本文の内容は、2024年3月27日に MICHAEL ISBITSKI が投稿したブログ(https://sysdig.com/blog/the-sec-cybersecurity-disclosure-rules-our-take)を元に日本語に翻訳・再構成した内容となっております。
SEC サイバーセキュリティ開示規則は、組織内のサイバーセキュリティの問題に焦点を当てています。規則および関連するガイダンスの核心は、ブログ記事「SECのサイバーセキュリティ開示規則について、現在の準備状況を評価」に記載されています。SECのサイバーセキュリティ開示規則は、サイバーセキュリティプログラムの基本であるガバナンスとリスク管理、関連する専門知識、タイムリーなインシデント開示の重要性についての機運を高めるのに役立つはずです。この開示規則は、サイバーセキュリティに内在するすべての課題に対処するものではありません。しかし、SEC規則が与える影響と、さらなる問題が発生する可能性のある場所については、さらに検討する価値があります。以下では、このテーマに関する数多くの資料を咀嚼し、グレーゾーンについて私の経験と照らし合わせた上で、私が得たものをご紹介します。
私たちがここにたどり着いた経緯
私は実践者、リーダー、アドバイザーとして長年にわたり、さまざまな成熟段階にある数え切れないほどのサイバーセキュリティプログラムを目撃してきました。私は、壊れたプロセスやテクノロジーの不適切な使用を観察するよりも、適切で成熟したアプローチを見たときの方がショックを受けます。助言による議論は、「愚かな質問はありません」または「私はすべてを見ました。恥ずかしがらないでください」などの免責事項から始まることがよくありました。透明性とレベル設定は、効果的に指導し、誰かの改善を支援できるように、現状を理解する上で重要です。
選択肢があれば、多くの組織はセキュリティのために最低限のことは行うだろうという痛ましい真実があります。準拠するようにセキュリティプログラムを調整しますか?それともあらゆる種類の脅威を軽減する包括的なプログラムを構築しますか?プログラムは両方のアプローチを念頭に置いて設計できますが、意思決定者は一方を他方よりも重視する場合があります。多くの場合、セキュリティ リスクが長引くにもかかわらず、規制の反発を恐れて、準拠したアプローチが選択されます。
効果的なセキュリティが推奨されることはよくありますが、義務付けられることはほとんどありません。
成熟したサイバーセキュリティ プログラムは、実装と運用が非常に困難です。また、費用がかかる場合もあります。このような結果が技術の弱さによって引き起こされることはほとんどありません。むしろ、不十分なセキュリティは、情報不足、政治の対立、予算の削減、資源の制約、人間の心理など、他の多くの要因の副産物です。
ルールがサイバーセキュリティをサポートしている場合
セキュリティの専門知識、ガバナンスとリスク管理プロセス、重大なインシデントの開示による透明性の要求は、パフォーマンスの低い組織のリーダーシップの下で火をつけるのに役立つはずです。現実的には、これにより、国家のサイバーセキュリティの強化、ソフトウェアサプライチェーンのセキュリティの向上、セキュリティインシデントによる影響の軽減、その結果として生じる一時的な市場のボラティリティの軽減など、他のプラスの効果も生み出されるはずです。
CISOがついにテーブルに着くかもしれない
セキュリティ・リーダーからしばしば表明される懸念は、セキュリティ対策が耳に入らなかったり、資金不足に陥ったりして、セキュリティ・プログラムが効果的に運用されないことです。SEC 規則は、CISO やセキュリティ・リーダーが取締役会に出席しやすくするために役立ちます。SEC 規則は、組織内の取締役会、経営幹部、セキュリティ・リーダーの意識を高め、コミュニケーションを改善するのに役立つはずです。
