Last Updated on 2024-07-19 14:08 by admin
米国地裁のポール・A・エンゲルメイヤー判事は、SolarWindsとその最高情報セキュリティ責任者(CISO)であるティム・ブラウンに対する証券取引委員会(SEC)の訴訟の多くを却下した。この裁定により、SolarWindsの製品Orionの侵害後に行われた声明や提出物に関して、同社とブラウンは責任を問われないこととなった。しかし、サイバー攻撃に至るまでの会社のサイバーセキュリティ体制に関する誤った表現については、SECの訴えが進行することが許可された。
この裁定は、SolarWindsが今年1月に提出したSECの訴訟の却下を求める動議に対するものである。法律およびサイバーセキュリティの専門家は、この裁定が他の上場企業に対して、サイバーセキュリティ事故の開示規制にどう対処すべきかについての指針を提供する前向きな動きであると評価している。
SolarWindsのスポークスパーソンは、裁定に「満足」しているとの声明を出し、残る主張について自社の証拠を初めて提示し、事実的に不正確であることを示す機会を楽しみにしていると述べた。また、業界、顧客、サイバーセキュリティ専門家、政府関係者からの支援に感謝の意を表した。
CISOのジェシカ・シカは、SolarWindsの従業員間の内部コミュニケーションの証拠を棄却した裁判所の決定を特に歓迎し、セキュリティの状態について内部で議論できる必要性を強調した。また、フレッド・クォン博士は、CISOを個人的に責任を問うことの問題点を指摘し、この裁定が組織のセキュリティ体制を弱める先行例を設定することを避けたと評価した。
【ニュース解説】
米国地裁のポール・A・エンゲルメイヤー判事による最近の裁定では、SolarWindsとその最高情報セキュリティ責任者(CISO)であるティム・ブラウンに対する証券取引委員会(SEC)の訴訟の多くが却下されました。この訴訟は、SolarWindsの製品Orionのセキュリティ侵害後に同社とブラウンが行った声明や提出物に関するものでしたが、これらについては責任を問われないことになりました。しかし、サイバー攻撃に至るまでの期間における会社のサイバーセキュリティ体制に関する誤った表現については、SECの訴えが進行することが許可されました。
この裁定は、サイバーセキュリティ事故の開示に関する規制に対する企業の対応に関して、他の上場企業にとって重要な指針を提供するものです。特に、事故後の情報共有に関してSolarWindsの行動が肯定されたことは、業界全体にとって前向きなメッセージとなります。企業は、セキュリティ事故が発生した際に、その詳細を迅速かつ正確に公開することの重要性を再認識する必要があります。
この裁定のもう一つの重要な側面は、CISOの役割と責任に関するものです。裁定により、CISOがセキュリティの状態について内部で自由に議論できる環境が保証され、組織内でのオープンなコミュニケーションが促進されることになります。これは、セキュリティ体制の強化に不可欠な要素です。
しかしながら、この裁定はまた、企業がサイバーセキュリティに関する公的な声明を行う際には、その正確性と真実性を確保する必要があることを強調しています。SolarWindsの事例では、サイバー攻撃前のセキュリティ体制に関する誤った表現が問題となりました。これは、企業がセキュリティに関する公的なコミュニケーションを行う際には、過度に楽観的な評価を避け、現実的なリスク評価に基づく必要があることを示しています。
長期的な視点では、この裁定はサイバーセキュリティの透明性と責任に関する議論を促進することになるでしょう。企業は、セキュリティインシデントの開示に関する規制に適切に対応するために、内部プロセスを見直し、改善する必要があります。また、CISOの役割がより明確に定義され、組織内でのセキュリティに関するコミュニケーションが強化されることが期待されます。この裁定は、サイバーセキュリティの実践における新たな標準を設定する一歩となる可能性があります。
from SolarWinds Charges Tossed Out of Court in Legal Victory Against SEC.