ーTech for Human Evolutionー

最新ニュース一覧

人気のカテゴリ

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーと社会
ロボティクス
ヘルスケア
ブロックチェーン
半導体
もっと見る

人気のタグ

著作権 今日は何の日 インタビュー Google Apple AWS OpenAI Anthropic Meta Microsoft XREAL Android_XR Nvidia

ホーム » サイバーセキュリティ » サイバーセキュリティニュース »

SECがSolarWindsとCISOを歴史的訴訟で告発、セキュリティ業界に衝撃

SECがSolarWindsとCISOを歴史的訴訟で告発、セキュリティ業界に衝撃 - innovaTopia - (イノベトピア)

Last Updated on 2024-05-25 08:37 by TaTsu

2023年10月、米国証券取引委員会(SEC)は、セキュリティ業界における画期的な訴訟をSolarWinds Corp.およびその最高情報セキュリティ責任者(CISO)に対して開始した。この訴訟は、CISOが個人としてSECによって訴追された初のケースであり、多くのセキュリティリーダーが自身と組織を類似の訴訟から守るために直ちに取るべき措置について疑問を抱いている。

2020年に発生したSolarWindsの侵害事件では、脅威アクターが同社の環境に不正アクセスし、Orionソフトウェアにマルウェアを植え付けた。SolarWindsは知らずにマルウェアを含むOrionのアップデートを顧客に配布した。

SECは昨年末、SolarWindsとそのCISOであるTimothy Brownが、SECに提出された文書、同社のウェブサイトに掲載された「セキュリティ声明」、プレスリリース、ポッドキャスト、ブログ投稿など、様々なメディアを通じて、SolarWindsのサイバーセキュリティリスク、慣行、脆弱性に関して投資家に対して虚偽および誤解を招く声明を行ったとして訴えた。

この訴訟が解決されるまでには数年かかる可能性があるが、公開企業のCISOは以下の5つの行動項目を検討すべきである。

  • CFOおよび財務報告チームとの明確なコミュニケーションラインを確立する。
  • SEC報告および情報セキュリティ機能は密接に連携する必要がある。
  • 顧客やベンダー向けの声明は、株主向けのものと同様のレビューを受けるべきである。
  • 情報セキュリティポリシーとコントロールが最先端であることを確認する。
  • 内部監査および他の保証プロバイダーと協力する。疑問がある場合は、弁護士に相談する。

SECは、サイバーセキュリティ違反を扱う際に投資家保護を優先し、最近では公開企業に対して年次報告書でのサイバーセキュリティ監督の透明性向上と重大なインシデントの発生から4営業日以内の開示を義務付けている。これらのケースが業界全体でサイバーセキュリティ開示の取り扱いをどのように変えるかは注目されるが、デジタル時代における透明性と説明責任の重要性が高まっていることは間違いない。

【編集者追記】用語解説

  • CISO(最高情報セキュリティ責任者): 企業のセキュリティ戦略を立案・実行する役職
  • SEC(証券取引委員会): 米国の独立した連邦機関で、証券取引の適正を監視する役割

【参考リンク】
SolarWindsオフィシャルサイト(外部)

【関連記事】

SECがSolarWindsとCISOをサイバーセキュリティリスク開示不備で提訴
サイバーセキュリティ対策の難題:企業が直面するSECルール適合と2024年の脅威

サイバーセキュリティ関連の記事をinnovaTopiaでもっと読む

【ニュース解説】

2023年10月、米国証券取引委員会(SEC)は、セキュリティ業界における前例のない訴訟をSolarWinds Corp.及びその最高情報セキュリティ責任者(CISO)に対して開始しました。この訴訟は、CISOが個人としてSECによって訴追された初めての事例であり、セキュリティ業界に大きな波紋を投げかけています。問題の発端は、2020年に発生したSolarWindsの侵害事件で、脅威アクターが同社の環境に不正アクセスし、Orionソフトウェアにマルウェアを植え付け、その結果、マルウェアを含むOrionのアップデートが顧客に配布されました。

SECは、SolarWindsとそのCISOが、サイバーセキュリティリスク、慣行、脆弱性に関して投資家に対して虚偽および誤解を招く声明を行ったとして訴えました。この訴訟は、解決までに数年を要する可能性がありますが、公開企業のCISOにとっては、自身と組織を保護するために直ちに取るべき重要な行動があります。

具体的には、CISOは財務報告チームとのコミュニケーションを強化し、SEC報告と情報セキュリティ機能の連携を密にする必要があります。また、顧客やベンダー向けの声明も、株主向けのものと同様に慎重に検討し、情報セキュリティポリシーとコントロールが最新の状態に保たれていることを確認することが求められます。さらに、内部監査や他の保証プロバイダーとの協力を通じて、システムのテストを行い、外部コミュニケーションにおける誤りを最小限に抑えることが重要です。不確実性がある場合は、SECの事例に精通したサイバーセキュリティ法務の専門家に相談することも有効です。

この訴訟は、サイバーセキュリティ違反が投資家保護の観点からどのように扱われるか、そして公開企業がサイバーセキュリティ監督とインシデントの透明性にどのように対応すべきかについて、新たな基準を設定する可能性があります。透明性と説明責任はデジタル時代においてますます重要になっており、この訴訟は、業界全体でサイバーセキュリティ開示の取り扱いをどのように変えるかについて、重要な示唆を与えています。長期的には、このような訴訟が増えることで、企業はより厳格なサイバーセキュリティ対策と透明性の高い報告慣行を採用することになるでしょう。これは、投資家、顧客、そして社会全体の信頼を確保する上で不可欠なステップです。

from The SEC’s SolarWinds Case: What CISOs Should Do Now.

投稿者アバター
admin
自己紹介の全文を表示
読み込み中…
読み込み中…