Fortune 100企業の取締役会がセキュリティリスクに対する監視を強化中:Cybersecurity Dive
4大監査法人であるEYの調査によると、Fortune 100に名を連ねる企業のCISOは取締役会や経営層との連携を強化している。
EY Center for Board Matters(以下、EY)の調査によると(注1)、米国証券取引委員会(以下、SEC)の新しい開示規則が2023年9月上旬に施行されることを受け、「Fortune 100」企業において、取締役会によるサイバーセキュリティの監視が急速に拡大しているという。
サイバーセキュリティリスクへの関心が高まっている
SECに対する提出書類において5社のうち4社が、経営陣がサイバーセキュリティについて取締役会または委員会に報告する頻度を開示した。ほぼ半数の企業がサイバーセキュリティに関して少なくとも1年に1回は取締役会に報告していた。
取締役会が報告を求める内容にサイバーセキュリティに関する事項が含まれていると開示した企業の割合は2018年には5社のうち1社だったが、現在では5社のうち3社に増加した。
同調査はEYによる6回目の年次調査である。Fortune 100のうち上位75社のプロキシーステートメント年次報告書に基づくもので、2018年の会計年度から2023年5月31日までのデータを使用している。
同調査は近年、株主や顧客、政府規制当局がサイバーセキュリティリスクに対する懸念を強め、それらの事項が取締役会による監視の焦点となっていることを示す。
報告書によると、企業はサイバーリスク関連の情報を取締役会に開示するプロセスを合理化している。Fortune 100に名を連ねる企業の57%は、少なくとも1人の担当者を指名して取締役会にこれらの問題を報告し、ほとんどの場合、CISO(最高情報セキュリティ責任者)またはCIO(最高情報責任者)が指名されている。2018年には、Fortune 100の企業のうち23%しかこのような指名を実施していなかった。
SECの最終規則では、企業に求められるサイバーセキュリティの要件が強化され、インシデントが重大であると判明してから4営業日以内に、その事実を開示することが義務付けられた。さらに規制当局は、企業の取締役会が最初の開示に続く情報をどのように把握しているかも知りたいと考えている。
EY Americas Audit Committee Forumのリーダーであるパット・ニーマン氏は「この規則にはForm 8-Kが完成した時点で必要な情報が判明していなかったり、入手できなかったりした場合のガイダンスも含まれている。登録企業は、取締役会の中でサイバーセキュリティリスクを管理する委員会や小委員会を定める必要がある」と述べている。
「新しい規則は企業に対して、これらの委員会に情報を提供するプロセスを開示するよう求めている」(ニーマン氏)
関連記事
- iOSとAndroidで推奨されるアンチウイルスアプリとは? 一覧を公開
シンガポールサイバーセキュリテイ庁は第5回サイバーセキュリティキャンペーンを開始した。iOSやAndroidで推奨されるアンチウイルスアプリも公開されている。 - 「SMSは40年前の時代遅れの技術」 Googleがセキュリティを問題視
GoogleはSMSを40年前の時代遅れの技術でセキュリティ的に問題があると指摘し、より安全なリッチコミュニケーションサービス(RCS)への移行を提案している。 - サイバー攻撃者視点で“攻めにくいシステム”とは――上野 宣氏が語る
境界型セキュリティの限界が唱えられて久しい中、企業が目指すべき対策とは何か。現役のペネトレーションテスターである上野 宣氏が、サイバー攻撃者の視点で有効なセキュリティ対策を語った。 - 「やらないよりマシ」 徳丸氏が語る“セキュリティチェックシートの問題点”
サイバー攻撃の激化によって企業規模を問わずサプライチェーンリスクが生まれている。発注側と受注側それぞれでこれに向けた効果的な防御策とは何か。徳丸 浩氏がサプライチェーンリスクとセキュリティチェックシート問題について切り込んだ。
© Industry Dive. All rights reserved.