本文の内容は、2024年3月27日に MICHAEL ISBITSKI が投稿したブログ(https://sysdig.com/blog/assess-your-readiness-for-the-sec-cybersecurity-disclosure-rules)を元に日本語に翻訳・再構成した内容となっております。
SECの新しい「サイバーセキュリティ・リスク管理、戦略、ガバナンス、およびインシデント開示」規則(2023年7月26日発行)により、上場企業、特に中小企業は、SECの要件と一致するセキュリティプログラムを運営するのに十分なサイバーセキュリティの専門知識があるかどうかを気にかけています。SEC は、重要なリスクと、特定されたリスクを組織がどのように軽減しているかを投資家にタイムリーに知らせるべきであるという、以前から伝えられている期待を拡大するものであることを忘れてはなりません。そのためには、企業は基本的なセキュリティのベストプラクティスに従い、効果的なサイバーセキュリティプログラムを維持する必要があります。
多くのセキュリティ実務者やリーダーが証言しているように、組織が基本的なセキュリティ衛生を守らなかった場合、セキュリティ・インシデントや侵害が発生し、公表しなければならなくなります。歴史的に見ても、一部のセキュリティ・インシデントが壊滅的な打撃を与え、被害を受けた企業の崩壊につながることがあります。組織によっては、サイバーセキュリティ・プログラムをサポートするための適切な人材、プロセス、または技術をすべて備えているかどうかでつまずくことがあります。 Sysdig は、2023 年 4 月に LinkedIn Live セッション「新しい SEC サイバー攻撃開示ガイドラインに対する準備はできていますか?」でこのトピックを詳しく取り上げました。」
SECによるサイバーセキュリティ開示規則の最終決定は、すでに知っているはずのことを教師が小テストで出題するようなものです。
SEC 規則は、上場企業のサイバーセキュリティの 3 つの中核要素を改善することに重点を置いています。
- サイバーセキュリティの専門知識の開示
- サイバーセキュリティ戦略、ガバナンス、リスク管理プロセスの維持
- 重大なサイバーセキュリティインシデントは 4 営業日以内に開示
これらの SEC 規則は新しいものではありません。これらは 2011 年、2018 年に再規定され、洗練され、そして 2023 年に再度修正されました。SEC は再び会議を開き、2023 年 7 月 26 日に 規則を最終決定 しました。最近最終化された SEC 開示規則のほとんどの側面は変わっていませんが、取締役会のサイバーセキュリティ専門知識の要件は最終的に緩和されました。すべての上場企業、および上場を目指す企業は遵守する必要があります。ソフトウェアのサプライチェーンのおかげで、これは民間企業にも急速に広がり、影響を及ぼします。
なぜSECがこのようなことをする必要があるのかと思われるかもしれません。サイバーセキュリティを標準化し推進するために、業界は多くのことを行ってきたように見えます。簡単に言えば、投資家は、投資したい組織のサイバーセキュリティ・プログラムとセキュリティ・インシデントの履歴を評価できる必要があるということです。これは、投資を行う前に安定性の尺度として上場企業の財務状況を評価するのと同じです。この文脈では、「サイバーセキュリティ」の開示規則は、上場企業に財務報告に係る内部統制(ICFR)の状況や、これらの統制の有効性を損なうような重大な弱点がないかどうかを開示することを義務付けたサーベンス・オクスリー法に似ています。SolarWindsのような出来事は、脆弱性やセキュリティインシデントが広範囲に影響を及ぼすことを示しました。SECは、投資家が十分な情報に基づいた投資判断を下せるよう、タイムリーで正確かつ完全な情報が提供されるよう取り組んでいます。これは、特に情報漏えいに関連する財務上のリスクを考えると、サイバーセキュリティの姿勢と同様に、金融についても当てはまるはずです。
SEC 開示規則がどのような影響を与えるかを確認する
CISO はセキュリティチームを率い、組織のセキュリティプログラムを監督します。こうした取り組みの質は、企業の財務に重大な影響を与える可能性があります。注目を集める事件と SEC の新しいサイバーセキュリティ規則は、サイバーセキュリティが明らかに経営幹部および取締役会レベルの問題であることを意味します。 SECはすでに企業に対し、サイバーセキュリティインシデントに関する関連情報を四半期または年次報告書で開示するよう求めています。これは、重大なサイバーセキュリティインシデントに対して 8-K の提出を義務付ける開示規則が最終決定される前のことでした。組織が導入するセキュリティプログラムはすべて、監査可能で防御可能である必要があります。 CFO は会社の財務状況を知っています。同様に、CISO (または CIO などの適切な代替者) は、組織のセキュリティリスクを常に把握しておく必要があります。複数の役割、特に CISO と経営幹部チームは、SEC の新しい規則の開示要件が適切に満たされていることを確認するために、直接的なサイバーセキュリティの専門知識、および/または強力なガバナンスおよび監視スキルのいずれかを必要とします。
