そのインシデントは“重大”か？ 判断の指標となる定量的／定性的な要素：Cybersecurity Dive

SECが定めたサイバーインシデントの報告に関する新しい規則は、被害企業に対し、インシデントの重大性を評価するように求めている。では、それはどのように判断すればいいのか。判断に活用できる定量的／定性的な要素を紹介する。

[David Jones，Cybersecurity Dive]

　米国証券取引委員会（SEC）によってサイバーインシデントの報告に関する新しい規則が定められてから3カ月が経過した。

　2023年12月18日（現地時間、以下同）に施行されたこの規則は（注1）、上場企業に対し、8-K報告書（重要性があると判断されてから4日以内に提出が求められるサイバーセキュリティインシデント報告書）をSECに提出するよう求めている。では、“重要性”があるかどうかはどのように判断すればいいのか。企業は、侵害や攻撃の影響が重大と見なされる条件について頭を悩ませている。

インシデントが重大かどうかを判断する、定量的／定性的な要素とは？

　ここ数カ月の間に発生した有名なサイバー攻撃の後、企業はそれらのインシデントが技術的な侵害なのか悪質な攻撃なのかを即座に判断するために奔走した。

　重大性の評価は非常に難しいものだといわれている。企業は、データが損失した範囲や業務への下流の影響、規制、財務、風評被害などから長期的な影響を検討しなければならない。

　コンサルティング企業であるKPMGのマクシム・ヴァンダー氏（パートナー）は、電子メールを通じて「SECにサイバーセキュリティインシデントを開示する際、企業はバランスを取る必要がある」と述べた。

　KPMGが発表した報告書によると、企業は最初のインシデントが発生した直後から8-K報告書について考え始める必要があり、重大性を評価する際には、定量的な要因と定性的な要因を組み合わせて検討する必要がある（注2）。

　定量的な要素には以下のようなものがある。

• インシデントの発生期間や影響を受けた事業セグメントの数、知的財産やデータの損失をはじめとする事業運営への影響
• 売上や株価、事前予測などを含む業績への影響
• 身代金の支払いや弁護士費用、将来の保険費用、フォレンジック分析など、インシデント対応および封じ込めのための費用

　定性的な要因には以下のようなものがある。

• 盗まれた情報の種類と量
• 風評被害
• 上流から下流に至るサプライチェーンへの影響
• 政府からの問い合わせや法的紛争

米国で発生した大規模なサイバー攻撃被害で8-K報告が相次ぐ

　規則で明示的に求められているわけではないが、多くの企業は発見の直後にSECにインシデントを開示している。その後、8-Kの修正開示や四半期報告書や年次報告書での追加開示を通じて、提出書類が更新された。

　2023年11月中旬にサイバー攻撃を発見してから数日後、不動産や保険関連サービスを提供するFidelity National Financialは、SECに対して、8-Kの提出書類でインシデントを開示した（注3）。同社は、攻撃者がシステムの一部に不正にアクセスし、特定の認証情報も盗んだことを確認した。

　活発に活動するランサムウェアグループ「ALPHV」（別名BlackCat）が、この攻撃の関与を主張した。

　Fidelity National Financialは2023年11月下旬にこのインシデントを収束させ、8-Kの提出書類の修正版で投資家に報告した（注4）。その後同社は、オンラインの対話イベントで対応について投資家に報告し、これも同年12月初旬に8-Kの提出書類で開示された（注5）。

　2023年12月中旬に調査を終えたFidelity National Financialは、2024年1月の修正申告で追加情報を詳細に開示し（注6）、130万人の顧客が攻撃の影響を受けた可能性があることを明らかにした。同社はその後、「この攻撃が業績に重大な影響を与えるとは考えていない」と述べた。

　注目を集めた他の攻撃として、カジノリゾートやホテルを運営するMGM Resortsは、2023年9月に発生したサイバー攻撃被害について、同年10月に公表している。この攻撃によって、ラスベガスの施設に1億ドルの財務的な影響が出ることが明らかになった（注7）。

　MGM Resortsは、四半期報告書で定期的に最新情報を提供し、2024年2月にはSECに提出した10-Kの年次報告書で、州および連邦規制当局による調査に直面していることを明らかにしたばかりだ（注8）。

　過去数年間、企業は評判や、投資家と顧客に対する責任への懸念から、ランサムウェア攻撃を完全に隠蔽（いんぺい）していた。

　サイバーセキュリティの専門家によると、ランサムウェアの公開に対する企業の姿勢は、攻撃そのものによる被害ではなく、攻撃への対応に関する風評被害への懸念から、多くの点で変化しているという。

　コンサルティング企業であるPwCのマット・ゴーラム氏（Cyber & Privacy Innovation Instituteのリーダー兼FBIの元アシスタントディレクター）は（注9）、「多くの企業がランサムウェア攻撃によって受けた被害そのものよりも、その後の対応による風評への影響を心配している」と語った。

　SECのゲーリー・ゲンスラー氏（委員長）は、サイバーセキュリティインシデントに関する重大性は新しい概念ではないと公言した。

　SECがインシデントの報告規則を承認した後の2023年7月の声明で、ゲンスラー氏は「企業が火事で工場を失うことも、サイバーセキュリティインシデントで何百万ものファイルを失うことも、投資家にとっては、どちらも重要な出来事である」と語った（注10）。

　SECのエリック・ゲルディング氏（ディレクター）は2023年12月に発表した声明で、インシデント発生後、企業が重大性を直接判断できないことが多いことを認識していると説明した。

　企業はしばしば、第三者のフォレンジック調査官から情報を収集し、攻撃の影響を完全に把握するためには一定の時間を必要とする。

（注1）Cyber risk strategies in hot seat as SEC rules go live（Cybersecurity Dive）
（注2）SEC cybersecurity disclosure rules: Cracking the code on materiality and reporting（KPMG）
（注3）Fidelity National Financial investigating cyberattack that led to service disruption（Cybersecurity Dive）
（注4）Fidelity National Financial restoring operations after containing cyberattack（Cybersecurity Dive）
（注5）Fidelity National Financial still assessing cyberattack impact, but is insured（Cybersecurity Dive）
（注6）Fidelity National Financial cyberattack impacts up to 1.3M customers（Cybersecurity Dive）
（注7）MGM Resorts’ Las Vegas area operations to take $100M hit from cyberattack（Cybersecurity Dive）
（注8）MGM Resorts’ cyberattack headache continues as regulators launch investigations（Cybersecurity Dive）
（注9）What’s new with the July 2023 rule? The specificity of what, how, when and where to disclose a material cyber incident（pwc）
（注10）Statement on Public Company Cybersecurity Disclosures（sec）

原文へのリンク