20年前に制定されたサーベンス・オクスリー法(SOX法)は、特に会計の透明性と財務報告の分野において、企業経営を一変させた。この画期的な法律は、米国史上最大の倒産となった悪名高いエンロン・スキャンダルを含む、一連の壊滅的な企業財務の失敗の灰の中から生まれた。
2023年になると、証券取引委員会(SEC)が提案するサイバーセキュリティに関する規則や改正案は、SOX法とは異なるが同様に重要な問題、すなわち事業存続に対するサイバー脅威への対処を目指す、今日のSOX法と類似したものとなる。このような規制の変更は、サイバー攻撃の数と影響を減らし、サイバーリスクの管理を改善し、サイバーセキュリティに対する取締役会の説明責任を強化する上で、同様の意味を持つ可能性がある。
SOX法とは何か、なぜ機能したのか?
サーベンス・オクスリー法は、コーポレート・ガバナンス、財務報告の完全性、ひいては会計不祥事の防止にプラスの影響を与えたとして、広く称賛されている。SOX法は、複雑なビジネスモデルの不明瞭さ、理解しにくい財務諸表、積極的なリスクテイク行動など、こうした不祥事の原因となる重大な問題に対処することを目的としている。同法はまた、監査法人と企業との関係を再構築し、財務報告の信頼性を確保することに成功した。また、会計専門家を独立的に監督する公開会社会計監視委員会(PCAOB)を設立し、説明責任と透明性のための強固なシステムを構築した。
サイバーSOX?
同様に、提案されているSECのサイバーセキュリティ規則は、今日のデジタル化された企業環境におけるサイバー脅威に関する懸念の高まりに対処することを目的としている。これらの規則はまだ施行されていないが、その意図がSOX法のそれと一致していることは明らかである。この場合、財務上の虚偽表示ではなく、サイバー攻撃によってもたらされる損害から利害関係者(ステークホルダー)を保護することである。これには、企業が機密データやデジタル・インフラを保護するために適切な予防措置を講じ、強固なインシデントレスポンス計画を策定し、サイバーセキュリティ上のリスクや侵害を迅速かつ透明性をもって開示することが含まれる。
具体的には、上場企業の場合、現在のSECの提案は次のようなものである:
- 重要なサイバーセキュリティ・インシデントに関する最新の報告をForm 8-Kで行うことを義務付ける。
- 特に以下に関する定期的な開示を義務付ける:
- サイバーセキュリティ・リスクを特定し管理するための方針と手順
- サイバーセキュリティポリシーと手順の実施における経営陣の役割
- 取締役会のサイバーセキュリティに関する専門知識(もしあれば)およびサイバーセキュリティリスクの監督
- 過去に報告された重要なサイバーセキュリティ・インシデントに関する最新情報
- サイバーセキュリティの開示をインラインXBRL(Inline eXtensible Business Reporting Language)で表示することを義務付ける。
我が国のサイバーセキュリティ態勢を強化する必要性という文脈でSOX法が言及されたのは、このブログ記事が初めてではない。2020年12月、スザンヌ・スパルディング(Nozomi Networks 顧問、米国国土安全保障省(DHS)の国家保護・プログラム局(NPPD、CISAの前身)の元次官)は、サイバースペース・ソラリウム委員会(CSC)の同僚メンバーとの共著で、この新しいデジタル状況を反映するためにSOX法を更新し、サイバーセキュリティ規則案の初期バージョンを成文化するよう議会に求める、同委員会の勧告を強調するブログ記事を発表した。
このSECのサイバーセキュリティ提案は、企業に対するサイバー攻撃の頻度が増加し、そのレベルが高度化し、自動化されているため、すぐに実現することはできない。最近の調査によると、2022年の世界的なサイバー攻撃は2021年に比べて38%増加した。2021年はすでに困難な年であり、その年の5月には、おそらく最も注目を集めたサイバーセキュリティ事件であるコロニアル・パイプラインのランサムウェア攻撃が発生した。これらのサイバー攻撃の数は、より小規模で機敏なハッカー集団やランサムウェア集団によってもたらされたもので、彼らは在宅勤務環境で急速に採用されたCOVID-19以降のコラボレーションツールの利用を悪用することに重点を置いていた。コロニアル・パイプライン後の世界におけるサイバー攻撃の量と巧妙さに対して、組織は何の準備もしていない。この新しい世界では、悪用される前にリスクを特定し、修復するために、即座に行動し、防御の洗練化と自動化を同等に利用する必要がある。 簡単に言えば、サイバー攻撃は、準備された防御策さえも凌駕し、凌ぎを削っているのである。
経営陣と取締役会の説明責任は重要か?