理想的には、取締役会メンバーは、より大きなガバナンス役割の一環としてサイバーセキュリティプログラムを監督するために必要な知識も備えている必要があります。取締役会の専門知識要件は規則の最終版で緩和されたが、合理的な投資家であれば、専門知識のない取締役会は監督義務を果たせない可能性があると推論できるでしょう。 CISO が取締役会に参加する必要はありませんが、CISO または指定された代替者が自由かつ透明性を持ってコミュニケーションできることが期待されています。 CISO は、会社のビジネス、業界、および一般的な運営状況を理解する必要があります。 SEC によって明確に概要が定められてはいませんが、CISO が取締役会での議論を効果的に行うためには、最も重要なセキュリティリスクを適切なビジネスコンテキストとともに伝えることができる必要があります。
その他の経営幹部チーム、および取締役会は、サイバーセキュリティプログラムが適切に管理され、組織にとっての重大なリスクが投資家やその他の利害関係者に確実に伝達されるよう、適切なレベルのテクノロジーに対する理解を持つことが理想的です。場合によっては、取締役会に対する助言機能を、認定技術専門家(Qualified Technology Expert:QTE)として機能する信頼できる第三者に委託することもできます。会社と取締役会のサイバーセキュリティに関する専門知識の状況は、SECに開示する必要があります。
SEC 開示規則は、小規模組織または CISO を持たない組織向けの規定を提供しています。組織の構造とリソースによっては、CIO がサイバーセキュリティの責任を負うことも珍しくありません。他の申告要件を満たさなかった場合と同様に、SECの執行措置には、金銭的罰金、虚偽の陳述をした幹部の問責、特にひどい違反をした企業の上場廃止などが含まれる可能性がある。これらの結果はすべて、ほとんどのサイバー攻撃よりもはるかに悪いものです。
言語の違いにより、企業はコミュニケーションの方法についてより慎重になる必要があります。 CFO にとっての「リスク」は、CISO にとっての「リスク」とは大きく異なります。前者は財務リスクの観点から考えます。 CISO は、サイバーセキュリティ リスクと、それが実現した場合に組織にどのような影響を与える可能性があるかを考慮します。金融関係者にとっての「セキュリティ」というと、すべてを保護するためのテクノロジーやコントロールではなく、株式や債券の概念が呼び出される場合があります。また、セキュリティリーダーは、脆弱性の数値だけに頼るのではなく、セキュリティリスクがビジネスに与える潜在的な影響をより適切に把握する必要があります。セキュリティ担当者とリーダーは、すべての関係者が同じ言葉を話すように、迅速に「ビジネスを運営」する必要があります。
重要性のグレーゾーンを越えて
重要性の閾値は、組織、取締役会、経営陣にかなりの調整の余地を与えます。重大なサイバーインシデントとは何でしょうか?米国最高裁判所が解釈した会計上の誤りに関する重要な事実の定義を検討することで、ある程度の明確化が得られます。
“合理的な投資家にとって、その事実が入手可能な情報の「総合的な組み合わせ」を著しく変化させたと見なされた可能性が高いこと”。
重要性は、定量的または定性的要因によって影響を受ける可能性があります。財務上の重要性は、資産、負債、収入、または支出の数パーセントという一般に定義された条件によって決定される場合があります。サイバーセキュリティの観点から見ると、テクノロジーの障害が重要性の財務指標にどのような影響を与えるかを理解するために、組織がビジネス影響分析 (BIA) を実行していることが前提となります。
組織がこの質問に適切かつ効果的に答えるために、すべてのテクノロジーに対して全面的にリスク管理と BIA を実行していることはほとんどありません。さらに、組織はすべての運用環境に対するエンドツーエンドの可視性を必要とし、その可視性はほぼリアルタイムである必要もあります。多くの組織では、そのイメージは特定時点のものであったり、手動で作成されたりします。そして最後に、組織は、ビジネスへの影響を評価し、インシデントが発生した場合にその重要性を判断するために、運用環境内で十分なテレメトリを継続的に収集する必要があります。サービスやデータの重要性や機密性を推定するだけでは十分ではありません。これらのラベルは、データやレコードの消費パターンや総量に基づいて時間の経過とともに変化する可能性があるためです。
サイバーセキュリティ インシデントの重大性を判断する際に役立つ質問には、次のようなものがあります。
- インシデントの開示は投資家の考えを変えるでしょうか?
