見出し画像

サイバー攻撃を受けたら「4日以内に開示」 CISOどうする!?

Tech

2023年7月26日、アメリカ証券取引委員会(SEC)は企業が重大なインシデントと判断されるサイバー攻撃を受けた場合、4営業日以内にそのことを開示することを義務づける新しい規則の採択を発表しました。この新規則により、投資家の保護がより強化されると期待されています。

SECは7月26日に「重大なサイバーセキュリティインシデントに遭遇した場合はこれを開示すること、およびサイバーセキュリティのリスク管理、戦略、ガバナンスに関する重要な情報を毎年開示することを登録企業に義務付ける」と発表しました。

アメリカの上場企業には、買収や役員の変更、重要な資産の取得または売却、破産などの特別な事象が発生した場合、そのことを「Form 8-K」と呼ばれる臨時報告書に記載して開示することがすでに義務づけられています。

今回の規則改正では、重大であると判断したサイバーセキュリティインシデントを開示するための新しい項目がForm 8-Kに追加され、これによりインシデントの性質や範囲、時期、それによって発生する重要な影響について説明することが求められるようになります。

提出の期限は原則として4営業日以内ですが、司法長官により「即時の開示が国家安全保障または公共の安全に対する重大なリスクをもたらす」と判断された場合は、開示が延期される場合もあります。

SECのゲイリー・ゲンスラー委員長は発表の中で、「企業が火災で工場を失ったり、サイバーセキュリティインシデントで何百万ものファイルを失ったりするのは、投資家にとって重要なことだと思われます。今でも、多くの上場企業がサイバーセキュリティに関する情報を投資家に開示していますが、これがより統一的かつ比較可能で、意思決定に有用な方法で行われるようになれば、投資家にとっても企業にとっても利益となるでしょう」と述べました。

新規則ではほかにも、年次報告書である「Form 10-K」により、サイバーセキュリティ上の脅威による重大なリスクを評価、特定、管理するためのプロセスや、過去のサイバーセキュリティ事件によるリスクの影響、これらの判断を行う経営陣などについても報告することが盛り込まれました。

この新規則が制定された背景には、広く使われているファイル転送プログラム「MOVEit」に対してロシアのサイバー犯罪者が行った、いわゆるサプライチェーン・ハッキング事件があります。この事件では、多くの組織が大規模なデータ侵害を受けましたが、開示が遅々として進まなかったため、全容の把握に時間がかかっています。

信用格付け会社・Moody's Investors Serviceでシニア・ヴァイス・プレジデントを務めるレズリー・リッター氏は、「この規則は不透明かつ拡大の一途をたどっているリスクに透明性をもたらし、サイバー防御の改善に拍車をかける可能性があります」とコメントしました。

また、サイバーセキュリティ企業・Tenableのアミット・ヨランCEOも、「長い間、アメリカの大企業はサイバーセキュリティを『必須』ではなく『あればうれしい』ものとみなしてきました。しかし今日では、企業のリーダーがサイバーセキュリティを組織内で強化しなければならないことは極めて明白です」と述べて、新規則を歓迎しました。

一方、反対派の委員である共和党のヘスター・パース氏は声明の中で、「新規則はSECの権限を越えており、財務的に重要な情報を求める投資家のニーズよりも、ハッカー志望者のニーズに適合するように思えます」と述べて、セキュリティ体制の過度な開示により企業がかえってサイバー攻撃を受けやすくなってしまうのではないかとの懸念を示しました。

日本においても個人情報漏えいの際の報告は義務化されており、不正アクセス等のサイバー攻撃を受けた企業から個人情報が流出した場合、被害者や関係当局への通知を義務化しています。しかし、個人情報を含まないサイバーセキュリティインシデントの報告やサイバーセキュリティに関する情報を投資家に開示することは義務化されていません。

同様の規則が日本で制定された場合、これまでの努力義務ではなくなるため大きな影響があります。対応できる企業と対応できない企業で明暗を分け、株価に影響が出そうです。IT人材を社内に抱えソフトウエアを社内で開発・運用する米国企業に対し、日本企業は自社にとって重要なソフトウエアもベンダーに丸投げで社内にIT人材はいないため対応が難しくなります。IT人材とくにセキュリティ人材の争奪戦がより一層強まります。

また、組織のセキュリティ最高責任者であるCISOに求められる能力として、サイバーリスクとビジネスリンクの関係を単純化することがあります。ビジネス目標に影響を与える可能性があるセキュリティリスクを明確化しつつ、サイバー攻撃を読み解き、CEOなどに情報を提示する必要があります。セキュリティを取り巻く技術の話は取締役会をはじめとした経営層には響かないため、別のアプローチが必要になります。
取締役会の場においてCISOが自分の意見を主張できる時間はせいぜい20分程度であり、膨大なパワポのプレゼンは効果が低いため、よりインパクトのある感情を揺さぶる論理的な事実説明が求められます。

アメリカ証券取引委員会(SEC)の発表:
SEC.gov | SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies
https://www.sec.gov/news/press-release/2023-139