「4営業日でインシデントを報告せよ」 上場企業に突き付けられた課題にCISOはどう立ち向かう？

米国証券取引委員会によって設けられた新たな規制が設けられた。上場企業には4営業日以内のセキュリティインシデント報告が義務付けられる。CISOはこれに対してどう立ち回るべきか。

[後藤大地，有限会社オングス]

　コンピュータ情報サイトの「VentureBeat」は2023年7月30日（現地時間、以下同）、CISO（最高情報セキュリティ責任者）が経営幹部や取締役会と連携してサイバーリスクを管理し、対処する方法について紹介した。CISOの職務の難しさを指摘するとともに、米国証券取引委員会（SEC）によって設けられた新たな規制が企業に与える影響についても解説されている。

VentureBeatはCISOが経営幹部や取締役会と連携してサイバーリスクを管理し、対処する方法について紹介した（出典：VentureBeatのWebサイト）

「4営業日でインシデントを報告せよ」　そのときCISOはどう動く？

　VentureBeatによると、CISOは迫りくるサイバー攻撃から会社を守ることが役目のように思われがちだが、実際には取締役会やCEO（最高経営責任者）、管理職といったステークホルダーを業務に巻き込んで効果を発揮させる必要があり、その泥沼も切り抜けなければならないという。

　この状況は、SECが2023年7月26日に設けた新しい規制によってさらに複雑化している。SECは上場企業に対してセキュリティインシデントの詳細を公表することを義務付けた。この規制において企業は重要と判断されたセキュリティインシデントに関して4営業日以内に情報を提出することが求められるようになる。

　この規制は取締役会のセキュリティに関する専門知識を引き上げることや、セキュリティリスクの管理と評価を監督することも求めている。最終決定は2023年10月が予定されており、CISOに残されている時間は少ない。

　VentureBeatはCISOに求められる能力として、サイバーリスクとビジネスリンクの関係を単純化することの重要性を指摘している。ビジネス目標に影響を与える可能性があるセキュリティリスクを明確化しつつ、サイバー攻撃を読み解き、CEOなどに情報を提示する必要がある。セキュリティを取り巻く技術の話は取締役会をはじめとしたリーダーたちには響かないため、別のアプローチが必要だ。

　VentureBeatは「取締役会の場においてCISOが自分の意見を主張できる時間は15〜30分しかないことが多く、膨大な『Microsoft PowerPoint』のプレゼンテーションは効果が低い」と説明し、よりインパクトのあるストリーテリングテクニックや感情を揺さぶる論理的な実例を活用することの重要性を指摘した。