本文の内容は、2024年2月5日にKAREN WALKER が投稿したブログ(https://sysdig.com/blog/cybersecurity-in-the-age-of-regulation/)を元に日本語に翻訳・再構成した内容となっております。
サイバーセキュリティ侵害の頻繁が増し、その影響も大きくなっています。敵はますます強力になり、防御側も常に侵害の頻度にペースを維持しているわけではありません。脅威の分野における「国民国家」的な団結したグループの数が増えていることを考慮すると、政府がセキュリティの規制においてより大きな役割を果たし始めていることは驚くべきことではありません。
2023 年 7 月 26 日、米国証券取引委員会はサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント開示に関する新しい規則を発行しました。多くの企業は、これらの新しい規則へのコンプライアンスをどのように確保、そして、スピードを上げるためにどのような変更を加える必要があるかについて懸念を抱いています。
Sysdig の CEO、Suresh Vasudevan は、Mandiant の Kevin Mandia、Paul Hastings の Sherrese Smith、Bain Capital Ventures の Enrique Salem、Morgan Franklin Consulting の Scott Jones を含む専門家パネルを主催し、新しい SEC 規則とそのレンズを通してインシデント対応を検討しました。上場企業の取締役会、CEO、CFO にとってのリスクは何なのか。
新しい規制に関する主要な質問に対するパネリストの考えについて読み進めてください。(英語字幕付きのパネルディスカッションを動画もご覧いただけます。)
パネルディスカッションを見る(英語字幕あり)
新しいサイバーセキュリティ開示規則とは何ですか?
SEC の新しい規則は 2 つの部分に要約できます。まず、サイバーセキュリティインシデントを開示するプロセスを標準化します。企業が重大であると判断されるサイバーインシデントを起こした場合、その企業は 4 日以内に 8-K ファイリング (外国企業の場合は 6-K) でそのインシデントを開示する必要があります。この開示には、イベントの性質、範囲、タイミング、および予測される影響が含まれる必要があります。
次に、新しい義務の下、企業は年次 10-K 報告書 (外国企業の場合は 20-F) で追加の開示を行う必要があります。組織は現在、サイバーセキュリティリスクをどのように評価、特定、管理しているか、またセキュリティインシデントを評価するプロセスがどのようなものかを開示する必要があります。
企業はすでに重大なサイバーセキュリティインシデントを報告しているが、個々の組織がインシデントをどのように報告するか、何をいつ報告するか、また株主が実際に必要な情報を入手しているかどうかについては、以前は大きな矛盾がありました。したがって、この新しい義務は根本的な変化を意図したものではありません。その中心的な目的は、企業がすでに行うべき開示に関して一貫した透明性のある基準を確立することです。(ただし、8-K で開示するという要件は新しいものであることに注意してください。これは、報告までの時間が大幅に短縮されることを意味します: わずか 4 営業日です。)
私たちの専門家委員会の中で、Kevin Mandia氏は、自分の会社での侵害に対して SEC の新しい義務を適用しなければならなかったとき、「何も変わりませんでした」とコメントしました。Mandia はいつもと同じプロセスに従うことができましたが、どのようなレポートがどのような期間内に期待されているかをさらに明確にすることができました。
そうは言っても、SEC は今後、サイバーセキュリティの実践に厳しい監視を加え、基準を満たしていない企業の責任を問うことになることを理解することが重要です。たとえば、2020 年に悪名高い大規模侵害に見舞われた SolarWinds を例に挙げてみましょう。SEC は現在、SolarWindsとその CISO を告訴しており、一般に十分に公開されていない不適切なサイバーセキュリティ慣行を行っていたことと、SolarWindsはセキュリティの状態を理由に、顧客や投資家に対して詐欺行為を行いました。
自分の会社が政府を相手に裁判に持ち込まれることを誰も望んでいません。したがって、たとえあなたの会社がサイバーセキュリティインシデントを開示するためのシステムをすでに導入しているとしても、SEC の新しい任務の詳細を必ず理解する必要があります。
何が重大な違反とみなされますか?
CISO が取り組まなければならない問題の 1 つは、インシデントが重要かどうかをどのように判断するかということです。CISO とセキュリティリーダーは、重大なインシデントの可能性を適切にエスカレーションして報告できるプロセスと管理を確立して実装する必要がありますが、CISO は重要性を判断するために財務情報開示に最も近い関係者に依存する必要があります。ここでパネリストの意見は一致していました。CISO は可能な限りその決定を外部委託すべきです。インシデントが重要かどうかは、業界、顧客、特定の企業によって異なり、企業は定量的要因と定性的要因の両方を評価する必要があります。システム、データ、顧客、ビジネス全体に対するインシデントの全体的な影響を評価しながら、これらの異なる基準を乗り越えようとすることは、おそらくほとんどの CISO の専門分野外です。
「弁護士の質問に率直に答えるだけで、4日のティッカーを開始するのが正しい行動である閾値を超えたときに通知してくれるでしょう。」Kevin Mendia 氏、Ballistic Ventures 共同創設者兼戦略パートナー
インシデント対応にはどのようなプロセスが必要ですか?