取締役会の説明責任という要素がなければ、SOX法がこれほど効果的なものとなり、企業の財務報告慣行に変革的な影響を与えたとは考えにくい。この要求事項により、組織の最上位層に新たなレベルの責任が課され、より慎重で正確な財務報告が促されることになった。SOX法では、最高経営責任者(CEO)と最高財務責任者(CFO)が、すべての財務報告および内部統制構造の正確性、文書化、提出に直接責任を負うことになり、彼らの個人的責任が増大した。これは、経営幹部が組織内の財務虚偽表示や不正行為について無知であると主張できなくなったことを意味する。
これらのSECサイバーセキュリティ規則の導入は、SOX法の効果と同様に、取締役会の説明責任の大幅な増大を意味する。SOX 法が取締役会に企業の財務の健全性に対する説明責任を課しているように、SEC の新規則は取締役会に組織のサイバーセキュリティ態勢に対する説明責任を課すことになる。これには、健全なサイバーセキュリティの実践を確保し、サイバーセキュリティに対する意識と備えの文化を醸成することが含まれる。
SECのサイバーセキュリティ規則はどのようなものになりうるか?
サーベンス・オクスリー法とSECサイバーセキュリティ規則案の比較分析を、次のレベルまで進めてみよう!SECのサイバー提案の具体的な詳細はまだ確定しておらず、一般にも公開されていないが、サイバー攻撃の可能性、頻度、影響を低減する上で、そのような規則をより効果的にする可能性のある選択された強化点について推測することは可能である(SOX法および財務報告の類似性に多少従う):
- 包括的サイバーセキュリティフレームワーク会計では、すべての会計士がGAAP(一般に公正妥当と認められた会計原則)を用いて発言し、報告する。サイバーセキュリティについては、NISTサイバーセキュリティ・フレームワークのような標準化された包括的なサイバーセキュリティ・フレームワークの採用を上場企業に義務付けることで、サイバーセキュリティのベストプラクティスを実施し、その実施状況を報告するための、信頼性が高く、十分に検証されたガイドを組織に提供することができる。
- 包括的サイバーセキュリティフレームワーク会計では、すべての会計士がGAAP(一般に公正妥当と認められた会計原則)を用いて発言し、報告する。サイバーセキュリティについては、NISTサイバーセキュリティ・フレームワークのような標準化された包括的なサイバーセキュリティ・フレームワークの採用を上場企業に義務付けることで、サイバーセキュリティのベストプラクティスを実施し、その実施状況を報告するための、信頼性が高く、十分に検証されたガイドを組織に提供することができる。
- 定期的なサイバーリスクと回復力の評価:監査済みの財務諸表を毎年提出するのと同様に、上場企業には、脆弱性を特定し対処するため、またSECのサイバーセキュリティ規制への準拠を確保するために、定期的なリスク評価(さらには侵入テスト)を実施することが求められるべきである。また、サイバー攻撃後の迅速かつ効果的な復旧を確保するため、最も重要なシステムの回復力を定期的に見直し、実践することも求められるべきである。
- 詳細なインシデント報告:すでに提案に含まれているように、サイバーセキュリティ・インシデントの報告を義務付け、タイムリーに行うことは、企業が直面するサイバー脅威の種類と規模に関する認識を高めるのに役立つ。また、この要件により、迅速な対応と緩和が促進され、攻撃による全体的な影響が軽減される可能性がある。さらに次の段階として、インシデントや攻撃の技術的詳細を共有すること(Threat Intelligence 共有)は、他の組織における同様のインシデントの防止に役立つ。
- 第三者のリスク管理:サイバー攻撃の多くは、サードパーティのサプライヤーやサービス・プロバイダーの脆弱性によって発生する。企業はサードパーティのリスクを管理し、サプライヤーやサービスプロバイダーが厳格なサイバーセキュリティ基準に準拠していることを確認することが求められるべきである。
