“SolarWindsはリスク共有を怠った”とSECが主張 業界団体は猛反発：Cybersecurity Dive

ビジネスの専門家や元CISOなどで構成された業界団体は、米国証券取引委員会（SEC）がSolarWindsに提起した訴えに対し、却下を支持した。その理由はどのようなものだろうか。

[David Jones，Cybersecurity Dive]

　ビジネスやITの専門家で構成された業界団体は2024年2月2日（現地時間、以下同）、ニューヨーク南部地区連邦地方裁判所に意見書を提出し、ソフトウェア開発事業を営むSolarWindsに対する米国証券取引委員会（以下、SEC）の訴訟の却下申し立てを支持した。

　SECは、2020年に発生したマルウェア「Sunburst」攻撃によって大きな被害を発生させたSolarWindsに対し、投資家にリスクを事前に共有せず欺いたとして、同社とそのCISO（最高情報セキュリティ責任者）であるティム・ブラウン氏を告発した。

「SECの主張は根本的に間違い」　業界団体がSolarWindsの“肩を持つ”ワケ

　米国商工会議所と非営利団体のBusiness Roundtableは（注1）、意見書において「SECは、外国腐敗行為防止法の内部会計統制条項を、議会の本来の意図をはるかに超えて拡大解釈している」と主張した。

　クリス・イングリス氏（元国家サイバー局長）やケンバ・ウォルデン氏（元国家サイバー局長代理）を含む20人の元国家安全保障および法執行当局者からなる別のグループは裁判所に対して、SECの訴訟によって企業が緊急の脅威情報を提供することに消極的になるかどうかを検討するよう求めた。

　SECは2023年10月に、SolarWindsとティム・ブラウン氏に対する民事訴訟を提起している（注2）。SECはこの訴訟において、SolarWindsが2018年から、脅威グループによるサプライチェーン攻撃を受けるまでの間、自社のサイバーセキュリティの実態について投資家を誤解させたと主張している。

　SECの訴えによると、SolarWindsは判明済みのリスクを投資家に開示しなかったとされている。SECは今後、ブラウン氏が上場企業の役員に就任することを禁止する可能性もある。

　2024年2月2日に裁判所に提出された意見書において、業界団体は「ブラウン氏に対する主張が情報セキュリティ担当者の幾つかの主な機能を損ない、セキュリティの脆弱（ぜいじゃく）性を公に開示せざるを得なくなった場合、企業を攻撃のリスクにさらす恐れがある」と警告している（注3）。

　CISOで構成されたグループにはSalesforceやExelon、Clorox、Blackstone、Activision Blizzardを含む主要企業の現職および元役員が含まれている。

　別の意見書において、The Software Alliance（BSA）は「SECの措置はソフトウェアの脆弱性の公開を企業に強制するものであり、悪質な攻撃を促すものだ」と述べた。

　SolarWindsは、2024年1月に本訴訟を却下する申し立てをし、「業界関係者の懸念は、SECの訴訟から生じる幾つかの根本的なリスクを正に言い当てている」と述べた。

　SolarWindsの代理人であるLatham＆Watkinsのセリン・ターナー氏（パートナー）は「私たちは、広範な利害関係者によって熟考され、提出された意見書に感謝している。これらの意見書は、この事件におけるSECの立場が法律によって支持されていないだけでなく、企業やCISO、一般の人々にとってのセキュリティ問題やリスクを引き起こす可能性がある。私たちはSolarWindsの開示は常に適切だったと確信しており、SECの主張は根本的に誤っていると考えている」と語った。

　SECは、この意見書に対するコメントを拒否し、訴訟が最初に提起された際の公的な提出書類と事前の声明を参照するよう促した。

（注1）SEC v. SolarWinds Corp.（U.S. Chamber of Commerce）
（注2）SEC charges SolarWinds, its CISO with fraud（Cybersecurity Dive）
（注3）MOTION OF CHIEF INFORMATION SECURITY OFFICERS AND CYBERSECURITY ORGANIZATIONS FOR LEAVE TO FILE BRIEF AS AMICUS CURIAE IN SUPPORT OF DEFENDANTS’ MOTION TO DISMISS THE COMPLAINT （IN THE UNITED STATES DISTRICT COURT ）

原文へのリンク