この規則は、サイバーセキュリティに関する認識を新たにし、あらゆる種類の組織がサイバーセキュリティプログラムを確立する必要性を再認識するのにも役立ちました。効果的なプログラムでは、組織がどのように自らを統治し、リスク分析、リスク管理、インシデント対応などにアプローチするかを詳しく説明する必要があります。これは、重要なシステムを保護し、機密データを保護し、データ侵害を引き起こす可能性のあるセキュリティインシデントに迅速に対応するために必要なものが組織に備わっているという投資家 (および間接的に顧客や従業員) の信頼を高めることにも役立ちます。
知的財産と脅威情報の保護
当初の批判にもかかわらず、最終規則は、アーキテクチャー、リスク管理、脅威の検出と対応プロセスに関して企業の知的財産を保護するのに役立ちます。特定の重要なインシデントで何が起こったのか、または組織がどのように修復および回復したのかについての明確な詳細を開示する必要はありません。これは、ルール案へのフィードバックで見られた大きな懸念点でした。技術的な詳細を公開すると、システムやセキュリティコントロールの内部動作の詳細を提供することで、影響を受ける上場企業を悪用する方法を攻撃者に知らせる可能性があります。また、脅威インテリジェンス コミュニティや情報共有に他の悪影響を与える可能性もあります。
ルールが胸焼けを引き起こす場所
SEC は規則の公開レビュー中に表明された懸念の多くに対処することができましたが、すべての企業が満足するわけではありません。すでに人員配置や予算の問題に直面している中小規模の組織では、その影響がさらに大きくなる可能性があります。小規模組織向けに、開示する必要がある情報や準拠するために割り当てられる時間についての規定が設けられたが、痛みは依然として残るでしょう。
情報開示の窓はすでにきつく、さらにきつくなっています
特定の重大なサイバーセキュリティインシデントの詳細をすべて明らかにするには、4 日間ではきついです。企業が法執行機関または FBI と協力している場合、このスケジュールは延長される可能性もあります。ただし、インシデントの発生を検出することは一面にすぎず、おそらく最も困難ではありません。組織はまた、どのような損害が発生したか、およびインシデントが重大な影響を与えたかどうかを評価し、それを SEC に開示する必要があります。クラウドではサイバーインシデントが急速に発生します。ほとんどの組織にとって 4 日間は非常に高いハードルとなります。
この規則は、企業がセキュリティインシデントの兆候を最初に発見した時点から開示しないことを奨励する可能性があります。企業が重要性を適切に評価するには、さらに時間がかかる可能性があります。企業は攻撃者に密告したくない場合もあります。帰属を特定したり、攻撃チェーンを完全に理解したりするために、時間をかけて攻撃者の戦術、テクニック、手順を観察することで得られる知識があります。情報の開示により、デジタル フォレンジックの取り組みが複雑になったり、インシデント対応プロセスが阻害されたりする可能性もあります。また、企業が早期に開示することで世間の厳しい監視を招き、株価に悪影響を与える可能性もあります。
重要性はまだ解釈の余地があります
重要性は主観的なものと見なすことができ、重要ではないとみなしたインシデントを組織に開示する余地を与えます。重要性の決定に関するガイダンスは、通常、財務的要因と監査人の観点によって定義されます。サイバーセキュリティは別の動物であり、企業は金銭的な罰金やメディアの否定的な注目を避けるために、リスクやビジネスへの影響を軽視することが知られています。
小規模なセキュリティインシデントだけでは重要ではないとみなされるかもしれませんが、それらのインシデントが全体として重要になります。攻撃者は、場合によっては長期間にわたる連鎖攻撃手法を使用する可能性があり、実際に使用しています。重要性が変化したかどうかを知るには、インシデントデータを長期にわたって追跡、関連付け、再評価する必要があります。
サイバーセキュリティの専門知識をより適切に定義する必要がある
