調査によると、サイバーセキュリティ報告書を提出する企業の大半は、インシデント発生後、SEC(米国証券取引委員会)が規則で定めた4日以内ではなく、9日後という2倍の期間がかかっている。おそらく、もっと大きな問題であるのは、報告を提出している企業が数社であり、提出した企業も具体的な詳細を欠いた一般的な定型的な表現を使用していることだろう。
なぜコンプライアンスはこれほど不十分なのか?2023年12月に改訂された報告義務化は行き過ぎであり、このような短期間での対応に苦慮する企業に過度の負担をかけているとの見方もある。また、企業が単にコンプライアンスに必要なツールをもっていない可能性もある。
以下では、SECが改訂した規則の背景と、それに対する企業の暫定的な対応について説明する。さらに、適切なツールを使用することで、担当部門にて問題を特定し、解決策を提案し、コンプライアンスを満たすために必要な可視化と報告を行う方法について紹介する。
SECは相手にされていない
2024年12月に報告されているとおり、インシデント管理ソフトウェアベンダーのBreachRxによると、SECのサイバーインシデント報告規則(PDF)が施行されてから最初の11ヶ月間、上場企業によって開示されたインシデントはわずか71件だった。
また、報告書はSECが求めているサイバーセキュリティの透明性と説明責任を提供しているわけでもない。調査によると、報告書は有用で詳細な調査結果とは対照的に、10-K提出書類からコピー&ペーストしたような文言で埋め尽くされていたと言う。
その主な調査結果の一部:
- 重大な影響を特定しているものは8-K(臨時報告書)の17%
- サイバーインシデントを初めて開示した8-Kの提出のうち重大な影響を特定しているものは4%
- 組織のインシデント対応手順に関する具体的な情報を提供している報告は半数未満
- ほとんどの10-K(年次報告書)に、企業のサイバーリスク、インシデント対応、開示手続きについて、ほぼ同一の一般的な用語が記されている
今日の進化する規制環境において、SECの新たな報告要件へのコンプライアンスは、法的義務であるだけでなく、投資家の信頼を維持し、組織の評判を守るための基礎でもある。専門家によれば、報告を徹底することは、実際にはベストプラクティスであるサイバーセキュリティ対策を採用することになるため、組織にとって最善の利益になるという。
専門家:徹底した報告とは最終的に何を修正する必要があるかを正確に把握すること
コンプライアンスおよびリスクの専門家によると、サイバーセキュリティ管理により、インシデントの監視と報告が強化される。さらに、セキュリティ担当が脆弱性を特定し、攻撃や侵入を防ぐために迅速に対処できるようになる。
規制要件はそれぞれ異なるが、対策と報告に関する要件は共通している」と、Contrast Securityのリスク・コンプライアンス担当ディレクター、Richa Guptaは言う。「セキュリティのベストプラクティスといえば、 どの企業もアプリケーションの脆弱性を特定し、それをどのように修正するかを優先順位付けできる必要がある。適切なツールであれば、担当者は問題を特定して解決策を提案し、コンプライアンスの目標と要件を満たすために必要な可視性とレポートを提供することができる。」
SECの新たなサイバーセキュリティ規制とは?
以下は、SECの新要件の概要である(2025年1月に米国の新政権が発足するため、これらの規則がさらに変わる可能性があることに注意。今のところ、現行の規制は、企業の規模や業種に関係なく、企業が達成すべき目標基準値を提供するものである)。
- 重大なサイバーセキュリティインシデントの開示
Form 8-K 項目 1.05 — 上場企業は、重大なサイバーセキュリティインシデントが発生した場合、インシデントの性質、範囲、時期、企業にに与える重大な影響(または重大な影響の可能性)を含め、インシデントの重要性を判断してから4営業日以内にForm 8-Kで開示しなければならない。インシデントは、投資家の意思決定に重要な影響を与える可能性がある場合に、重大であるとみなされる。風評被害、顧客との関係、財務上の影響など、定性的および定量的な要素を考慮することが重要である。
- 新規則S-K第106号 — 企業は、サイバーセキュリティの脅威による重大なリスクを評価、特定、管理するためのプロセスと、サイバーセキュリティの脅威によるリスクがビジネスに重大な影響を与えた、または重大な影響を与える可能性があるかどうかを説明する必要がある。これには、過去のサイバーセキュリティインシデントに起因するリスクも含まれる。
- 年次報告書の要件
Form 10-KおよびForm 20-F — 企業は、サイバーセキュリティの脅威による重大なリスクの評価と管理における経営陣の役割を含め、年次報告書にサイバーセキュリティリスク管理、戦略、ガバナンス、および取締役会のサイバーセキュリティリスクの監督に関する情報を含める必要がある。
SECのサイバーセキュリティコンプライアンスを支援するAppSecツールは?
