Cloud CISO の視点: 新しい SEC ルールがビジネス リーダーにもたらすメリット
Google Cloud Japan Team
※この投稿は米国時間 2024 年 1 月 23 日に、Google Cloud blog に投稿されたものの抄訳です。
1 年の最初の「Cloud CISO の視点」をお読みいただきありがとうございます。これは 1 月に 2 回発行されるうちの最初のニュースレターです。本日は、米国証券取引委員会が規定しているサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示ルールの重要な変更点をいくつか取り上げてご説明します。
これまでのすべての「Cloud CISO の視点」と同様、このニュースレターのコンテンツは Google Cloud 公式ブログに投稿されます。このニュースレターをウェブサイトでご覧になっており、メール版の受信をご希望の方は、こちらからご登録ください。
新しい SEC ルールがビジネス リーダーにもたらすメリット
新しい年の始まりは新たなチャンスをもたらしますが、それは必ずしも私たちが期待する方法でもたらされるとは限りません。2024 年に新しい現実となるものの一つが、米国取引所の上場組織が SEC の新しいルールの対象になることです。この変更は昨年 12 月に適用されました。この新しいルールは、対象組織に対し、重大なサイバーセキュリティ インシデントをいつ、どのように開示する必要があるかを要件として定義しており、サイバーセキュリティの脅威によるリスクの管理と監視の状況を年次で開示することを新たに義務付けています。これらの要件により、CISO に対する監視がさらに厳しくなる可能性があります。
これに怖気づくかもしれませんが、新しいルールは侵害の開示に関する期待を明確にするのに役立ち、サイバーセキュリティ インシデントの開示、ドキュメントのガバナンス、コンプライアンス、リスク管理プログラムを改善することにもなるでしょう。
たしかに、私たちは公開会社に対し、重大なサイバーセキュリティ インシデントが発生した場合に SEC に Form 8-K 臨時報告書を提出することを明示的に義務付け、侵害関連の開示を正式に行うことを期待しています。これらの臨時報告書には、報告する組織に対するインシデントの「性質、範囲、時期、および重大な影響、または重大であると合理的に考えられる影響」を含める必要があります。
ただし、組織は、将来インシデントにさらされる可能性が生じるような技術的な詳細情報を過度に提供する必要はなく、また重要な点として、インシデントが発見された直後に報告書を提出する必要はありません。代わりに、インシデントが重大であると判断してから 4 日以内に SEC に報告書を提出する必要があります。ルールによると、「合理的な投資家が重要であると考える可能性が高い」場合は重大なインシデントです。
組織でインシデント対応計画を立てていない場合、または新しいルールに照らして計画を見直していない場合、それらを行うとても良い機会になります。
つまり、インシデントの重大性を判断するには、法務、ビジネス、技術チームが結集して判断を下す必要があるため、組織内でのクライシス コミュニケーションを改善する必要があります。この目標を達成するには、機密情報を共有することなく開示ルールを遵守するには、SEC に何を報告する必要があるかについて話し合い、より入念に早くから準備を行う必要があります。組織でインシデント対応計画を立てていない場合、または新しいルールに照らして計画を見直していない場合、それらを行うとても良い機会になります。
また、情報開示自体が国家安全保障や公共の安全に重大なリスクをもたらす場合、組織は司法省に対して SEC へのインシデント報告の遅延を要請することもできます。開示遅延の対象となる可能性のある過去の例を確認したところ、遅延を要請するには、組織が技術チームを動員して対象となる可能性のあるインシデントを特定し、関連する司法省のガイダンスをよく理解しておく必要があることがわかりました。
ビジネス リーダーやセキュリティ リーダーの方々には、インシデントが発生したら CISA や FBI との連携を優先することをおすすめします。特に、これは SEC の報告要件とは無関係で、これによって 4 日間のタイムラインが開始されるわけでもありません。最近のいくつかのインシデントからも明らかなように、連邦政府機関との連携は、ビジネスの回復プロセスに役立ち、今後の被害を防ぐための貴重な分析情報を提供することにもなります。
新しい SEC 報告プロセスは、組織が遵守する必要がある数多くの米国のインシデント対応規制(重要インフラに影響を与えるサイバーセキュリティ インシデントの報告を求める、施行が予定されている CIRCIA の 72 時間の期限など)の一つにすぎません。
新しいルールの要件を満たせることのビジネス価値は明らかであり、Google のベスト プラクティス ガイダンスにも合致します。組織がセキュリティ成熟度とリスク管理により真剣に取り組むことで、重大なサイバー インシデントの影響を受けにくくなり、投資家にとっての魅力が増す可能性があります。
