクティブ・バイスプレジデントとCISOを務めていたエイミー・コールドウェル氏を取締役に選任した（注15）。

（注1）SEC cyber disclosure rules are taking effect: Here’s what to expect（Cybersecurity Dive）
（注2）One year later: Has SolarWinds changed how industry builds software?（Cybersecurity Dive）
（注3）How the Colonial Pipeline attack instilled urgency in cybersecurity（Cybersecurity Dive）
（注4）Morgan Stanley fined $35M by SEC over improper data disposal（Cybersecurity Dive）
（注5）Colonial Pipeline faces nearly $1M in penalties as federal regulator discloses violations（Cybersecurity Dive）
（注6）For the SEC, the fraud case against SolarWinds is a cybersecurity warning shot（Cybersecurity Dive）
（注7）FBI to field SEC cyber incident disclosure delay requests（Cybersecurity Dive）
（注8）Capital One freed from consent order tied to 2019 breach（Cybersecurity Dive）
（注9）CAPITAL ONE FINANCIAL CORPORATION （Federal Reserve Board）
（注10）Bitsight and Google collaborate to reveal global cybersecurity performance（BITSIGHT）
（注11）What the SEC weighed in finalizing the cyber disclosure rules（Cybersecurity Dive）
（注12）Cybersecurity Disclosure（SEC）
（注13）SEC cyber disclosure rules put CISO liability under the spotlight（Cybersecurity Dive）
（注14）Marriott Vacations Worldwide Appoints Mary E. Galligan to Board of Directors（MARRIOTT VACATIONS WORLDWIDE）
（注15）WEX Elects Aimee Cardwell, Former Executive Vice President and Chief Information Security Officer of UnitedHealth Group, to its Board of Directors（wex）

原文へのリンク