SECの上場企業向けサイバーセキュリティ関連規則
SECの新たな規則により、インシデントの速やかな開示、サイバーリスク管理のポリシーと手順に関する明確な報告、経営陣のいっそう深い関与が求められています。
2023年7月、米国証券取引委員会(SEC)は、米国の上場企業を対象に新たなサイバーセキュリティ開示規則を採択しました。この規則は、企業がサイバーセキュリティ リスクをどの程度真剣に捉えているかについて、より詳しい情報を提供し、投資家の意思決定に役立ててもらうことを目的としています。投資家の視点では、サイバー リスクの追跡プロセスについて詳細な情報を提供できることは差別化要因となります。求められるのは、どのようにしてサイバーリスク スコアの算出や経時的な追跡を行い、サイバーセキュリティ リスクに関する経営陣への報告および経営陣の関与促進のための継続的かつ明快なプロセスを構築しているかといった情報です。
SECは、脅威アクターに悪用されかねない運用上の詳細の開示を求めることで企業がサイバー攻撃に対する脆弱性を増大させないようにしながら、投資家が十分な情報を得られるようにするという難題の解決を図ろうとしています。
連邦官報によると、当該規則は2023年9月5日に発効しています。
重要なサイバーセキュリティ インシデントが発生した際、そのインシデントを重要だと判断してから4営業日以内に詳細を開示すること。
サイバーセキュリティ上の脅威による重大なリスクを評価、特定、管理するためのプロセスがある場合、そのプロセスに関して説明すること。
インラインXBRL (Inline eXtensible Business Reporting Language)形式で提示すること。
サイバーセキュリティ リスクに関する経営陣の監視状況、サイバーセキュリティ上の脅威による重大なリスクの評価および管理における経営陣の役割や専門性について説明すること。
セキュリティ リーダーおよび文書作成を担当する監査部門や財務部門と共に新規則を確認し、重要なイベント発生時の4日以内の報告義務に対応できるようなプロセスを構築します。
どのような場合にサイバーセキュリティ イベントが「重要」となるのかの基準を会社として確実に把握するようにします。
セキュリティ リーダーは、サイバー リスクの把握および評価のプロセスを説明する文書のドラフトを作成する必要があります。たとえば、サイバー リスクの管理ツール、そのツールが対応するリスクの種類(外部攻撃対象領域、データ漏洩リスクなど)、特定されたリスクの軽減にあたり担当部門が踏むプロセスなどを記述します。
セキュリティ部門や監査部門のリーダーが経営陣と協力し、経営陣によるサイバー リスクの監視プロセスを構築します(現時点でそのプロセスが存在しない場合)。たとえば、四半期ごとのビジネス レビューにおいて、サイバーセキュリティに関する話題を必ず取り上げるようにし、リスク スコア、リスクの主な要因、リスク軽減策、必要な投資について確認するといった方法が考えられます。
セキュリティ リーダーは、経営陣の中からサイバーセキュリティに関する専門知識を持つメンバーを特定して話を聞き、その内容を年次報告書および委任状説明書に収めて共有する必要があります。
検出可能な変数を調査することで、攻撃対象領域の弱点を発見および悪用されるリスクを確認できます。
各種イベント、セキュリティ構成、トラフィック フロー属性を確認して、侵害を受ける可能性を算出し、リスクを把握および軽減します。
さまざまなプライベート アクセス設定や指標を調査することで、脅威のラテラル ムーブメントのリスクを確認できます。
データの窃取を受けるリスクを分析し、抑制します。
Risk360
次のステップ
Zscaler Risk360を利用して攻撃対象領域を最小限に抑え、ラテラル ムーブメントを防ぎ、データ漏洩のリスクを排除する方法をZscalerのエキスパートがご説明します。