その他の最新情報
セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。
- シャドー AI に焦点を当てる: リスクの高い AI の実践から守る方法: 消費者向けの AI をビジネスで使用するシャドー AI という新たなトレンドは、組織にリスクをもたらします。この記事では、エンタープライズ グレードの AI を利用すべき理由をご紹介します。詳細はこちら。
- 欧州の組織は Google の Sovereign Cloud ソリューションでイノベーションを実現: Google の Sovereign Cloud ソリューションが生成 AI やデータ分析といった画期的なテクノロジーの導入を加速している実例をご確認ください。詳細はこちら。
- マラガに新設されたサイバーセキュリティ センターがヨーロッパの安全を強化: マラガの Google セキュリティ エンジニアリング センターは、サイバーセキュリティとマルウェア分析の最新技術の開発を促進する新たなハブです。詳細はこちら。
- 認証情報の自動検出ツールを導入し、クラウド環境のセキュリティを強化: Google Cloud は、保存されている平文の認証情報を検出してモニタリングできる Sensitive Data Protection のシークレット検出ツールをリリースしました(無料)。詳細はこちら。
Mandiant からのニュース
- APT と疑われるグループが新たなゼロデイ悪用で Ivanti VPN を標的に: VPN プロバイダである Ivanti は、Mandiant と連携して、積極的に悪用されている Ivanti アプライアンスの 2 つの新しい脆弱性を緩和しています。世界中の 10,000 を超える導入組織のうちのうち、数百もの組織が影響を受けたことが特定されました。Ivanti が提供する推奨緩和手順を組織で行っていただく必要があります。詳細はこちら。
- Solana 暗号通貨資産が最近の攻撃で盗難: 2023 年 12 月以降、多数の脅威アクターが CLINKSINK ドレイナーを使用して Solana 暗号通貨ユーザーから数十万ドル相当の資金とトークンを盗むキャンペーンを実施しました。詳細はこちら。
Google Cloud セキュリティおよび Mandiant のポッドキャスト
- 交差するクラウド: サイバーセキュリティ、地政学、AI が交わる場所: クラウドは地政学と物理的戦争にどのような影響を及ぼすでしょうか。米国海軍大学で国家安全保障の教授兼学部長を務める Derek Reveron 氏と、ブラウン大学コンピュータ サイエンスの An Wang 名誉教授である John Savage 氏が、Cloud Security Podcast のホストである Anton Chuvakin と Tim Peacock とともに、スパイ活動、戦闘、世界政治に対するクラウドの影響についてディスカッションします。ポッドキャストを聴く。
- ブルーボックス化からネットワーク セキュリティを介した基盤モデルまで: Google ネットワーク セキュリティのエンジニアリング リードである Mike Schiffman が、ネットワーク セキュリティに取り組むために Google に加わった理由と、そこで発見した予期せぬネットワーク セキュリティの課題、そして生成 AI 基盤モデルで何をすべきかについて語ります。ポッドキャストを聴く。
- DDoS を利用し続けるハクティビスト: 2024 年の最初の脅威トレンドのエピソードでは、ホストの Luke McNamara が Mandiant のシニア テクニカル ディレクターである Jose Nazario 氏、主席アナリストである Alden Wahlstrom 氏と Josh Palatucci 氏とともに、昨年追跡したハクティビストによる分散型サービス拒否攻撃について詳しく掘り下げます。ポッドキャストを聴く。
- 2023 年の最前線からの事例: Mandiant Consulting の地域リーダーである Doug Bienstock 氏と Josh Madelay 氏がホストの Luke とともに、2023 年の侵害への対応で目撃したトレンドをいくつか取り上げて説明します。Madelay 氏と Bienstock 氏が、ビジネスメール詐欺(BEC)、一般的な最初の感染経路、ソーシャル エンジニアリング戦術などの現状を取り上げます。ポッドキャストを聴く。
月 2 回発行される「Cloud CISO の視点」をメールで受信するには、こちらからニュースレターにご登録ください。また 2 週間後に、Google Cloud からセキュリティ関連の最新情報をお届けします。
ー Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables