SECディスクロージャールールに適合することは多くの企業にとって難しい課題であり、サイバーセキュリティチームの68%が4日間のディスクロージャールールに適合できないと考えている。特に小企業はこのルールへの適合に困難を抱えており、企業は文書化されたプロセスを作成し、各インシデントに対してそのプロセスを進める必要がある。

CISOはSECの新しいルールの解釈と個人的な責任に直面しており、UberやSolarWindsのエグゼクティブが違反とされたことが影響している。

2024年の最も危険なサイバー脅威には、テクニカルデットのセキュリティへの影響、AI時代の合成身元の問題、セクストーションの増加、ジェネレーティブAIによる選挙への脅威、攻撃的AIの脅威増大が含まれる。

CISOはAI委員会の中心的な役割を果たすべきであり、綿密な評価から始め、段階的な導入アプローチを実施し、ガードレールを設定して脅威に対処する必要がある。

シンガポールではサイバーセキュリティ法が改正され、クラウドプロバイダーへの通知義務が導入され、クリティカルインフラストラクチャの管理とサードパーティの規制が強化された。

サイバーレイバーショートージは存在しないが、適切な候補者は存在するものの、採用担当者が間違った場所を探している。

CISAのSecure by Design Pledgeに対しては、効果がないとの意見もあるが、署名者は期待値を定義することで間接的な権限を持つと考えている。

【ニュース解説】

SEC（米国証券取引委員会）のディスクロージャールールへの適合は、多くの企業にとって大きな課題となっています。特に、サイバーセキュリティインシデントが発生した場合、そのインシデントが「重要」と判断されるかどうかを4日以内に決定し、必要に応じて報告するというルールに、68%のサイバーセキュリティチームが適合できないと考えています。この問題は、特に小規模企業にとって顕著です。企業は、各インシデントに対して文書化されたプロセスを作成し、そのプロセスを進めることが求められます。

CISO（最高情報セキュリティ責任者）は、SECの新規則の解釈と、UberやSolarWindsのエグゼクティブが違反で問題とされたことによる個人的な責任の両方に直面しています。これは、CISOの役割がますます複雑になっていることを示しています。

2024年には、テクニカルデットによるセキュリティへの影響、AI時代の合成身元の問題、セクストーションの増加、ジェネレーティブAIによる選挙への脅威、攻撃的AIの脅威増大など、多様なサイバー脅威が存在します。これらの脅威は、企業や公共の安全に対する新たな挑戦を提示しています。

CISOは、AI技術の導入とそれに伴うリスクの管理において中心的な役割を果たすべきです。綿密な評価から始め、段階的な導入アプローチを実施し、ガードレールを設定することで、脅威に対処する必要があります。

シンガポールでは、サイバーセキュリティ法が改正され、クラウドプロバイダーやサードパーティに対する規制が強化されました。これは、クリティカルインフラストラクチャの安全性と回復力を高めるための重要なステップです。

一方で、サイバーレイバーショートージに関する議論がありますが、適切な候補者は存在しており、問題は採用担当者が間違った場所を探していることにあります。資格や証明書だけでなく、分析能力や技術的な潜在能力、職業的な献身を持つ候補者に目を向けることが重要です。

CISAのSecure by Design Pledgeは、自発的なものであり、法的拘束力はありませんが、セキュリティ改善の期待値を定義することで、間接的な影響を与えることができます。これは、業界全体のセキュリティ基準を高めるための一歩となる可能性があります。

これらの動向は、サイバーセキュリティの分野における新たな課題と機会を示しており、企業や政府がこれらの課題にどのように対応するかが、今後のセキュリティ環境を形成する上で重要な要素となります。

from CISO Corner: What Cyber Labor Shortage?; Trouble Meeting SEC Disclosure Deadlines.