サイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント開示に関するSEC規則17が2023年12月15日に施行された。この規則では、公開企業に対し、オペレーショナル・リスク(事業運営の中断)、知的財産の窃盗、詐欺、恐喝、従業員や顧客への危害、プライバシー法違反、その他の法的リスクや風評リスクなど、サイバーセキュリティの脅威を特定し管理するための方針と手順がある場合には、それを開示するよう求めている。また、この規則では、企業は重要なサイバーセキュリティインシデントを4日以内にForm 8-Kで開示することが義務付けられている。
これらの規則へのコンプライアンスを維持するために、CISOやその他の経営幹部は以下の4つの重要な質問に答える必要があります:
1.私たちのビジネス機能が頼りにしている「王冠の宝石」、つまり資産とは何か?
クラウン・ジュエルは、重要なオペレーションを実行し、ビジネスの機能性を保証する資産です。これらの重要な資産とそのネットワークが侵害されると、ビジネスの安全性、財務、風評に深刻な影響を及ぼす可能性がある。これらの資産を特定することは、効果的なリスク管理戦略の第一歩として不可欠です。
CISOは、部門長や経営幹部と緊密に連携して、これらの主要なインフラ・コンポーネントを特定し、サイバーインシデントによってそれらがどのような影響を受ける可能性があるかを特定する必要がある。これをうまく行うには、ビジネス全体のすべてのIT、OT 、IoT デバイスの徹底的なインベントリが不可欠である。特定されたら、これらの資産をリスク軽減策とインシデントレスポンス計画の観点から優先順位付けする必要がある。
2.重要性とは何か?
重要性はSECサイバーセキュリティ規則の中心的な概念であり、財務的な影響だけではない。重要性の定義は、業務の性質によって組織によって異なる可能性がある。重要なインフラを運営する企業によっては、健康や安全、環境問題、あるいは地域や国の経済への影響も含まれるかもしれない。
CISOは、CFO、法務チーム、その他の経営幹部と緊密に連携し、組織の目的や価値観に沿った重要性の明確な定義を確立すべきである。これにより、どのようなサイバーインシデントがSEC開示の対象となるかを特定するための段階が整い、組織全体で重要性の一貫した理解を確保することができる。
3.どうすれば平均復旧時間(MTTR)を短縮できるか?
サイバーセキュリティの世界では時間が最も重要であり、是正されたイベントと破壊的なインシデントの間にすべての違いがあります。SECのサイバーセキュリティ規則は、組織が重要であると判断したサイバーセキュリティインシデントを4日以内に開示することを求めている。4日間というのは、インシデントが "重要 "であると判断されてから4日間ということである。CISO は、インシデントの検出、調査、開示に要する時間を正確に判断する必要もある。
この問いに効果的に答えるために、CISOは資産目録、サイバーセキュリティソリューションとレポート機能、インシデントレスポンスプロセスの包括的な評価を実施すべきである。これらのレビューには、ITおよびOT の利害関係者だけでなく、これらのプロセスを合理化し、対応時間を短縮するための法務およびコンプライアンス・チームも含めるべきである。これにより、新規則の遵守が確実になるだけでなく、サイバーインシデントによる潜在的な影響も最小限に抑えることができる。
4.インシデント・レスポンス計画は準備万端か?
復旧時間目標(RTO)はサイバーセキュリティにおいて不可欠であり、インシデントの影響を決定する上で重要な役割を果たす。組織は、インシデントの重要性を検討する前に、事業の特定の機能において、どれくらいの期間、運用の低下を経験する余裕があるかを定義する必要がある。これらの目標は、組織の全体的なリスク許容度や事業継続の目標と整合させる必要があります。
CISO は、経営幹部と協力して、明確かつ達成可能な RTO を設定すべきである。これには、サイバーセキュリティ対策の強化、冗長性への投資、インシデントレスポンス計画の見直し、それらの計画をテストするための演習の実施などが含まれる。RTO を定義することで、サイバーインシデントの影響を最小化するために組織が効果的に対応できるようになる。
結論
SECの新しいサイバーセキュリティ規則が施行されたことで、CISOは仕事が増えている。クラウンジュエルの特定、重要性、平均復旧時間、インシデントレスポンス計画はすべて、コンプライアンスを促進するだけでなく、組織のデジタル資産と評判を守るサイバーセキュリティとリスク管理の重要な側面である。
これらの規則を受け入れることは、役員室におけるサイバーリスク管理の議論を再構築する機会である。今日から率先して、組織全体の他の幹部やリーダーと協力し、進化する脅威と規制の状況に立ち向かいましょう。
この投稿で提供される情報は、法的助言を構成するものではなく、またそれを意図するものでもなく、一般的な情報提供のみを目的としてご利用ください。