- 特定のサイバーセキュリティインシデントをどのように定量化または認定できるでしょうか?
- ブランドや評判のリスクなど、収益の損失や資産コストを超えた影響を考慮していますか?
- サイバーリスクに関する取締役会との議論に備えるには、数字の羅列ではなく、どのような準備が必要でしょうか。
- あなたの組織はサイバーリスクを特定して報告する準備ができていますか?
- テクニカルリスクやサイバーリスクをオペレーショナルリスクやエンタープライズリスクにどのように変換するのか?
サイバーインシデントの重要性を評価するために、適切なセキュリティ技術やガバナンス、開示プロセスに取り組む中で、多くの組織にとって成長痛の時期が続くと思われます。事象の解釈に主観が入るかどうかにかかわらず、調査中であってもインシデントを迅速に報告することが組織の最善の利益につながります。重要性を完全に評価するには時間がかかるでしょうし、追加のフォレンジック分析によって後で明らかになるかもしれません。迅速な開示を怠ると、事後的にSECによる調査が行われ、事前に提出された情報(またはその欠如)が精査され、ウェルズノーティスが発行される可能性があります。2020年のSUNBURSTの情報漏えいの場合、SolarWindsは問題の通知を受けてから2日後に開示し、SECの開示要件に準拠しました。しかし、CFOとCISOを含む現・元役員および従業員は、最近提出されたForm 8-Kにより現在も調査中です。
上場企業が次にとるべきステップ
SEC 上場会社サイバーセキュリティ開示最終規則を確認し 、次の日付に注目してください。
- すべての上場企業は、 2023 年 12 月 15 日から始まるサイバーセキュリティのプロセスと専門知識に関する年次開示要件に準拠する必要があります。
- 上場企業は、 2023 年 12 月 18 日からインシデント開示要件に準拠する必要があります
- 小規模企業はインシデント開示要件の延長を受ける資格があり、 2024 年 6 月 15 日までに準拠する必要があります。
サイバーセキュリティのポスチャーは企業によって大きく異なるため、ここではガイダンスを一般化します。順不同で、始めるためのいくつかのアイデアを次に示します。
- 必要に応じてリスク管理プログラムを強化し、すべての運用環境でのサイバー インシデントを迅速に検出して対応します。範囲には、従来のデータセンターだけでなく、クラウドホスト環境やクラウドネイティブ環境も含まれます。 SEC 開示規則についてすでに質問している場合は、おそらく時代の先を行っているでしょう。
- 関連する標準やフレームワークを含め、サイバーセキュリティ プログラムで行っていることを文書化し、必要に応じて Form 10-K および Form 10-Q で情報を開示します。
- 組織のセキュリティプログラムとその機能の広さと深さを評価する、信頼できる第三者機関による正式なセキュリティプログラム評価を受けることを検討してください。この評価をセキュリティフレームワークまたは標準に関連付けます。
- サイバーセキュリティプログラムのアプローチがまだ決まっていない場合は、今すぐ始めてください。 NIST CSF および NIST SP 800–53 は、ISO 27000 シリーズと同様に、多くの組織の出発点です。セキュリティ要件は、業種や分野、適用される規制によっても異なります。
- サイバーセキュリティの専門知識が豊富にある場所を調べ、必要に応じて人材をシフトしたり、ギャップを埋めるために必要に応じて採用したりします。
- DFIR プロセスとハンドブックをレビューして、ビジネスへの影響を評価し、特定のインシデントの重要性を判断するために関連するビジネスの詳細が確実に収集されていることを確認します。
- セキュリティツールを再検討して、ランタイムの洞察からも情報を得る、すべてのオペレーティング環境に対するエンドツーエンドのリアルタイムの可視性を確実に提供します (つまり、シフトレフトアプローチのみに依存することはできません)。これにより、実際の攻撃対象領域を評価し、重要な資産がどこに存在するかを判断し、効果的にリスクの優先順位を付けることが可能になります。
