CISOのストレス激増 SECの新インシデント報告ルールが米国企業だけの問題ではないワケ：Cybersecurity Dive

米国証券取引委員会が施行した新たなインシデント報告ルールが米国企業およびそれに関連した企業のCISOやセキュリティ担当者に与える影響とは。

[David Jones，Cybersecurity Dive]

　サイバー事件に関する開示規則が米国証券取引委員会（以下、SEC）によって2023年9月5日（現地時間）に施行され、経営層や取締役会に大きな変化をもたらした。

　これによってCISO（最高情報セキュリティ責任者）は、重要なインシデントに対応するだけでなく、そのインシデントを指揮命令系統に報告し、規制当局に対しても開示しなければならない。

CISOにかかるストレスと重圧はますます高まっている

　CISOの個人的責任および職業的責任はかつてないほど大きくなっている。2022年には、連邦取引委員会によるデータセキュリティ調査が開始される中でランサムウェア攻撃の隠蔽（いんぺい）を手助けしたとして、、Uberの元CSO（最高戦略責任者）が連邦裁判所で有罪判決を受けた（注1）。

　2023年6月にはソフトウェア開発企業であるSolarWindのCFO（最高財務責任者）とCISOが（注2）、マルウェア「Sunburst」による攻撃に関与したとして、SECから民事調査の通知を受けた。

　サイバーセキュリティ事業を営むProofpointにおいて業界に関するソリューションを担当するバイスプレジデントのライアン・ウィット氏は電子メールで「CISOの役割はこれまでも特に容易なものではなかった。重圧や呼び出しを受ける時間帯の広さ、ストレスといった従来の困難に賠償責任や刑事責任まで加わると、CISOの業務は魅力的なものに見えなくなるだろう」と述べている。

　Proofpointが2023年5月に発表した年次報告書「Voice of the CISO」では（注3）、CISOの62％がインシデント対応やコーポレートガバナンスの問題に関連する潜在的な責任を既に懸念していることが示されている。

　SECの新しい規則の下で直面する責任を考えると（注4）、CISOの不安のレベルは上昇傾向にある。

　サイバーセキュリティトレーニングを提供するISC2のCISOであるジョン・フランス氏は電子メールで「SECの開示規則は、CISOに大きな重圧と責任を与え続けている。CISOは個々にこの課題に取り組んでおり、その責任と仕事の難易度が同時に高まっている」と述べている。

新たな開示ルールが定められてもCISOの業務に変わりはない

　新しい規制では、米国の上場企業および米国で取引する外国企業は、インシデントが企業の業績に重大な影響を及ぼすと判断した場合、事件が判明してから4営業日以内に開示する必要がある。

　つまりCISOには財務や法務、人事を含むさまざまな関係者と協力し、インシデントに対する調査および分析の専門家や法律顧問を巻き込み、攻撃の範囲を特定し、事件のコストと範囲について総合的な判断を下すことが期待される。

　ServiceNowの副CISOであるジェフ・ディムーロ氏は「SECの新しい規則がサイバーリスクの管理方法に大きな変更を迫るとは考えていない。SECの新しい規則は、4日間の報告要件を明確にしたにすぎない。いずれにせよ上場企業のCISOはこれらに対応しなければならない」と話す。

　ServiceNowには最高法務責任者やCFO、CTO（最高技術責任者）、直属の上司であるCISO、その他の主要幹部を含むメンバーが参加する倫理運営委員会が存在する。

　本委員会は原則として隔週で開催されるが、サイバーインシデントが発生した場合は臨時で開催され、対応策について協議する。また、同社はHackerOneのプラットフォームを利用して、脆弱（ぜいじゃく）性報奨金制度に関する責任開示のプログラムも提供している（注5）。

　データセキュリティの問題への対応方法について、企業幹部は投資家からの訴訟および消費者からの集団訴訟や、さまざまな規制当局から個人的な責任を問われる可能性がある。

　2022年に250万件の消費者の記録が流出したことを受け、米国連邦取引委員会（以下、FTC）はDrizlyのCEOであるジェームズ・コリー・レル氏に対して、オンライン酒類販売事業および今後参加する新規事業においてデータセキュリティ・プログラムを実施するよう命じた（注6）。

CISOの賠償責任をカバーする保険が求められている

　この新しい裁決は、CISOやその他のリスク管理責任者たちが、自らの業務に関して、さらなる責任保障を得ようとする動きを生んだ。通常、経営層や取締役会のメンバーは役員保険によって賠償責任をカバーされている。

　プロフェッショナルサービスを提供するAonの幹部によると、CISOが補償の対象に含まれるかあるいは既存の保険に追加できるかどうかに関する要請が増えている。

　Aonのマネージングディレクター兼米国地域リーダーであるユリ・ダラル氏は「CISOが役員保険による補償を受けられるかどうかの問題は、企業の規則やどの職種を役員に認定するかに関わる。多くの場合、CISOは役員としての資格を持っている」と説明する。

　「CISOの役割がCFOやCEOの役割のように高い訴訟リスクを持つようになるに連れて、保険の補償範囲を疑問視し、積極的に補償される状況を求めるのは当然だ」（ダラル氏）

　プリンタメーカーのLexmarkでCISOを務めるブライアン・ウィレット氏は「SECの規則は上場企業に適用されるものだが、非上場企業にも影響を与える」と述べた。ある企業が上場企業と取引関係にある場合、データ侵害や攻撃に関連する対応能力の変更が必要になるかもしれない。

　「上場企業の第三者リスク管理プログラムにおいて、パートナー企業は契約に基づいて非常に短い期間での通知を要求される可能性がある。上場しているかどうかに関わらず、パートナー企業は間接的にその要件を満たす必要がある」（ウィレット氏）

（注1）Former Uber CSO avoids prison time for ransomware coverup（Cybersecurity Dive）
（注2）SEC notifies SolarWinds CISO and CFO of possible action in cyber investigation（Cybersecurity Dive）
（注3）CISO anxiety returns amid heightened concern of material cyberattacks（Cybersecurity Dive）
（注4）SEC cyber rules ignite tension between reputation and security risk（Cybersecurity Dive）
（注5）We are committed to full transparency（servicenow）
（注6）FTC orders Drizly to tighten data security practices as 2.5M consumers exposed（Cybersecurity Dive）