セキュリティ担当者に求められる役割と責任に変化 その背景には何がある?:Cybersecurity Dive
Moody’s Ratingsの報告書によると、CISOをはじめとするサイバーセキュリティ担当者の役割と求められる責任に変化が生じている。この背景にはどのような要因があるのか。
国際的な信用格付け機関であるMoody’s Ratingsの報告書によると(注1)、企業がサイバーガバナンスと監視の必要性を強く認識し始めたことによって、サイバー領域を担当するCISO(最高情報セキュリティ責任者)やその他の幹部の影響力と重要性が増している。
セキュリティ担当者を取り巻く環境の変化 その背景には何があるのか?
サイバーセキュリティマネジャーの約90%は、現在、経営幹部に直接報告している。2021年は、この割合は62%だった。さらに、これらのサイバーセキュリティマネジャーの大半は、企業のCEOに直接報告しているとのことだ。この報告書は、北米の1100社を含む、債券を発行している世界中の2000以上の組織に対する調査に基づいている。セキュリティ担当者の役割と求められる責任にどのような変化が生じているのか。
Moody’s Ratingsのスティーブン・リブレッティ氏(アシスタントバイスプレジデント兼アナリスト)は、電子メールで次のように述べた。
「組織におけるCISOの地位と知名度が向上している。これはサイバーマネジャーから経営幹部への直接的なレポートラインが増え、CEOへのサイバーブリーフィングがより頻繁に実施されるようになったことを意味する」
Moody’s Ratingsは、CISOやその他のサイバーセキュリティマネジャーが経営幹部や取締役会への定期的な情報共有について確認した。報告書によると、サイバーセキュリティマネジャーの約40%は、CEOと毎月ミーティングをしているという。
「幹部とCISOの間の緊密な関係は信用にプラスの要因であり、組織におけるサイバーリスクの認識と理解を促進する。また通常、予算とリソースの増加に対する支援にもつながる」(リブレッティ氏)
2020年のSolarWindsやその他の企業へのマルウェア「Sunburst」によるサプライチェーン攻撃、そして2021年のColonial Pipelineへのランサムウェア攻撃以降、CISOの役割は進化してきた。
ランサムウェア攻撃を隠蔽(いんぺい)したとしてUberの元CISOが起訴されたり(注2)、サイバーリスクについて投資家を欺いたとしてSolarWindsのCISOがSECから起訴されたりするなど(注3)、CISOに対する監視の目は厳しくなっている。
大手企業はCISOにより多くの可視性や責任、監督責任を与えている。米国証券取引委員会(SEC)のインシデント報告規則や、今後の施行が予定されている「Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA)」において求められる迅速な脅威の発見と開示の必要性を考えると、彼らのリーダーシップは重要だ。
SECの規則では、重大なインシデントが判明してから4営業日以内に、企業はSECに報告しなければならない(注4)。CIRCIAでは、30万を超える事業体を含む(電力やガス、鉄道、空港などの)重要インフラプロバイダーは、事件が発生してから72時間以内に連邦当局に重大なインシデントについて報告する必要がある(注5)。最終規則の完成は約18カ月後となる予定だ(注6)。
(注1)Cyber budgets increase, executive overview improves, but challenges lurk under the surface(MOODY'S)
(注2)Former Uber CSO avoids prison time for ransomware coverup(Cybersecurity Dive)
(注3)For the SEC, the fraud case against SolarWinds is a cybersecurity warning shot(Cybersecurity Dive)
(注4)What’s material to the SEC, 3 months into cyber disclosure rules?(Cybersecurity Dive)
(注5)CISA issues notice for long-awaited critical infrastructure reporting requirements(Cybersecurity Dive)
(注6)What CISA wants to see in CIRCIA reports(Cybersecurity Dive)
関連記事
- Rustは「Go」や「C++」と比較して何が優れているのか? Googleエンジニアが語る
Googleは自社の経験を基に、ソフトウェア開発において、プログラミング言語RustがC++と比較して高い生産性と安全性を実現していると報告した。 - Linuxカーネルに特権昇格の脆弱性 急ぎ確認とアップデートを
NSFOCUSはLinuxカーネルの特権昇格の脆弱性(CVE-2024-1086)について詳細情報とPoCツールが公開されたとし、影響を受けるユーザーに対して修正されたバージョンへの迅速なアップデートを呼びかけた。 - Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か
Red Hatは最新バージョンのXZ Utilsに不正アクセスを意図する悪意あるコードが含まれていると発表した。この脆弱性はバージョン5.6.0および5.6.1に存在しCVSSスコアは「10.0」と評価されている。 - さくらインターネットのASNで重大なマルウェア活動を確認 HYAS Infosec調査
HYAS Infosecは週次の脅威インテリジェンスレポートを公開した。同レポートではマルウェア発生源となっている自律システムがまとめられており、その中でさくらインターネットのASNが挙がった。
© Industry Dive. All rights reserved.