- 脅威の検出および対応機能により、攻撃を迅速に特定できるようになります。サイバーインシデントの範囲、ビジネスへの影響、組織への重要性を理解するには、関連するテレメトリを迅速に収集できなければなりません。
- インシデント発生後に業務を迅速に復旧するための回復メカニズムが適切であることを検証し、サイバー回復力を投資家に実証します。
- インシデント対応ワークフローを、予想される SecOps コンポーネントを超えて拡張し、財務や法務などの他の関連ビジネス チームを含めます。企業へのビジネスへの影響と重要性を説明するのに役立つ十分なデータが収集されたら、これらのチームを DFIR の適切な時点に含める必要があります。セキュリティ専門家は、システム侵害やデータ侵害につながる可能性のある脆弱性の重大度、インフラストラクチャーの構成ミス、悪用可能性、ネットワークの露出などの要素を含む技術的なレンズからセキュリティインシデントを捉える傾向が高くなります。
サイバーセキュリティの取り組みが軌道に乗らないのは、チームが最善のアプローチを決定するのに行き詰まるからです。業界の同業他社と比較するだけでなく、多くの企業はサイバーセキュリティの成熟度が低いことも予測してください。SEC 規則は、時間をかけてサイバーセキュリティに関する透明性を高めるのに役立ちます。SEC の第一の使命は投資家の保護であることを忘れないでください。これは、成功を収めている組織の顧客第一主義の考え方からすれば、決して大げさなことではありません。この場合、SEC は別のタイプの顧客である投資家に代わってこの情報を要求しているのです。
組織がサイバーインシデントに見舞われた場合にとるべき手順
サイバーセキュリティプログラムの多くの要素に対する権限と責任は、セキュリティ部門や IT 部門だけにとどまりません。上場組織がサイバーセキュリティインシデントに見舞われた場合、考慮すべき手順は次のとおりです。
- CFO または弁護士と協力して、インシデントを知った時点から 4 営業日以内に Form 8-K を SEC に提出し、それが重大なものであることを確認してください。
- 企業コミュニケーションチームと危機コミュニケーションチームを連携させて、潜在的なメディアの否定的な反応に先手を打ってください。迅速な対応と透明性が鍵となります。
- 投資家や販売見込み客がインシデントの詳細を求め、組織のサイバーセキュリティプログラムの成熟度や対応および回復能力に疑問を抱く可能性があるため、販売戦略を準備しておきます。
- 組織とそのデータへの影響に関する顧客の質問に備えてください。また、組織のサイバーセキュリティアプローチの有効性に疑問がある場合には、契約上の合意を再考することも考えられます。ここでの顧客には、エンド ユーザーだけでなく、パートナーやサプライヤーも含まれる場合があります。
- 訴訟の準備をします。取締役会メンバーと経営陣は、インシデントや違反後の代表訴訟で頻繁に名前が挙げられます。組織の法務チームと連携し、何が起こったのかを最新の状態に報告するようにしてください。
注: この記事は、SolarWinds による SUNBURST 侵害の最初の開示と SEC の調査の現在の状況を明確にするために、2023 年 8 月 24 日に改訂されました。
Sources:
https://www.sec.gov/news/statement/munter-statement-assessing-materiality-030922
https://www.sec.gov/rules/final/2023/33-11216.pdf
https://www.sec.gov/news/press-release/2023-139
この記事はもともとMediumに公開されたものです。