2024年度クラウドネイティブセキュリティおよび利用状況レポート
SECの新しいサイバーセキュリティ開示規則は、上場企業に対し、サイバーセキュリティプログラムのガバナンスとリスク管理、関連する専門知識、重大なインシデントのタイムリーな開示の重要性に焦点を当てています。これらの規則は、サイバーセキュリティに関する課題全体に対処するものではありませんが、組織のリーダーシップに火をつけ、サイバーセキュリティの強化、ソフトウェアサプライチェーンのセキュリティ向上、セキュリティインシデントの影響軽減などのプラスの効果を生み出すことが期待されています。
多くの組織はセキュリティのために最低限のことを行い、準拠したアプローチを選択する傾向があります。効果的なセキュリティプログラムの実装と運用は困難であり、技術の弱さよりも情報不足、政治の対立、予算の削減などが原因であることが多いです。
SEC規則は、CISOやセキュリティリーダーが取締役会に出席しやすくし、組織内のコミュニケーションを改善するのに役立つと期待されています。しかし、規則にはいくつかの課題があり、特に中小規模の組織にとっては影響が大きい可能性があります。インシデントの開示に関するタイトなスケジュール、重要性の主観的な解釈、サイバーセキュリティの専門知識の定義の曖昧さなどが挙げられます。
また、SEC規則は、サイバーセキュリティプログラムの基準に関する曖昧さや、コスト増加の懸念、情報開示の質の低下、矛盾する開示スケジュールの合理化、サプライヤーのリスク責任など、さまざまな問題を引き起こす可能性があります。これらの問題に対処するためには、組織がセキュリティインシデントの重要性を適切に評価し、リスク管理とガバナンスのプロセスを強化することが重要です。
詳細はこちら
