Last Updated on 2024-07-13 02:49 by 荒木 啓介
SECの新しいインシデント報告要件に関する質問と懸念が生じている。これらの要件は既存の法律と重複し、特にリソースに制約のあるサイバーセキュリティチームに追加の作業を強いる可能性がある。4日間の開示期間が短すぎるとの意見もあり、データが多くの企業やシステムを横断するため、被害者と加害者を区別することが困難である。また、「投資家にとって重要な情報」の判断が不明瞭であり、行政作業が必要になる。これらの要件は、特にリソースが少ない小規模企業にとって困難な課題であり、2022年6月15日以降、小規模報告企業も大企業と同様にこれらを遵守する必要がある。罰金によって企業が無力化され、イノベーションが阻害され、成長が妨げられる可能性がある。
小規模企業が影響を軽減するためには、主要なフレームワークに精通し、セキュリティチームを構築することが重要である。セキュリティプログラムをゼロから構築することは困難だが、戦略的な計画によりリソースを最小限に抑えながら堅固なセキュリティ基盤を確立することが可能である。エンジニアリングとの緊密な連携、自動化の活用、オープンソースのセキュリティツールの検討、リスクと脆弱性の管理が重要である。これらの手順は、小規模企業が新しい要件に対処するための出発点となり、圧力を生み出すが、強力なセキュリティ基盤の構築に役立つ。
【ニュース解説】
米国証券取引委員会(SEC)が新たに導入したインシデント報告要件により、セキュリティ専門家や政府機関の間で多くの質問と懸念が生じています。これらの要件は、2022年のサイバーインシデント報告に関する重要インフラ法(CIRCIA)と重複し、リソースが限られているサイバーセキュリティチームに追加の作業を強いる可能性があるという意見があります。また、4日間の開示期間は、影響を判断するには短すぎるとの指摘もあります。この開示期間内にセキュリティ侵害情報を公開することは、脆弱性が修正される前に悪意のある行為者がその情報を悪用する可能性があるため、問題視されています。
特に、データが多くの企業やシステム、子会社を横断する現代では、被害者と加害者を区別することが非常に困難です。「投資家にとって重要な情報」を判断することも明らかではなく、これを明らかにするためには管理作業が必要になります。これらの要件は、特にリソースが限られている小規模企業にとって大きな課題をもたらします。2022年6月15日以降、小規模報告企業も大企業と同様にこれらの要件を遵守する必要があります。これにより、罰金が課され、イノベーションが阻害され、成長が妨げられる可能性があります。
小規模企業がこの影響を軽減するためには、まず主要なセキュリティフレームワークに精通することが重要です。幸い、組織が準備を進めるのに役立つリソースがあります。これには、EUのネットワークと情報セキュリティ指令(NIS2)、NISTのサイバーセキュリティフレームワーク(CSF)、NISTリスク管理フレームワーク(SP 800-53)、ISO/IEC 27000シリーズ、CISクリティカルセキュリティコントロール(CSC)などが含まれます。また、GDPRやCCPA、PIPEDA、BDSG、POPI法などのグローバルなデータプライバシー規制フレームワークもあります。
セキュリティチームの構築は、特に小規模企業にとっては難しいかもしれませんが、戦略的な計画により、最小限のリソースで堅固なセキュリティ基盤を確立することが可能です。エンジニアリングチームとの緊密な連携、自動化の活用、オープンソースのセキュリティツールの検討、リスクと脆弱性の管理の基本を押さえることが重要です。
これらの手順は、小規模企業が新しいインシデント報告要件に対処するための出発点となります。要件は圧力を生み出しますが、避けられない強力なセキュリティ基盤の構築に役立ちます。セキュリティは、特に小規模企業にとっては、絶えず進化する脅威に対応するための重要な投資です。適切な準備と戦略的なアプローチにより、これらの新しい要件を満たしながら、企業の成長とイノベーションを維持することが可能です。
from Will Smaller Companies Buckle Under the SEC's New Requirements?.