これは、長年の教育、訓練、見習い、実地経験を必要とする他の(多くの場合、高度に規制された)職業とは異なります。SEC 規則は、管理職 (CISO) の役割について最低限の明確性を示しています。専門知識には、「例えば、サイバーセキュリティに関する実務経験、関連する学位や資格、サイバーセキュリティに関する知識、スキル、その他の経歴が含まれます。実務家にとって、これらの記述はこれ以上ないほど曖昧であり、サイバーセキュリティの広さと深さは膨大です。明確な技術的詳細がなければ、経験を誇張することは簡単です。実務者とリーダーには明確な区別がありますが、インシデントを適切に評価し、プログラムを実行するには、たとえ他のチームがその作業を担当していたとしても、やはり技術的な理解が必要です。デジタルディレクターネットワーク(DDN)のような組織は、このような経験測定に客観性を持たせ、資格のある技術専門家(QTE)を、自らの専門知識を補強したいと考えている取締役会につなげることに取り組んでいます。
経営陣は、取締役会の監視を回避したり、年次SEC提出書類を迅速に完成させたりするために、セキュリティに関する専門知識を誇張することがあります。どのようなトレーニングや経験がサイバーセキュリティの有効性を構成するのかを定義することは、知識やスキルが多くの手段から得られるため、難しい命題です。取締役会のサイバー専門知識の要件は、規則の最終版では削除されました。業界のベテランの多くは、取締役会を含む全員が同じ言葉で話すことで、企業はサイバーセキュリティにおいてより効果的になると述べています。取締役会は、サイバーイニシアチブの優先順位を適切に決めないことで、企業を危険な領域へと導くことができる権限を持っています。サイバーセキュリティに精通していないと、経営陣や会社のサイバーセキュリティプログラムの能力を迅速に評価するためであっても、リスク分析が阻害される可能性があります。
CISO の役割も、C-Suite の中では比較的新しいものです。組織によっては、CISO を正式に配置せず、バーチャル CISO やパートタイム CISO を使用していたり、CIO に職務を委任していたりします。小規模な組織では、人員やサイバーリスクに対する認識から、CIOを置かないこともあります。小規模な企業では、企業のサイバーセキュリティプログラムに関する主張の質や正確性に関して、収穫が少なくなる可能性が高いでしょう。
サイバーセキュリティのガバナンスとリスク管理にはベースラインが必要
サイバーセキュリティおよびリスク管理プログラムに関して組織が従うべき、または従う必要がある標準については、規範性が欠けています。コンセンサスは、NIST CSF のようなフレームワークや NIST SP 800–53 のような標準を指す可能性がありますが、これらの選択に影響を与える他の幅広いガイダンス、標準、ポリシーが存在します。世論の法廷もこれに影響を与える可能性がある。この曖昧さは、サイバーセキュリティプログラムの 1 つまたは複数の側面を具体化するためにより多くの時間を必要とする一部の企業にとっては恩恵となる場合もあります。率直に言って、多くの組織は、セキュリティインシデントを効果的に防止、検出、対応するために、サイバーセキュリティの成熟化にさらに多くの時間とリソースを投資する必要があります。 「善の尺度とは何ですか?」そして「どこから始めましょうか?」昔も今もよくある質問です。多くの実践者やリーダーは、どこから始めればよいのか分かりません。あるいは、長期にわたる成熟度モデルをレビューしたり、それらのモデルに照らして自社のプロセスを客観的に検証したりするための時間や専門知識がほとんどありません。
経済が不確実な時代にコンプライアンスによりコストが上昇する
ガバナンス、リスク、コンプライアンスの取り組みが、多くの場合、手動の人間主導の時間のかかるプロセスで構成されていることは周知の事実です。これはコスト削減努力に反するものです。
ビジネスにおいてコストは常に阻害要因となりますが、特にサイバーセキュリティや現在のマクロ経済状況においてはその傾向が顕著です。すべてではないにしても、ほとんどの企業は資本と営業経費を再評価する必要があります。人員を削減する必要があるかもしれません。成熟した組織は、セキュリティの検証と証明 (つまり、継続的なコンプライアンス) の自動化を急速に強化しています。他にも、企業の人員配置や運営方法、特に Bard や ChatGPT などの LLM の急速な導入に大きな影響を与える重要な技術力が働いています。