場合によっては、企業は、重要かどうかに関係なく、インシデントを開示したい場合があります。一例として、パネリストはシマンテック社の pcAnywhere ソースコードの漏洩について議論しました。2009 年、ハッカーはシマンテックにソース コードを 3 年間保有していたと通告し、その後そのコードを公開すると脅迫しました (最終的に2012 年に漏洩しました)。
過去 3 年間にシステムや収益に何の影響もなかったようであることを考えると、シマンテックはこの脅威は重大なインシデントではないと主張することもできたはずです。しかし、リリースされた場合にソースコードに脆弱性が見つかり、シマンテック社の顧客が危険にさらされるリスクは依然として存在していました。
これが、シマンテックがこの脅威を公表するきっかけとなった理由です。シマンテックには顧客に通知する義務があり、顧客が知ってしまえば、情報が公になるのは時間の問題だったからです。「先回りしたほうがいいかもしれません」とパネリストのシェリーズ・スミスは説明する。
企業は今後どのような変化を起こす必要があるのでしょうか?
多くの企業にとって、SEC の新しい規制は、懸念されていたほどセキュリティ インシデントへの対応方法を劇的に変えるものではないかもしれません。 それでも、新しい規則に違反したいと考える企業はありません。 SolarWinds、特に同社の CISO に対する SEC の訴訟は前例のないものであり、サイバーセキュリティの専門家に衝撃を与えました。 これは、ガバナンス、投資、プロセスにおいて何らかの変更が必要となる可能性が高いことを意味します。
当然のことながら、企業は最も一般的な種類の侵害に対するセキュリティに十分な投資を行っているかどうかを確認する必要があります。クラウドでは、これはコントロールプレーンにアクセスするためのトークンのマイニングを意味します。オンプレミスでは、脆弱性の悪用が最も一般的なタイプの侵害です。
企業は、システムが何をしているのか、データと IP がどこに保存されているのか、必要に応じてシステムを停止する方法を理解するために必要なツールにも投資する必要があります。必要な予算とツールを獲得するために、CISO は、セキュリティの最優先事項と、重要なシステムの侵害による潜在的な影響を経営陣と取締役会に確実に説明できるようにしたいと考えています。
前述したように、多くの組織では、CISO やセキュリティ チームを超えてセキュリティインシデントをエスカレーションするための、より明確なプロセスを導入する必要もあります。一般に、適切な人を巻き込むには、あまり長く待つよりも、過剰にコミュニケーションをとる方が良いでしょう。パネリストの Enrique Salem 氏は次のように述べています。「セキュリティ専門家に対する私のアドバイスは、何かが起こっていることを知ったら、それを自分やセキュリティチームだけに留めないでください。」です。明確に定義されたプロセスは、誰もが知る必要があることを、必要なときに確実に知るのに役立ちます。
インシデント対応プロセスを実践する必要があるのはなぜですか?
プロセスがどれほど明確に定義されているとしても、それを実行する練習も必要です。消防訓練と同様に、初めて緊急手順を使用するのが実際の緊急事態になることは望ましくありません。練習することで、組織は使用する予定のプロセスに慣れ、機能しない部分を見つけて修正し、実際のセキュリティ侵害が発生した場合の備えを確保できます。
これらの予行演習は、インシデント対応プロセスに適切な人材を全員確実に参加させるのにも役立ちます。これには、より迅速にエスカレーションする必要がある人や、除外された人で今後含める必要がある人が含まれます。
覚えておくべき最も重要な点は何ですか?
これらすべてに留意すべき多くの情報とアドバイスがあるため、最も重要な点を簡単にまとめます。
- SEC の新しい規制では、企業は重大なサイバー インシデントを 4 日以内に開示する必要があります。これにより、組織のサイバーセキュリティ、ガバナンス、リスク管理に新たな焦点が当てられ、上場企業におけるタイムリーな説明責任が促進されます。
- 開示は 4 日以内に行われなければなりません。
- CISO は、インシデントをいつどのように開示するか、インシデントの影響の全体性、およびインシデントが重大であるとみなすべきかどうかを慎重に評価する必要があります。財務、法務、その他開示委員会のメンバーと緊密に連携することが鍵となります。
- 企業は、自社がどのようなシステムとデータを持っているか、そしてどれがビジネスにとって最も重要であるかを確実に把握する必要があります(あるいは、漏えいしたり盗まれたりするとビジネスを破壊する可能性があります)。
- 企業はまた、CISO やセキュリティチームを超えてエスカレーションする時期と方法について、明確で十分に文書化された管理とプロセスも必要となります。一般に、遅かれ早かれ過剰にコミュニケーションを取り、人々を巻き込む方が良いでしょう。
- 確実に備えるために、組織は予行演習を開催してインシデント対応プロセスを実践し、事後検証を実施して軌道修正する必要があります。
覚えておいてください: あなたの組織には、必要なものがすでに十分に用意されている可能性があります。SEC の新しい義務は、サイバーセキュリティ侵害への対応と開示の必要性を変えるものではありません。それは、いつ、どのように対応するか、何を開示するかについてより明確なルーブリックを与えるだけであり、現代のあらゆるビジネスにとってサイバーセキュリティの重要性はますます高まっていることを思い出させるものです。
もっと詳しく知りたいですか?
パネルディスカッションの全容を見る