新サイバーセキュリティ規則施行、企業のセキュリティ対策に革新を迫る

Last Updated on 2024-02-17 16:33 by admin

米国証券取引委員会の新しいサイバーセキュリティ規則が施行されたことにより、セキュリティチームは重要業績指標(KPI)と重要リスク指標(KRI)の追跡と利用方法により厳格さを求められている。これらの指標を取締役会のリスクまたは監査委員会と共有することで、組織のサイバーセキュリティ能力とサイバーコントロールの効率を明らかにし、技術と人材への投資の適切さを評価するのに役立つ。

CISOとCIOの役割は、デジタルリスクの管理がデジタル変革に不可欠であるため、ますます重なり合っている。CIOはビジネスイノベーションを支援する技術の調達と活用を主に担当し、CISOはコンプライアンス要件の遵守、データ侵害による運用の中断防止、新たなサイバーセキュリティ脅威に対するリスクスコアの割り当てなど、運用上の主要なステークホルダーとなっている。この変化は、デジタル変革を成功させるために、これら二つのITリーダー間の協力と調整の重要性を強調している。

FCCは、通信およびVoIPプロバイダーに対し、発見から7日以内にFCC、FBI、シークレットサービスにデータ侵害を報告するよう義務付けた。また、個人を特定できる情報(PII)がサイバーインシデントに巻き込まれた場合、顧客へのデータ侵害通知を発行する必要がある。これにより、キャリアとサービスプロバイダーはPIIが露出した場合の透明性を高めることが求められる。

中東、トルコ、アフリカ(META)地域のサイバーセキュリティ市場は、AIの成長などの要因により、2024年には65億ドルに達すると予測されている。地政学的脅威、生成AIの成長、地域全体でのデータ保護規制の増加により、地域のCISOの3/4以上が今年の予算を少なくとも10%増やす計画である。

組織は、データ分析、サイバーセキュリティ、研究、マーケティングチームなど、さまざまな用途で生成AI(GenAI)ツールの使用に関心を持っている。セキュリティチームは、これらの活動を日常業務に組み込む方法を検討している。

Ivanti VPNは、重大なCVE、サイバー攻撃、遅延したパッチ適用により問題を抱えている。Ivantiは2024年までに5つのVPNの欠陥を公表しており、そのうちの2つはパッチが利用可能になる数週間前に公に発表された。専門家は、Ivantiの脆弱性の多さとインシデント対応の遅さをビジネスにとっての実存的脅威と見なしている。企業のサイバーチームは、Ivanti VPNアプライアンスを切断し、再接続前に更新するか、またはパッチ適用のために既にオフラインになっている間にIvantiアプライアンスを完全に更新された機器に交換するかを選択する必要がある。

【ニュース解説】

米国証券取引委員会(SEC)の新しいサイバーセキュリティ規則が施行されたことにより、セキュリティチームは、重要業績指標(KPI)と重要リスク指標(KRI)の追跡と利用方法により厳格さを求められています。これらの指標を取締役会のリスクまたは監査委員会と共有することで、組織のサイバーセキュリティ能力とサイバーコントロールの効率を明らかにし、技術と人材への投資の適切さを評価するのに役立ちます。

CISO(最高情報セキュリティ責任者)とCIO(最高情報責任者)の役割は、デジタルリスクの管理がデジタル変革に不可欠であるため、ますます重なり合っています。CIOはビジネスイノベーションを支援する技術の調達と活用を主に担当し、CISOはコンプライアンス要件の遵守、データ侵害による運用の中断防止、新たなサイバーセキュリティ脅威に対するリスクスコアの割り当てなど、運用上の主要なステークホルダーとなっています。この変化は、デジタル変革を成功させるために、これら二つのITリーダー間の協力と調整の重要性を強調しています。

FCC(連邦通信委員会)は、通信およびVoIP(Voice over Internet Protocol)プロバイダーに対し、発見から7日以内にFCC、FBI(連邦捜査局)、シークレットサービスにデータ侵害を報告するよう義務付けました。また、個人を特定できる情報(PII)がサイバーインシデントに巻き込まれた場合、顧客へのデータ侵害通知を発行する必要があります。これにより、キャリアとサービスプロバイダーはPIIが露出した場合の透明性を高めることが求められます。

中東、トルコ、アフリカ(META)地域のサイバーセキュリティ市場は、AIの成長などの要因により、2024年には65億ドルに達すると予測されています。地政学的脅威、生成AIの成長、地域全体でのデータ保護規制の増加により、地域のCISOの3/4以上が今年の予算を少なくとも10%増やす計画であることが示されています。

組織は、データ分析、サイバーセキュリティ、研究、マーケティングチームなど、さまざまな用途で生成AI(GenAI)ツールの使用に関心を持っています。セキュリティチームは、これらの活動を日常業務に組み込む方法を検討しています。

Ivanti VPNは、重大なCVE(Common Vulnerabilities and Exposures)、サイバー攻撃、遅延したパッチ適用により問題を抱えています。Ivantiは2024年までに5つのVPNの欠陥を公表しており、そのうちの2つはパッチが利用可能になる数週間前に公に発表されました。専門家は、Ivantiの脆弱性の多さとインシデント対応の遅さをビジネスにとっての実存的脅威と見なしています。企業のサイバーチームは、Ivanti VPNアプライアンスを切断し、再接続前に更新するか、またはパッチ適用のために既にオフラインになっている間にIvantiアプライアンスを完全に更新された機器に交換するかを選択する必要があります。

from CISO Corner: CIO Convergence, 10 Critical Security Metrics, & Ivanti Fallout.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 新サイバーセキュリティ規則施行、企業のセキュリティ対策に革新を迫る

“新サイバーセキュリティ規則施行、企業のセキュリティ対策に革新を迫る” への1件のコメント

  1. 高橋 真一のアバター
    高橋 真一

    米国証券取引委員会(SEC)による新しいサイバーセキュリティ規則の施行は、企業のセキュリティ体制における透明性と責任の重要性を強調しています。重要業績指標(KPI)と重要リスク指標(KRI)の厳格な追跡と利用は、組織のサイバーセキュリティ能力とそのコントロールの効率を明確にし、技術と人材への投資の適切性を評価するために不可欠です。このような透明性は、投資家や顧客に対する信頼を築く上で重要な役割を果たします。

    また、CISOとCIOの役割が重なり合っていることは、デジタル時代におけるビジネス戦略とサイバーセキュリティ戦略の統合がいかに重要かを示しています。デジタル変革を推進する上で、これら二つの役割の協力と調整は、企業が直面するサイバーリスクを管理し、イノベーションを促進するために不可欠です。

    FCCによるデータ侵害の報告義務の強化は、企業がサイバーインシデントに迅速かつ透明に対応するための一歩であり、消費者のプライバシー保護を強化することを目的としています。サイバーセキュリティは、個人データの保護だけでなく、