「企業が火災で工場を失うか、サイバーセキュリティインシデントで何百万ものファイルを失うかは、企業にとって重大な問題となる可能性があります…」

Howero
abmhh
0 comments

米国政府はサイバーセキュリティに関する規制を静かに強化しつつある。（画像提供：ChatGPT）

知っておくべきこと

サイバーセキュリティ侵害は、最近のMGM、アーデント病院、Xfinity、およびインソムニアックの侵害で注目を集め、より一般的になっているようです。
サイバー犯罪者にはこれらの企業を攻撃し続ける動機があるため、企業には侵害からの回復を計画するよりも、保護を強化する動機がさらに必要です。
12月15日にSECの新しい規則が施行され、上場企業はサイバーインシデントを4日以内に開示することが義務付けられました。
その他の政府規制も、我が国と同盟国を守るために、企業にサイバーセキュリティコンプライアンスの基本基準を満たすことを義務付けています。

大規模なサイバーセキュリティ侵害のニュースを耳にしない週はないようです。現在、ゲーム業界で話題となっているのは、RhysidaランサムウェアグループによるInsomniacへのランサムウェア侵害です。しかし、過去30日間で発生したさらに大規模な侵害としては、4州30病院に影響を与えたArdent Hospitalへの侵害が挙げられます。Xfinityは先週、3,600万人の顧客情報が影響を受けた、あるいは盗まれたことを明らかにしました。

何かを変える必要があります。最近では、マイクロソフトのCEOであるサティア・ナデラ氏でさえ、サイバーセキュリティ規制の強化を求めました。米国におけるサイバーセキュリティ規制の最近の変更点をいくつか見てみましょう。そして、それらが企業をサイバー攻撃から守るのに役立つかどうかを見ていきましょう。

なぜ米国政府はサイバーセキュリティに対する規制を強化しているのでしょうか?

以前にも議論したように、最近は大規模なサイバーセキュリティ侵害が多発しており、全てを挙げるのは困難です。また、報道機関やジャーナリストが、データ侵害によるリーク、特にインソムニアック社の今後発売予定のゲームに関するリークについて、報道を嫌がる傾向にあるという話もよく聞かれます。これらのメディアは、人的要因を考慮するべきだと主張していましたが、サイバーセキュリティの専門家として、サイバーセキュリティ部門が人的要因を考慮していないことに憤りを感じます。

大企業で働いた経験のある人なら、最も資金が不足している部門はたいていIT部門とサイバーセキュリティ部門であることを知っているでしょう。しかし残念ながら、企業は侵害が発生するまで適切なサイバーセキュリティへの投資を望まないようです。

Cybersecurity Venturesは、世界のサイバーセキュリティ情勢に関する優れた統計データや調査結果を多数提供しています。Cybersecurity Venturesのチームは、2023年のサイバー犯罪による被害額の推定について解説したビデオを公開しました。

ほとんどの企業が身代金を支払わないという正しい決断を下したため、サイバーセキュリティの不備がもたらす影響は、計画の漏洩による金銭的損失だけでしょう。サイバー犯罪者がこれらの企業を攻撃して逃げおおせることは許されるべきではありませんが、企業はデータ漏洩への恐怖心をより強く持ち、その恐怖心に基づいて、自社を守るためにサイバーセキュリティ人材の採用と資金投入を増やすべきだとも考えています。企業がデータ保護を怠り、データ漏洩に見舞われても、収益への悪影響が比較的小さいとすれば、これらの企業はサイバーセキュリティ部門への資金不足を続けることになるでしょう。

しかし、これらの規制の一部がそうした事態を未然に防ぐことを期待しています。上場企業にサイバーセキュリティインシデントを4日以内に開示することを義務付け、経済のほぼすべてのセクターにサイバーセキュリティの最低基準を義務付けることで、企業の過失による侵害の可能性は低下するはずです。これは、企業とサイバーセキュリティ業界の両方にとって最良のシナリオです。

Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。

現在、多くの上場企業が投資家に対してサイバーセキュリティに関する情報開示を行っています。しかし、この情報開示がより一貫性があり、比較可能で、意思決定に役立つ形で行われれば、企業と投資家双方にとってメリットとなると考えています。企業が重要なサイバーセキュリティ情報を開示することを確実にすることで、本日の規則は投資家、企業、そしてそれらをつなぐ市場に利益をもたらすでしょう。
SEC議長ゲイリー・ゲンスラー

米国政府はサイバーセキュリティを向上させるためにどのような規制を実施しましたか?

2023年7月26日、SECはプレスリリースを発表し、すべての上場企業に対し、サイバーセキュリティインシデントの発生を認識してから4日以内に開示することを義務付ける新たな規則が発効すると発表しました。この新規則は2023年12月15日に施行されましたが、大きな反響はありませんでした。

2023年7月26日、SECは、ランサムウェア集団によるデータ侵害について一般の人々が知ることになるはずの情報を、企業自身から発信するという新たな規制を発表しました。企業は、株価に悪影響を与える可能性があるため、この問題を無視し、報告しないという大きな動機を持っています。しかし、この新しい規制の施行により、企業はインシデント対応チームを強化し、サイバーセキュリティインシデントに効果的に対応し、修復を行い、影響を受けたデータを特定するための調査を実施し、インシデント発見からわずか4日以内に、これらすべてをForm 8-Kの新しい項目1.05に記載する必要があります。

新規則では、登録者はフォーム8-Kの新規項目1.05において、重要と判断したサイバーセキュリティインシデントを開示し、インシデントの性質、範囲、時期、ならびに登録者への重大な影響または合理的に重大な影響が生じる可能性について記述することが義務付けられます。フォーム8-Kの項目1.05への記入は、通常、登録者がサイバーセキュリティインシデントを重大と判断してから4営業日以内となります。米国司法長官が即時開示が国家安全保障または公共の安全に重大なリスクをもたらすと判断し、その旨を委員会に書面で通知した場合、開示は延期されることがあります。
米国証券取引委員会

フーバーダムの画像 — ダムや発電所といった重要インフラがサイバー攻撃の標的となれば、冬季には大規模な洪水や数百万人規模の停電といった壊滅的な被害をもたらす可能性があります。(画像提供: Unsplash)

この新しい規則は、2021年5月の大統領令を受けて発効し、サイバーセキュリティに対する政府の監督が大幅に強化されました。運輸保安局（TSA）の新たな要件、国土安全保障省（DHS）の調達規則、2022年重要インフラ向けサイバーインシデント報告法（CIRCIA）、環境保護庁（EPA）の水道セクター向けサイバーセキュリティなど、複数の機関が独自の規制を施行しています。

サイバーセキュリティおよびインフラストラクチャセキュリティ庁は、大統領政策指令21（PPD-21）「重要インフラストラクチャのセキュリティとレジリエンス」に従う必要がある16の重要インフラストラクチャセクターを指摘しており、これは「安全で機能的かつレジリエントな重要インフラストラクチャを強化および維持するための国家政策を推進する」ものである。

報告とコンプライアンスを改善するために、政府は内部告発者保護を実施しました。

これらの重要インフラセクターのいずれかで働いており、雇用主または規制当局に重要インフラに関する懸念を表明したことで報復を受けたと感じた場合は、米国労働省労働安全衛生局（OSHA）にご連絡ください。OSHAの内部告発者保護プログラムは、20を超える報復防止法を施行しており、あなたの報告を保護する可能性があります。
CISA.gov

こうした内部告発者保護は、重要でないセクターにおいても重要性を増しています。JDSupra.comによると、「2022年10月、ペンシルベニア州立大学は、契約で義務付けられているCUI（最高情報責任者）の保護を怠り、虚偽のセキュリティコンプライアンス報告書を故意に提出したとして、元CIOから訴訟を起こされました。」

こうした行為は絶対に止めなければなりません。企業はサイバーセキュリティ部門への資金不足に陥り、雇用している少数のサイバーセキュリティアナリストに燃え尽き症候群を強い、無理な期待を抱かせます。そして、企業が最低限の基準を満たしていないと、コンプライアンス報告書を偽造し、基準を満たしていると主張します。

本日、SEC の執行措置の成功につながった情報提供と支援を行った 7 人の内部告発者に、合計 2,800 万ドルを超える報奨金を支払うことを発表しました。https://t.co/5yUT09r3yX 2023 年 12 月 22 日

サイバーセキュリティ規制はなぜ重要であり、サイバーセキュリティの専門家にどのように役立つのでしょうか?

