米国証券取引委員会（SEC）の新サイバー開示ガイドラインが意味するもの

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第22回目となる今回は、「米国証券取引委員会（SEC）の新サイバー開示ガイドラインが意味するもの」と題して、米国証券取引委員会（SEC）の新しいサイバーセキュリティガイドラインがCISOの皆様にもたらす課題を発見し、自組織における対処法のヒントを説明する、Yaki Faitelson（Varonis共同創業者兼CEO）のブログ記事を紹介します。

2023年12月に施行された米国証券取引委員会 (SEC) のサイバーセキュリティ開示規則は、2024年6月に明確化されました。同ガイドラインは、上場企業に対し、重大性の判断から4営業日以内に「重大な」侵害を報告すること、年次報告書に「サイバーセキュリティ脅威による重大なリスクを評価、特定、管理するための」プロセスを文書化することを義務づけています。

この記事では、これらのガイドラインが最高情報セキュリティ責任者 (CISO) の皆様にもたらす新たな課題と、それらへの対処を考えるためのヒントをいくつかご紹介します。

初めてCISOという肩書きが誕生したのは、デジタルシステムを利用した不正送金を伴う大規模な金融窃盗事件の結果で、就任したのはSteve Katz氏でした。悲しいことに、Steve Katz氏は12月に亡くなりました。彼が業界にもたらした貢献は、ここで語り尽くせないほど多岐にわたります。その中で、彼が残したとされる次の言葉は際立っています：「もし私が自分のやり方を貫くとしたら、現代の肩書きは最高情報セキュリティ責任者ではなく、最高情報リスク責任者になっただろう。サイバーセキュリティはビジネスリスクを管理するためのツールだからだ。」

1990年代当時、セキュリティ対策は、攻撃者を金融システムから排除することに重点を置いていました—サイバー関連の最大のビジネスリスクはそこにあったので、理に適っていました。今日、不正送金は数あるサイバーリスクの一つに過ぎません。CISOはまた、重要システムの稼動を継続させることにも頭を悩ませています。何よりも、彼らはデータについて心配しています。

金銭は回収することも帳消しにすることもできます。重要システムがオフラインになると、短期的に大きな混乱を引き起こす可能性はありますが、復旧は可能です。データの侵害は無かったことにはできません。

サイバービジネスリスクは情報リスク

サイバー空間は、活発な戦場であり、企業はしばしば照準に捕らえられます。情報資産は、営利目的や国家が支援する巧妙な攻撃者によって絶え間なく攻撃に晒されています。これらの資産は、営利目的の攻撃者によっては、暗号通貨を介して容易に収益化することができるものです。

情報資産の保護もますます困難になっています。それらは、必ずしも適切に整理されておらず、定期的に監査されているわけでもありません。情報資産が盗まれてしまった場合、それが明白ではないことが多いため、データ侵害が重大なものかどうかを判断することが困難です。

スノーデンやWikiLeaksの例からもわかるように、データ侵害は人類の歴史の流れを変える可能性すらあります。データ侵害は、社史上でも重要な出来事となることがあるため、上場企業はデータ侵害に対処するための新しいガイドラインを設けています。

新しいガイドラインによりCISOに課される説明責任

SolarWindsとUberのCISOが起訴された件は、サイバーインシデントに対して個人が責任を問われる可能性があるという前例を作りました。かつてCISOは、情報漏洩を報告する必要がある場合、職を失うことを心配していました。いま、CISOは、他の幹部と同様、情報漏洩を報告しなければ個人の賠償責任（さらには実刑）に問われることを心配しなければなりません。そして、そのための時間は僅か4日です。

企業が新開を評価し、重大性を判断する上での課題を考慮すると、四日間の猶予は特に厳しいものになります。CISOの68％は、情報開示の期限を遵守する準備ができていないと考えています。

これはCISOにとって大きな変化です。情報セキュリティには、多くの技術的な素養と体系的な思考が必要とされます。今や、CISOは技術と情報の文脈をビジネスの文脈と重ね合わせて重大性を判断し、重大性と法的影響とを重ね合わせる必要があります。まるで、CISO、最高財務責任者 (CFO) 、法務部門の責任者を同時に兼任する必要があるかのようです。

法的責任の可能性と重大性の判断の困難さから、一部のCISOはサイバーインシデントが「重大」と判断されたか否かに拘わらず報告するようになるのは自然です。当然のことながら、2024年6月に、過剰報告よる投資家の混乱を回避するためのガイドラインを明らかにしました。

ガイドラインでは、Form 8-KのItem 1.05は「重大なサイバーセキュリティインシデント」用に確保されるべきであるとしています。企業は、重大でないサイバーインシデントや「重大であるとまだ判断されていない」サイバーインシデントについては、提出書類の別の項目で自主的に報告することができます。

新しい指針によれば、企業は透明性を確保しながら、ガイドラインの本来の精神を守ることができますが、既にプレッシャーに満ちた仕事に更なるプレッシャーが加わることには変わりありません。これほど大きな責任を負い、個人賠償責任の重荷を背負う必要があるとすると、CISOにはさらに大きな権限、取締役会での大きな存在感、そしておそらくより多くの保険が必要になるでしょう。

重大性の問題

エンドポイントや境界に対する優れた管理策があっても、侵害は後を絶たず、ほぼあらゆる規模の企業が被害を受けています。それだけではデータを保護するには不十分であることは明らかです。更に悪いことに、侵害が発生した場合、企業は何が起こったのかを理解し、その重大性を判断するために、高額なインシデント対応サービスを依頼する必要があります。

重大性を判断するために、今日、最も重要な質問は「機密性の高いデータや規制対象のデータの盗難や紛失はありましたか？」です。残念なことに、この質問に回答することは、ほとんどの経営幹部、取締役会、さらには高額なインシデント対応サービスが認識している以上に難しいものです。

企業は銀行口座の元帳は保管していますが、情報の銀行にあたる機密性の高いデータが保管されているサーバー、データベース、クラウドアプリケーションの台帳は通常保管していません。インシデント発生中にどのデータがアクセスされたのか、あるいはされていないのかの台帳がなければ、CISOは最悪の事態を想定することを強いられるでしょう。現状、データ台帳は、必ずしも企業のITやセキュリティ予算の一部とは限らないので、CISOはこの状況を変更する権限を持たなければなりません。どこかに重要なデータがあったとしても、台帳がなければ重大性を判断することはできません。

新しいガイドラインでは、企業に、情報リスクの継続的な評価、優先順位付け、軽減のためのプロセスを開示することも求めています。重大性と情報リスクに関しては、多くの組織で準備ができていません。

そもそも重要なデータはどこにあるのでしょう？多くの経営幹部は、データセンターやクラウドリソースの中にある多くの「情報の銀行」を評価することの難しさを知ると、驚くでしょう。CISOが、重要なデータがどこに保存されているのか、適切に保護されているのかを確認することができなければ、潜在的な責任は果てしなく大きくなるでしょう。CISOには、データ資産を継続的に評価する権限と手段が必要になります。

短期的には、CISOは経営幹部とより緊密に連携して可視性のギャップを特定し、重大性を判断するためのプロセスを定義しなければなりません。膨大な量のデータを保護し、規制を遵守し、予算の範囲内にとどまるという共通の責任を負う経営幹部は、法務責任者やCFOと緊密に連携する必要があります。

経営幹部がリスクを特定したら、CISOはそのリスクに対処するための十分な権限が必要です。さもなければ、賠償責任や保険料によって、CISO（あなたの会社のCISOかも知れません）が安全な仕事を求めて退職してしまうかも知れません。

この記事はForbesに掲載されたものです。

参考資料

・オリジナル記事（英文）「What The New SEC Cyber Disclosure Guidelines」
https://www.varonis.com/blog/what-the-new-sec-cyber-disclosure-guidelines-mean-for-your-business

・SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies (米国SEC) （英文）
https://www.sec.gov/newsroom/press-releases/2023-139#:~:text=The%20Securities%20and%20Exchange%20Commission,management%2C%20strategy%2C%20and%20governance.

・Hacking Theft of $10 Million From Citibank Revealed (Los Angeles Times) （英文）
https://www.latimes.com/archives/la-xpm-1995-08-19-fi-36656-story.html

・First CISO Steve Katz Passes Away (ISC2) （英文）
https://www.isc2.org/Insights/2023/12/First-CISO-Steve-Katz-Passes-Away

・WikiLeaks (POLITICO) （英文）
https://www.politico.com/news/wikileaks

・SEC Charges SolarWinds and Chief Information Security Officer with Fraud, Internal Control Failures (米国SEC) （英文）
https://www.sec.gov/newsroom/press-releases/2023-227

・Guilty verdict in the Uber breach case makes personal liability real for CISOs (CSO) （英文）
https://www.csoonline.com/article/573871/guilty-verdict-in-the-uber-breach-case-makes-personal-liability-real-for-cisos.html

・CISOs and Their Companies Struggle to Comply With SEC Disclosure Rules (DarkReading) （英文）
https://www.darkreading.com/cybersecurity-operations/cisos-and-their-companies-struggle-to-comply-with-sec-disclosure-rules

ブログ記事著者のご紹介

Yaki Faitelson

Yakiは、Varonisの共同創業者兼CEOであり、経営、戦略的方向性と実行を担当しています。

（翻訳：跡部 靖夫）