2024年度クラウドネイティブセキュリティおよび利用状況レポート
SECの新しい「サイバーセキュリティ・リスク管理、戦略、ガバナンス、およびインシデント開示」規則は、上場企業に対し、サイバーセキュリティの専門知識の開示、サイバーセキュリティ戦略・ガバナンス・リスク管理プロセスの維持、重大なサイバーセキュリティインシデントの4営業日以内の開示を求めています。
これらの規則は、2011年と2018年に再規定され、洗練され、2023年に再度修正されました。
特に中小企業は、SECの要件に合致するセキュリティプログラムを運営するのに十分なサイバーセキュリティの専門知識があるかどうかを検討する必要があります。
また、企業は基本的なセキュリティ衛生を守り、効果的なサイバーセキュリティプログラムを維持する必要があります。
SECの開示規則は、投資家が投資先のサイバーセキュリティプログラムとインシデントの履歴を評価できるようにすることを目的としています。
上場企業は、2023年12月15日から年次開示要件に、2023年12月18日からインシデント開示要件に準拠する必要があります。
小規模企業は、インシデント開示要件の準拠期限が2024年6月15日まで延長されています。
企業は、サイバーセキュリティのポスチャーを評価し、リスク管理プログラムを強化し、セキュリティプログラムを文書化し、必要に応じて人材を確保することが求められます。
また、セキュリティツールの再検討、脅威の検出および対応機能の確保、インシデント対応ワークフローの拡張なども重要です。
サイバーセキュリティインシデントに見舞われた場合、企業は迅速な開示、メディア対応、販売戦略の準備、顧客やパートナーへのコミュニケーション、訴訟の準備などを行う必要があります。
