SECの上場企業向けサイバーセキュリティ関連規則

SECの新たな規則により、インシデントの速やかな開示、サイバーリスク管理のポリシーと手順に関する明確な報告、経営陣のいっそう深い関与が求められています。

0
詳細

2023年7月、米国証券取引委員会(SEC)は、米国の上場企業を対象に新たなサイバーセキュリティ開示規則を採択しました。この規則は、企業がサイバーセキュリティ リスクをどの程度真剣に捉えているかについて、より詳しい情報を提供し、投資家の意思決定に役立ててもらうことを目的としています。投資家の視点では、サイバー リスクの追跡プロセスについて詳細な情報を提供できることは差別化要因となります。求められるのは、どのようにしてサイバーリスク スコアの算出や経時的な追跡を行い、サイバーセキュリティ リスクに関する経営陣への報告および経営陣の関与促進のための継続的かつ明快なプロセスを構築しているかといった情報です。

SECは、脅威アクターに悪用されかねない運用上の詳細の開示を求めることで企業がサイバー攻撃に対する脆弱性を増大させないようにしながら、投資家が十分な情報を得られるようにするという難題の解決を図ろうとしています。

連邦官報によると、当該規則は2023年9月5日に発効しています。

開示する情報
SECのサイバーセキュリティに関する新規則の主な内容
Form 8-Kの新項目Item 1.05
Form 8-Kの新項目Item 1.05

重要なサイバーセキュリティ インシデントが発生した際、そのインシデントを重要だと判断してから4営業日以内に詳細を開示すること。

Regulation S-Kの新項目Item 106(b)
Regulation S-Kの新項目Item 106(b)

サイバーセキュリティ上の脅威による重大なリスクを評価、特定、管理するためのプロセスがある場合、そのプロセスに関して説明すること。

サイバーセキュリティの開示
サイバーセキュリティの開示

インラインXBRL (Inline eXtensible Business Reporting Language)形式で提示すること。

Regulation S-Kの新項目
Regulation S-Kの新項目Item 106(c)

サイバーセキュリティ リスクに関する経営陣の監視状況、サイバーセキュリティ上の脅威による重大なリスクの評価および管理における経営陣の役割や専門性について説明すること。

対応方法
サイバー関連の文書作成を担当するチームの招集

セキュリティ リーダーおよび文書作成を担当する監査部門や財務部門と共に新規則を確認し、重要なイベント発生時の4日以内の報告義務に対応できるようなプロセスを構築します。


「重要」の基準の把握

どのような場合にサイバーセキュリティ イベントが「重要」となるのかの基準を会社として確実に把握するようにします。


サイバー リスクに関連するプロセスの記述

セキュリティ リーダーは、サイバー リスクの把握および評価のプロセスを説明する文書のドラフトを作成する必要があります。たとえば、サイバー リスクの管理ツール、そのツールが対応するリスクの種類(外部攻撃対象領域、データ漏洩リスクなど)、特定されたリスクの軽減にあたり担当部門が踏むプロセスなどを記述します。


経営陣との連携

セキュリティ部門や監査部門のリーダーが経営陣と協力し、経営陣によるサイバー リスクの監視プロセスを構築します(現時点でそのプロセスが存在しない場合)。たとえば、四半期ごとのビジネス レビューにおいて、サイバーセキュリティに関する話題を必ず取り上げるようにし、リスク スコア、リスクの主な要因、リスク軽減策、必要な投資について確認するといった方法が考えられます。


経営陣が持つサイバーセキュリティの専門知識の活用

セキュリティ リーダーは、経営陣の中からサイバーセキュリティに関する専門知識を持つメンバーを特定して話を聞き、その内容を年次報告書および委任状説明書に収めて共有する必要があります。


Zscaler Risk360
Risk360: Zscalerのサイバー リスク管理フレームワーク
Zscaler Risk360™は、組織のZscaler環境から実際のデータを取り込むことでサイバー リスクの強力な定量化を実現する、総合的かつ実用的なリスク フレームワークです。Risk360は、直感的な可視化、財務上のリスクの詳細、経営陣向けのレポート作成に加え、リスク軽減のためにすぐに活用できる詳細かつ実践的なインサイトを提供します。以下に示す攻撃チェーンの重要領域全体にわたってサイバー リスクを測定します。
外部攻撃対象領域
外部攻撃対象領域

検出可能な変数を調査することで、攻撃対象領域の弱点を発見および悪用されるリスクを確認できます。

侵害
侵害

各種イベント、セキュリティ構成、トラフィック フロー属性を確認して、侵害を受ける可能性を算出し、リスクを把握および軽減します。

ラテラル ムーブメント
ラテラル ムーブメント

さまざまなプライベート アクセス設定や指標を調査することで、脅威のラテラル ムーブメントのリスクを確認できます。

データの漏洩および窃取
データの漏洩および窃取

データの窃取を受けるリスクを分析し、抑制します。

Risk360

次のステップ

Zscaler Risk360を利用して攻撃対象領域を最小限に抑え、ラテラル ムーブメントを防ぎ、データ漏洩のリスクを排除する方法をZscalerのエキスパートがご説明します。