- 取締役会レベルの説明責任の強化:すべての上場企業は、財務報告プロセスの監督、会計監査人の選定、内部および外部監査結果の受領に責任を負う監査委員会の設置を義務付けられている。SOX法の成立により、監査委員会は、内部告発者と財務専門家の開示要件が追加され、進化した。同様に、SECは、サイバーセキュリティの実践、サイバーリスク管理、および関連報告の監督に責任を負う特定のサイバーセキュリティ委員会を要求することができる。委員長は、これらの職務を有能に遂行できる最低限のサイバーセキュリティの専門知識を持つべきである。
- サイバーセキュリティ教育とトレーニング:多くの攻撃がヒューマンエラー(フィッシングなど)を悪用するため、全従業員に定期的なトレーニングを義務付けることで、サイバー攻撃のリスクを大幅に低減できる。
- サイバー保険の適用企業にサイバーセキュリティ保険への加入を義務付ける、あるいは奨励することで、サイバー攻撃による経済的な影響を最小限に抑えることもできる。
もちろん、SECのサイバーセキュリティに関する提案が法制化されれば(理想的には、この記事で取り上げたいくつかの機能強化が含まれる)、上場企業の中にはサイバー高度化のレベルが低いところからスタートする企業もあるため、完全なコンプライアンスに至るには限られた時間しかないはずである。これは、産業用サイバーセキュリティに投資しておらず、大きなギャップを埋める必要がある重要インフラ部門の企業に特に当てはまります。SOX 法は比較的短期間で導入・施行されましたが、解決すべきギャップは比較的小さいものでした。これらの新しいサイバーセキュリティ・ルールが企業のビジネス・モデルに組み込まれるには時間が必要である。
サイバーに特効薬はない!強力な防御と回復力のみ
SECの提案とこの投稿で提案された強化策によって、サイバー攻撃のリスク、頻度、影響を軽減することはできるが、一連の規則や規制によってこれらのリスクを完全に排除したり、攻撃を防止したりすることはできない。サイバーセキュリティは継続的なプロセスであり、常に警戒し、進化する脅威の状況に適応する必要がある。SOX 法は、上場企業における財務報告上の不祥事や不正行為をなくすことを保証するものではありませんが、経験則によれば、SOX 法によって不祥事や不正行為は大幅に減少しています。同様に、サイバーセキュリティは、ハッカーが進化し、危害を加えようと新たなテクニックを試みる、いたちごっこのようなゲームである。
SOX法との比較は、SECのサイバーセキュリティに関する提案の多くの側面において適切であるが、異なる側面として、回復力(不正行為が保証されていない一方で、サイバー攻撃はほとんど避けられない)が強く求められていることが挙げられる。おそらく、季節性インフルエンザに例えるのが適切だろう。インフルエンザにかかりやすい人は、より多くの予防策を講じるべきである(フェイスマスクやワクチンなど)。私たちの体の免疫システムは、万が一インフルエンザにかかったとしても、その影響を最小限に抑え、素早く立ち直ることができるよう、抗体を準備して万全の状態にしておくべきである。季節性インフルエンザやランサムウェア攻撃が、私たちの生活に致命的な影響を及ぼすことは、今の時代には妥当ではない。境界防御が機能しない場合、追加のセキュリティ戦術とレジリエンス対策を講じることで、影響の深刻さを軽減することができる。予防、検知、対応、そして回復力が鍵となる。
よりサイバーセキュアな未来を規制する
SOX法のように、サイバーセキュリティ規則案の有効性を事後的に評価するメリットはまだないが、アプローチや目的が類似していることから、これらの新規則は大きな影響を与える可能性がある。データ漏洩やサイバー攻撃がますます一般的になっている時代において、これらの新しいサイバーセキュリティ規則は、デジタル時代のSOX法かもしれない。SOX法が財務報告を改善し、取締役会に財務の完全性に対する責任を負わせたのと同じように、企業のサイバーセキュリティ慣行を変革し、取締役会にサイバー回復力に対する責任を負わせるものである。
