SECがサイバーセキュリティ規則を提案

2023年3月13日、証券取引委員会（SEC）は、すべての市場主体がリスクに対処するための新たなサイバーセキュリティ規則と要件を提案しました。提案された規制の中には、以下の要件の更新が含まれていました。 フォーム8-K 報告と新しいガイドライン フォーム10-Kの修正. 

フォーム8-K報告に関する提案規則では、企業は違反発生後4日以内に違反を報告することが義務付けられます。すべての違反報告には、5つの質問と回答を文書化し、回答には「合理的な投資家」が違反について理解を深められるよう、非常に詳細な内容を含める必要があります。提案規則に基づくすべてのフォーム8-K違反報告には、以下の質問が必須です。

1. インシデントが発見された時期とそれが継続中であるかどうか。.
2. インシデントの性質と範囲の簡単な説明。.
3. データが盗難、改ざん、アクセスされたり、その他の不正な目的で使用されたりしたかどうか。.
4. 登録者の業務に対するインシデントの影響。.
5. 登録者がインシデントを修復したか、現在修復中であるか。.

高度な技術的詳細を避けて必要な質問に答えることで、企業に関わるすべての関係者がサイバーセキュリティリスクについて話し合いやすくなります。.

サイバーリスク管理ポリシーと手順 

さらに、SECの提案では、サイバーセキュリティを管理するための具体的なポリシーと手順をForm 10-Kの修正事項に含めることを求めています。Form 10-Kに含まれるサイバーセキュリティリスクに関するポリシーと手順は、経営幹部と取締役会の両方が関与できるよう、可能な限り分かりやすくする必要があります。Form 10-Kに追加されたこのサイバーセキュリティ修正事項は、企業のサイバーセキュリティプロトコルの規制に光を当てるものであり、重要な意味を持ちます。. 

過去10年間、サイバーセキュリティ侵害はあらゆる業界・業種の企業にとって最大のリスクの一つとして増加傾向にあります。実際、将来を見据えると、リスクはますます増大する一方です。. 2019年の調査では, 世界の大手企業200社は、サイバーセキュリティを今後10年間の事業成長と世界経済成長の両方に対する最大の脅威と評価しました。SECは、サイバーセキュリティリスク管理とインシデント報告に関する開示があらゆる組織で共通の話題となり、実践されるようになることを期待して、本規制案を策定しました。.

リスク認識文化を構築するためのヒント

SECの提案が現実のものとなった場合、企業は極めて包括的なインシデント対応プロセスを備える必要があります。企業の安全を守るのは、最高情報セキュリティ責任者（CISO）、セキュリティチーム、ITチームだけの役割ではありません。企業の全社員がトレーニングを受け、潜在的な脅威に鋭い目を持って対応する必要があります。どんなに小さな侵害の可能性があっても、いつ警告を発すべきかを把握することは、SEC規制の遵守に役立ち、すべての従業員にとって重要です。企業内のほぼすべてのチームが、企業を危険にさらす可能性のあるデータを扱っているため、サイバーセキュリティリスクに対する意識を組織全体に広めることは、企業の安全確保に役立ちます。. 

このような重要なトピックに関する会話を継続するために、CNAPPや セキュリティオーケストレーション自動化と対応（SOAR）, CISOは、経営幹部や取締役会に対し、企業のリスク管理態勢を分かりやすく説明し、議論を始めるための共通言語を確立することができます。インシデント発生時だけでなく、四半期ごとに経営陣を交えて議論を開始することで、予算と可視性を確保し、大きなギャップを埋めることができます。ひいては、将来的なデータ漏洩などのセキュリティインシデントの防止に役立ちます。サイバーセキュリティリスクは今日のビジネスにおいて非常に現実的な問題ですが、すべての規制を遵守し、適切な自動化ツールを活用し、サイバーセキュリティについて定期的に議論することで、企業を守ることは可能です。.