SECのサイバーセキュリティ開示規則では、脆弱性が悪用され、その結果として侵害が発生した場合の重大な影響を回避するために、上場企業が脆弱性に事前に対処することを求めている。このような要件を満たすために、組織はSAST(静的解析)、DAST(動的解析)、IAST(インタラクティブアプリケーションセキュリティテスト)、侵入テスト、ADR(アプリケーションにおける検知と対応)などのツールを使用して、脆弱性の監視、検出、および対策の優先順位付けを強化する必要がある。Guptaによると、安全なコードを作成することが全てだという。
企業は、SEC(およびその他)の規制期限を守り、リスクの発生を最小限に抑え、積極的なガバナンスを実証するために、リアルタイムの監視、迅速な対応、包括的なリスク評価、および堅牢な文書化を可能にするプラットフォームを探すべきだ。このようなプラットフォームは、危機に対する耐性のあるサイバーセキュリティ耐性を築くのにも役立ち、現行のSECガイドラインに対応可能になる。
具体的に企業が探すべき必要な機能には、次のようなものがある。
- 継続的なリアルタイムの監視とインシデントの検知:アプリケーションおよびアプリケーションプログラミングインターフェイス(API)のアクティビティを継続的に監視できること。これは、サイバーセキュリティインシデントをタイムリーに検知し、重大なサイバーセキュリティインシデントを迅速に開示するために不可欠である。
- 迅速なインシデント対応:潜在的なセキュリティ侵害が検知された時に自動アラートが生成され、インシデントの重大性を迅速に判定できること。この機能は、Form 8-Kの重大インシデントに関する4営業日以内の報告要件を満たすために不可欠だ。
- リスク管理とガバナンス:組織がサイバーセキュリティリスクを特定して管理できるよう、潜在的な脆弱性と脅威ベクトルに関する情報が得られること。これにより、企業は年次報告書でサイバーセキュリティの脅威による重大なリスクを評価および管理するプロセスを説明するためのSECの要件を満たすことができる。
- 文書化とレポート作成:検知されたインシデントと対応に関する全ての詳細なログを保持できること。これは、過去のインシデントと現在のリスク管理戦略に関する正確な開示を作成するために不可欠である。この文書は、投資家に有益な情報を提供することを重視するSECのコンプライアンスを裏付けるものとなる。
- 取締役会の監督サポートと可視性の強化:サイバーセキュリティの脅威と対応に関するリアルタイムのデータが得られることで、取締役会が監督責任をより効果的に果たすことができる。
インシデントが発生した場合、そのリスクは高い。企業は、厳しい規制義務に対応し、確固たるリスク態勢を維持するために、徹底的かつタイムリーな対策を講じなければならない。適切なセキュリティツールがあれば、企業は複雑なサイバーセキュリティ報告を自信を持って対応し、コンプライアンスへの取り組みを効率化しながら、セキュリティと透明性の面でリーダーシップを発揮することができる。その結果はどうなるか?脆弱性が減少し、規制による罰金のリスクが減り、事業運営と株主価値の両方を守る能力が強化される。
Contrast ADRがコンプライアンスの取り組みにどのように役立つかについて、もっと詳しく知りたいなら、今すぐデモをリクエストしよう。
お問い合わせ
関連記事/サイト:
