サイバーセキュリティ危機：企業とCISOの法的リスク急増中

Last Updated on 2024-02-28 11:47 by 荒木 啓介

サイバーセキュリティのリスクは企業にとって増大しており、データ漏洩による集団訴訟のリスクにさらされている。この責任は公開企業だけでなく非公開企業にも及び、CEO、CFO、取締役会が確立すべきである。

CISO（最高情報セキュリティ責任者）は、サイバーセキュリティのリスクと政府の取り締まりの増加により脆弱性が高まっている。企業はCISOを頻繁に変更しており、CISOの役割と責任に関する明確なルールが求められている。

サイバーセキュリティの予算は企業のトップによって設定され、他のバックオフィス機能と同等またはそれ以上であるべきである。サードパーティの証明書だけではリスクを完全にカバーできず、リスクベースの監査によってセキュリティリスクを包括的に対処できる。

ペネトレーションテストは意味のある攻撃を見つけることに焦点を当て、バグバウンティプログラムはセキュリティ研究者と悪意のある行為者を区別する必要がある。ペネトレーション戦略はビジネスへの影響を高めるために改善が必要である。

CISOの報告は解雇のリスクを伴うが、報告しないことは政府による個人の責任を招く可能性がある。サイバーセキュリティのガバナンスは企業のトップから始まり、責任に関する明確なルールが必要である。

【ニュース解説】

近年、サイバーセキュリティの脅威が増加する中で、企業やCISO（最高情報セキュリティ責任者）が直面する法的なリスクも高まっています。この状況は、テスラが元従業員をサイバーセキュリティ違反で訴えたり、連邦取引委員会（FTC）がUberの元CISOをデータ漏洩の隠蔽で訴えたり、証券取引委員会（SEC）がSolarWindsとそのCISOをサイバーリスクに関する非開示と誤報で訴えたりするなど、具体的な事例を通じて明らかになっています。これらの事例は、企業がデータ漏洩による集団訴訟のリスクにさらされていること、また公開企業だけでなく非公開企業もこの責任から免れないことを示しています。

このような状況の中で、多くのCISOはリスクを避けるためにCISOのポジションを避ける傾向にあり、企業はCISOを頻繁に変更しています。これは、CISOの役割と責任に関する明確なルールが必要であることを示しています。また、サイバーセキュリティの予算は企業のトップによって設定され、他のバックオフィス機能と同等またはそれ以上であるべきです。しかし、サードパーティの証明だけではリスクを完全にカバーできず、リスクベースの監査によってセキュリティリスクを包括的に対処する必要があります。

ペネトレーションテストやバグバウンティプログラムは、セキュリティ研究者と悪意のある行為者を区別する必要があります。ペネトレーション戦略はビジネスへの影響を高めるために改善が必要です。また、CISOの報告は解雇のリスクを伴う一方で、報告しないことは政府による個人の責任を招く可能性があります。これは、サイバーセキュリティのガバナンスが企業のトップから始まり、責任に関する明確なルールが必要であることを示しています。

このような状況は、サイバーセキュリティの専門家やCISOにとって大きな挑戦ですが、同時に企業がサイバーセキュリティを真剣に考え、適切な予算とリソースを割り当て、リスクを適切に管理する機会でもあります。また、政府や規制機関がサイバーセキュリティの責任を明確にし、適切なガイドラインを提供することが重要です。これにより、将来的にはより安全なデジタル環境の実現に向けた一歩となるでしょう。

from What Companies & CISOs Should Know About Rising Legal Threats.