高まるサイバーセキュリティに関する経営責任
今日、ランサムウェア攻撃対応に限定されず、サイバーセキュリティ対策に関する経営責任はますます高まっている。
冒頭のコロニアル・パイプライン事案後、米国では重要インフラ事業者に一定の報告義務を課すための法案が提案・検討されてきた。ロシアによるウクライナ全面侵攻(22年2月24日)を端緒として、米国インフラ企業のサイバーリスクが向上しているとの認識もあり、「2022年重要インフラ に関するサイバーインシデント報告法(CIRCIA)」が成立した。
CIRCIAにより、米国の16の重要インフラ事業者はサイバーインシデントが発生してから72時間以内に米国国土安全保障省サイバーセキュリティ・インフラセキュリティ庁(CISA)への報告義務を負う。CISAのファクトシートによれば、優先的に報告すべき内容は、①インシデントの発生時期、②インシデントの発生場所、③観測された活動のタイプ、④事象の詳細説明、⑤影響を受けた人やシステムの数、⑥企業・組織名、⑦連絡先(PoC)の詳細、⑧事象の深刻度、⑨重要インフラセクター、⑩その他に情報共有した先である。ランサムウェア攻撃については、身代金支払いに関する情報の報告が求められる。
日本でも重要インフラ企業の経営責任はより明確化されつつある。政府は6月17日、「重要インフラのサイバーセキュリティに係る行動計画」を改訂した。前身となる「第四次重要インフラの情報セキュリティに係る行動計画」から5年ぶりの新たな行動計画だ。新たな計画では、電力、通信、金融など14の重要インフラセクターの経営者に対して、サイバーセキュリティ対策に関する義務を明示し、供給網全体のサイバーセキュリティ向上などが示された。
サイバーセキュリティに関する経営責任は、いうまでもなく重要インフラ企業だけに限定されない。
「経営責任」に言及したガイドラインはいくつかあるものの、端的なものは全米取締役協会(NACD)とインターネット・セキュリティ・アライアンス(ISA)が14年に公開し(第2版:17年、第3版:20年)、日本経済団体連合会(経団連)が日本語訳を公開した『サイバーセキュリティハンドブック』だ。
『ハンドブック』は取締役と取締役会に対するサイバーセキュリティに関する責任を示す。例えば、取締役会は専門的な知識にアクセスできる状態でサイバーリスク管理を定期的に議論すべきであること、取締役はサイバーセキュリティを全社的なリスク管理の問題と捉え、法的意味を理解し、十分な人員と予算を投入し、リスクへの対処方法を議論すべきことを「原則」と位置付ける。
さらにいえば、企業のサイバーリスク対応は、対投資家や対市場といった観点でも、ますます重要性が高まっている。
米国証券取引委員会(SEC)は22年3月9日、公開企業によるサイバーセキュリティに特化したリスク管理、戦略、ガバナンス、インシデントの公表に関する規則案を公開した。重大なインシデントについては、4営業日以内に財務状況や株価に影響を与える重要事項に関する報告書式(Form 8-K)での開示などを求めている。
この傾向は、SECの運用や執行の観点でも確認できる。SECは21年6月15日、史上初めてサイバーセキュリティ関連の不適切な情報開示を理由に、不動産セクター向けの決済事業者に罰金を課した。
確かに本件は既知の脆弱性を意図的に放置したり、経営幹部に報告を怠るなど、事業者に相当な過失があり、罰金も約50万米ドル程度であるが、SECのサイバーセキュリティに焦点を当てた運用という点で注目に値する。
これまで何年もの間、企業経営にとってサイバーセキュリティは重要だと言われ続けてきた。だが今日では、報告や開示の義務といった観点で経営責任がより明確化されつつあることに留意する必要がある。
いまやすべての人間と国家が、サイバー攻撃の対象となっている。国境のないネット空間で、日々ハッカーたちが蠢き、さまざまな手で忍び寄る。その背後には誰がいるのか。彼らの狙いは何か。その影響はどこまで拡がるのか─。われわれが日々使うデバイスから、企業の情報・技術管理、そして国家の安全保障へ。すべてが繋がる便利な時代に、国を揺るがす脅威もまた、すべてに繋がっている。
特集はWedge Online Premiumにてご購入することができます。
