SECの公開企業向けサイバーセキュリティ関連規則

SECの新たな規則により、インシデントの速やかな開示、サイバーリスク管理のポリシーと手順に関する明確な報告、経営陣のいっそう深い関与が求められています。

詳細

2023年7月、米国証券取引委員会(SEC)は、米国の公開企業を対象に新たなサイバーセキュリティ開示規則を採択しました。この規則は、企業がサイバーセキュリティリスクをどの程度真剣に捉えているかについて、より詳しい情報を提供し、投資家の意思決定に役立ててもらうことを目的としています。投資家の視点では、サイバーリスクの追跡プロセスについて詳細な情報を提供できることは差別化要因となります。求められるのは、どのようにしてサイバーリスクスコアの算出や経時的な追跡を行い、サイバーセキュリティリスクに関する経営陣への報告および経営陣の関与促進のための継続的かつ明快なプロセスを構築しているかといった情報です。

SECは、脅威アクターに悪用されかねない運用上の詳細の開示を求めることで企業がサイバー攻撃に対する脆弱性を増大させないようにしながら、投資家が十分な情報を得られるようにするという難題の解決を図ろうとしています。

連邦官報によると、当該規則は2023年9月5日に発効しています。

開示する情報

SECのサイバーセキュリティに関する新規則の主な内容

Form 8-Kの新項目Item 1.05

重要なサイバーセキュリティインシデントが発生した際、そのインシデントを重要だと判断してから4営業日以内に詳細を開示すること。

Regulation S-Kの新項目Item 106(b)

サイバーセキュリティ上の脅威による重大なリスクを評価、特定、管理するためのプロセスがある場合、そのプロセスに関して説明すること。

サイバーセキュリティの開示

インラインXBRL (Inline eXtensible Business Reporting Language)形式で提示すること。

Regulation S-Kの新項目Item 106(c)

サイバーセキュリティリスクに関する経営陣の監視状況、サイバーセキュリティ上の脅威による重大なリスクの評価および管理における経営陣の役割や専門性について説明すること。

対応方法

サイバー関連の文書作成を担当するチームの招集

セキュリティリーダーおよび文書作成を担当する監査部門や財務部門と共に新規則を確認し、重要なイベント発生時の4日以内の報告義務に対応できるようなプロセスを構築します。

「重要」の基準の把握

どのような場合にサイバーセキュリティイベントが「重要」となるのかの基準を会社として確実に把握するようにします。

サイバーリスクに関連するプロセスの記述

セキュリティリーダーは、サイバーリスクの把握および評価のプロセスを説明する文書のドラフトを作成する必要があります。たとえば、サイバーリスクの管理ツール、そのツールが対応するリスクの種類(外部攻撃対象領域、データ漏洩リスクなど)、特定されたリスクの軽減にあたり担当部門が踏むプロセスなどを記述します。

経営陣との連携

セキュリティ部門や監査部門のリーダーが経営陣と協力し、経営陣によるサイバーリスクの監視プロセスを構築します(現時点でそのプロセスが存在しない場合)。たとえば、四半期ごとのビジネスレビューにおいて、サイバーセキュリティに関する話題を必ず取り上げるようにし、リスクスコア、リスクの主な要因、リスク軽減策、必要な投資について確認するといった方法が考えられます。

経営陣が持つサイバーセキュリティの専門知識の活用

セキュリティリーダーは、経営陣の中からサイバーセキュリティに関する専門知識を持つメンバーを特定して話を聞き、その内容を年次報告書および委任状説明書に収めて共有する必要があります。

Zscaler Risk360

Risk360: Zscalerのサイバーリスク管理フレームワーク

Zscaler Risk360™は、組織のZscaler環境から実際のデータを取り込むことでサイバーリスクの強力な定量化を実現する、総合的かつ実用的なリスクフレームワークです。Risk360は、直感的な可視化、財務上のリスクの詳細、経営陣向けのレポート作成に加え、リスク軽減のためにすぐに活用できる詳細かつ実践的なインサイトを提供します。以下に示す攻撃チェーンの重要領域全体にわたってサイバーリスクを測定します。