SECが提案するサイバーセキュリティリスク管理の重要な変更点

米国時間2022年7月15日に掲載されたフォーティネットブログの抄訳です。

本記事は、上記抄訳を日本向けに一部コメントを追記したものです。

企業経営者に求められているサイバーセキュリティの責任は、脅威からの保護だけではありません。今日では、日々動的に変化するサイバーリスクに対する向き合い方は、企業にとって最大の経営課題といっても過言ではありません。このレポートの調査結果は、FortiGuard Labsチームが監視している世界中に配置されたセンサーによって収集されたデータに基づいています。本稿をお読みいただき、サイバーリスク検討の一助としていただければ幸いです。

私が思うに、金融サービス業界（FSI）では、過去最大級の影響をもたらすサイバーセキュリティの進化が起ころうとしています。それは、新しいランサムウェアでも分散型サービス拒否（DDOS）攻撃でもなく、ゼロデイエクスプロイトでもありません。その進化とは、規則の新たな変更です。興味がないからと閲覧をやめてしまう前に、この説明をお読みいただければ幸いです。

米国証券取引委員会（SEC）が発表した新しい規則は、金融サービス機関に多大な影響をもたらしつつあります。これらの新しい規則が導入されると、サイバーセキュリティの文化にとてつもなく大きな衝撃を与える可能性があります。

サイバーセキュリティの完全な透明性と説明責任

金融サービスはサイバー攻撃の第一の標的であることから、SECの新提案はすべての公開企業に対し、取締役会を始めとするトップレベルの企業執行部が、サイバーセキュリティについて十分な透明性と説明責任を維持するよう求めています。

SECは新しい規則を提案することで、「1934年証券取引所法に基づく報告義務が適用される公開企業（「登録企業」）によるサイバーセキュリティリスク管理、戦略、ガバナンス、およびインシデントレポートの開示を拡充および標準化する」ことを目指しています。

企業の情報開示

簡潔にいうと、この提案は企業に対して、重大なサイバーセキュリティインシデントをForm 8-Kで開示することを求めています。企業はさらに、サイバーセキュリティリスクを管理するためのポリシーと手順も開示する必要があります。これには、リスク管理の実施における経営陣の役割なども含まれます。それに加えて、取締役会がサイバーセキュリティリスクを監視する方法と、取締役のサイバーセキュリティに関する専門知識も開示しなければなりません。

SEC案の詳細

2022年3月23日にSECが提案した規則は、1934年証券取引所法に基づく報告義務が適用される公開企業によるサイバーセキュリティリスク管理、戦略、ガバナンス、およびサイバーセキュリティインシデントレポートの開示を拡充および標準化することを目的としています。この提案では、重大なサイバーセキュリティインシデントの報告、企業のサイバーセキュリティポリシーおよび手順の定期的開示、ならびに、取締役会によるサイバーセキュリティリスクの監視を求めています。規則案は2022年5月9日に意見募集を締め切り、次のガイダンスを待っているところです。

これらのSEC規則が正式に導入されると、重大なサイバーセキュリティインシデントが発生したと判断した企業は、それを4営業日以内に開示することを求められます。開示プロセスでは、Form 8-Kの修正が必要になります。Form 8-Kとは、企業がSECへの届け出を義務付けられている報告書で、株主に通知する必要がある重大イベントを報告するものです。さらに新提案は、過去に未開示だった個々のサイバーセキュリティインシデントが、合算して重大なインシデントになる場合は、それらを報告することも要求しています。

SECが提案する情報開示

SEC案の中で、インシデントの報告よりもさらに影響が大きい部分は、リスク管理、戦略、およびガバナンスの開示に関する新たな案です。この提案により、公開企業におけるサイバーセキュリティリスク管理のポリシーと手順が明らかになります。

取締役会によるサイバーセキュリティリスクの監視についても開示を求められます。

さらには、サイバーセキュリティリスクの評価、ならびに企業ポリシーおよび手順の実施における経営陣の役割も公開する必要があります。私は、このプロセスは、誰もが閲覧して批評できるように、組織の「通知表」をインターネット上に置くようなものであると考えています。

新しい規則により、企業はサイバーセキュリティ上の脅威によるリスクを特定および管理するためのポリシーや手順について説明を求められます。説明がない場合は指摘を受け、その結果、非準拠に対するSECの罰金や罰則など、深刻な反動が生じる可能性があります。規則案は企業に対し、ビジネス戦略、財務計画、および資本配分にサイバーセキュリティが考慮されているかどうかを報告することも求めています。

最後に、新規則は、サイバーセキュリティの専門知識を持つ取締役がいる場合、それを年次報告書および所定の通知書で開示するよう要求しています。取締役レベルでのサイバーセキュリティの専門知識は非常に重要であり、内部と外部両方のSME（該当分野の専門家）を含める必要があります。内部のSMEは制度上の知識を提供し、外部のSMEは専門的分野を補強します。

最も脆弱なリンク、すなわち人を重視する

人間はサイバーセキュリティにおける最も脆弱なリンクです。これに対処する唯一の方法は、従業員を問題の一部と見なすのではなく、ソリューションに組み込むことです。大半の企業では、ピラミッド構造の頂上に取締役会があり、新規則への対応はそこから開始しなければなりません。訓練を受けたサイバーに詳しい従業員と強力なサイバーセキュリティ戦略の融合では、継続的教育と最新ソリューションの追加を考慮する必要があります。

日常業務に取締役会が関与すべきではありませんが、サイバーセキュリティは、今や取締役および執行役員の重要な信認義務の一つとなっています。取締役会は、サイバーセキュリティポリシーおよび手順が指示どおりに機能していることを確認する必要があります。執行部は、リスクを考慮した意思決定の文化を組織全体で育み、推進していかなければなりません。

金融サービス業界のトレンド

金融機関へのサイバー攻撃に対処する中で、世界中の当局が欧州連合のDORA（Digital Operations Resiliency ACT; デジタル運用レジリエンス法）のような法律や規制を整備する動きを加速させています。その結果、金融を扱うすべての団体やその他のFSI企業は、サイバーセキュリティに熟達することを求められています。

我々が認識しているかどうかにかかわらず、金融サービスはすべての人にとって必要不可欠な産業です。したがって、金融サービスは回復力に富み、保護されていることが求められます。SECや世界各国の政府機関が行っている規制の変更によって、デジタル世界は消費者や投資家にとってより安全なものになる可能性があります。

詳細については、「金融サービスのサイバーレジリエンス ポッドキャスト」をご覧ください。