歴史的に、セキュリティツールは不十分または断片的であり、組織は依然として侵害されており、経営者は支出の方向性を再検討する必要があります。一部の組織は、後に SEC による調査を受けるリスクを承知で、費用のかかるリスク管理やガバナンスのプロセスを放棄して、競争力を維持することに重点を置くことを選択する場合があります。組織は、どこにどのように支出するか、またセキュリティツールがサイバーリスクを軽減するために運用環境に関する十分な洞察を提供するかどうかを調査することで、より良いサービスを提供できるでしょう。
疑問が残るところ
SEC サイバーセキュリティ開示規則は、実際に施行されるにつれて修正が加えられる可能性がありますが、連邦官報に公表されてから 30 日後に最終的かつ有効とみなされます。これらの懸念の一部は、 規則案の検討ラウンド中に 表明され、 2023 年 7 月 26 日の SEC 公開委員会会議中に聞かれました。サイバーセキュリティプログラムを実装または改良し、SEC の開示要件を遵守する際には、これらの情報に注目する価値があります。
情報開示の質は低下するのでしょうか?
サイバーイベントの詳細を隠蔽したり、サイバーセキュリティのリスクを軽視したりすることはよくあることです。これは重要性に直接影響を与える可能性があり、それ自体が主観的なものになる可能性があります。多くの公共団体は、財務報告に係る内部統制 (ICFR) のステータスを含む、SEC の開示義務のタイミングと質に関して、今日すでに適切な仕事を行っていません。サイバーセキュリティ開示規則によって状況はさらに悪化する可能性があります。組織は、一貫性を維持し、過度の精査を招かないように情報を最小限に抑えるために、SEC フォームへの回答をテンプレート化します。このため、このルールが本当に投資家に利益をもたらしているのか、それともすべてのデータが SEC のシステムである電子データ収集、分析、検索 ( EDGAR ) に放り込まれ、ふるいにかけなければならない新たなデータの山が生じる結果となっているのかという疑問が生じます。
SEC だけでなく、CISA、DOJ、FBI などの他の機関が、取り込み、関連付け、管理、検証する必要がある情報が大量に発生する可能性があります。この一部は SEC サイバーセキュリティ開示規則の副産物ですが、国家サイバーセキュリティ戦略の全体像の一部でもあります。これらすべての連邦機関はどのように歩調を合わせていくのでしょうか?また、人員を増強する必要があるのでしょうか?米国は本質的に、プログラムの多くの側面を一元化し、ガバナンスと監視の強化を促進するという、多くの安全保障プログラムが失敗していることを試みています。ほとんどのサイバーセキュリティプログラムは、規模を拡大するためにセキュリティガードレールと合理化されたガバナンスを備えた分散化の方向に進んでいます。
矛盾する開示スケジュールをどのように合理化しますか?
インシデントの開示に関して、組織はさまざまなスケジュールに直面しています。 SEC は重大な事件を 4 営業日または 96 時間以内に開示することを求めています。 2022 年の重要インフラに関するサイバー インシデント報告法では、ランサムウェアの支払いについては 72 時間以内と 24 時間以内の開示が義務付けられています。財務省外国資産管理局(OFAC)は、マネーロンダリング対策およびテロ資金供与(AML/CFT)対策の一環として、組織がランサムウェアの活動と支払いをできるだけ早く報告することを期待しています。どの情報を誰に、どのくらい早く報告しなければならないかについて、組織が混乱することは間違いありません。
また、国家安全保障上のリスクを伴うセキュリティインシデントの一環として、公的機関が司法省と協力する場合の例外プロセスについても曖昧さが残ります。このプロセスは効果的にどのように見えるのでしょうか?セキュリティインシデントのリスクがそれほど高まっているかどうかを、組織がどうやって知ることができるのでしょうか?権威主義的な国家内で活動する脅威行為者への攻撃帰属は、適格な判断材料として機能するのでしょうか?また、企業はこのリスク判定に役立つような追加的なインテリジェンスにアクセスできるのでしょうか?
企業はサプライヤーのリスクに対してどの程度責任を負いますか?
すべての組織は、ソフトウェア サプライチェーンを構成するパートナーおよびサプライヤーのエコシステムの一部であり、リスクが増大します。業界に関係なく、ビジネスのすべての側面を独立して運営する企業はなく、単独でサービスを構築して提供することもありません。小規模な組織では、効果的なサイバーセキュリティプログラムを実行するために必要なリソースがすべて不足しているため、セキュリティリスクが大きくなることがよくあります。最終規則の一部として延長や例外が認められる場合もありますが、それでも開示することが求められます。
SEC の規則が直接適用される小規模な組織も上場していない場合がありますが、この種の非公開企業は、パートナーやサプライヤーが開示する必要がある場合、すぐに SEC 開示フォームの世界に押し込まれる可能性があります。非上場ソフトウェア ベンダーは、この影響を最初に受ける企業の 1 つである可能性があります。オープンソースソフトウェアプロジェクトの場合、状況はさらに悪化します。最も成熟したプロジェクトを除くすべてのプロジェクトには、何らかのガバナンスが欠如しており、ましてや SEC の開示に必要な適切な情報を提供する能力を備えたスタッフは存在しません。
サイバーインシデントの火の海に溺れないためには?
多くの企業は、広範囲にわたるセキュリティインシデントを定期的に、時には大量に経験しています。ほとんどのセキュリティ担当者は、「重大なインシデント」とは、権限昇格、リモート コード実行、システム侵害、アカウント乗っ取り、データ侵害、またはその他の技術的な結果をもたらすセキュリティ イベントを意味すると解釈します。これは会計界の定義や SEC 開示規則の意図とは異なります。
セキュリティチームは、特定のセキュリティイベントがビジネスに影響を与えたのか、それとも重要性に影響を与える可能性があるのかを理解するために、十分なイベントデータを収集する必要があります。この分析には、従来のサイバーセキュリティ専門家の考え方を超えた、多くの精神的な飛躍が必要です。重要性を判断するためにセキュリティインシデントをトリアージするためのプロセスとしきい値が明確に定義されていないと、セキュリティチームはすべてを経営陣に丸投げし、過剰に報告する傾向があります。そうしないと、セキュリティチームとそのリーダーは、後で重要とみなされる問題を報告しなかったために、雇用主からの潜在的な影響を受けるリスクを負います。これに、多くの組織がネットワーク内の既知の脆弱性のスキャンとそこからの修復の推進に限定しているという認識を組み合わせると、サイバーセキュリティの有効性について厳しい状況が残ることになります。
サイバーセキュリティに関しては二歩前進、一歩後退
SEC のサイバーセキュリティ開示規則は、組織内のサイバーセキュリティの問題に焦点を当て、上場企業の説明責任を促進します。これらは、ガバナンスとリスク管理、関連する専門知識、重大なインシデントのタイムリーな開示の重要性に関する機運を高めるのに役立ちます。ただし、セキュリティの成熟度が低いことが依然として標準であるという事実を忘れてはなりません。
また、強力な予防策や保護策があるからといって、セキュリティインシデントがゼロになるわけではありません。多くの組織は、合理的な技術的・運用的対策によって適切なセキュリティを提供してきましたが、それでもなお、長期的な影響を及ぼすインシデントや侵害に見舞われています。このような現実があるからこそ、リスク管理が非常に重要なのです。SECへの関連情報の開示と、効果的なサイバーセキュリティプログラムの運用のバランスを見極める上で、組織がぶつかることは避けられないでしょう。どんな展開になるのか楽しみです。
この記事はもともとMediumに公開されたものです。