ここでの概念が少しわかりにくい場合は、NFL のフットボールチームのように考えてみてください。

NFL チームのオーナーは、企業における最高経営責任者です。
ヘッドコーチは最高情報セキュリティ責任者であり、彼のスタッフは部門内の他のサイバーセキュリティメンバーです。
ヘッドコーチがオーナー側が提供できる資金、才能、設備をすべて持っていても、試合に負けることがあります。
しかし、通常、ヘッドコーチはどのドラフト指名選手を選ぶか、どの才能ある選手をトレードするかについてオーナーシップと争っており、必要なサポートが得られていない。
この場合、ヘッドコーチが負けシーズンを迎えると、通常は責任を問われ、コーチ陣の大半とともに解雇される。

サイバーセキュリティでも同じことが言えます。業界のほとんどの人は、企業に侵害が発生した場合、通常はCISOとサイバーセキュリティの上級管理職が責任を問われることになる一方で、経営幹部はいかなる影響も受けないことを知っています。

規制と監視が改善されれば、企業は、米国とその同盟国の敵からの絶え間ない攻撃に対処できるよう、機敏で適切な訓練を受け、準備が整った、効率的でよく管理されたサイバーセキュリティ部門を構築することよりも、サイバーセキュリティ部門への資金不足とサポート不足のリスクとコストの方が高いと判断するだろう。

政府は最近、悪意のある人物が米国政府機関にアクセスし、国家安全保障に直接影響を与える大規模な侵害を引き起こした過失のある個人や企業を実際に訴えるまでに至っています。

SECは、ソーラーウィンズと当時のセキュリティ担当副社長ティム・ブラウン氏が、同社の「不十分なサイバーセキュリティ慣行と、高まっているサイバーセキュリティリスク」の両方を隠蔽する「虚偽の陳述、省略、計画を通じて」投資家と顧客を欺いたと述べている。
フランク・バジャック（フォーチュン誌経由）

これは政府による前例のない措置であり、全国の企業に警鐘を鳴らすものとなりました。私は普段、政府の規制には賛成できませんが、サイバーセキュリティに関しては、自動車保険の必要性を規制する法律とほぼ同等に重要なようです。自動車保険への加入を義務付ける法律がなければ、多くの人は「安全運転を心がけて事故を起こさない」と考えて、保険に加入しないでしょう。

巨大企業を率いる幹部たちも同様の考えを持っているようです。彼らは、サイバーセキュリティ部門をダクトテープでまとめ、適切なリソースを投入せずに放置しておけば、サイバーセキュリティ攻撃を回避できると考えているようです。あるいは、侵害を受けたとしても、その影響と復旧に対処すれば済むと考えているようです。人々がデータ侵害に対して非常に鈍感になっているのは、世界の悲しい現状です。今では、ほとんどの人が氏名、生年月日、社会保障番号などの個人情報を何度も盗まれており、私たちは皆、長年にわたり無料の信用情報監視サービスを受けています（データが盗まれるたびに、無料の信用情報監視サービスを受けられるのです）。

こうした状況を踏まえると、政府がサイバーセキュリティに真剣に取り組んでいることを嬉しく思います。誤解しないでください。あらゆるテクノロジーの原動力となっている1と0を通して戦争が勃発する可能性があり、あらゆるものがつながっています。企業は自社、従業員、そして顧客を守る必要があります。確かに、Xfinityが6300万件の顧客記録を漏洩したことは、国家安全保障に直接的な影響を与えることはないかもしれませんが、もしXfinityの顧客の1人がNSAのアナリストで、パスワードの使い回しが常態化していたため、攻撃者がそのアナリストの他のシステムのアカウントにアクセスできたとしたらどうでしょうか？こうした仮説は、特に国家レベルの主体が関与する場合には、あり得ない話ではありません。

サイバーセキュリティに興味がありますか？サイバーセキュリティ入門ガイドをご覧ください。

政府がサイバーセキュリティ全体の向上を目指して企業への規制強化を進めていることについて、どう思われますか？ニュースで報じられるような侵害件数を減らすのに役立つと思いますか？ぜひコメント欄でご意見をお聞かせください。

コルトンは、Windows Centralの読者とテクノロジーへの情熱を共有したいと願う、経験豊富なサイバーセキュリティ専門家です。最新のゼロデイ攻撃から企業を守る活動や、記事を通して自身の考えを発信する活動に携わっていない時は、家族と過ごしたり、PCやXboxでビデオゲームを楽しんだりしています。コルトンは購入ガイド、PC、デバイスの執筆に注力しており、新興テクノロジーやゲームのニュースについて話し合うことを常に歓迎しています。