米国企業のサイバーセキュリティ被害の開示は不十分 ～決算短信と年次報告書の分析より～

※今号は生成AIによってドラフトされた内容を
執筆者が編集してお届けしています。

2023年12月18日に施行された
SEC（米国証券取引委員会）の
サイバー開示ルールは、
企業に対して重大なサイバーインシデントを
4営業日以内に報告することを
義務付けています。

このルールは、投資家の利益のために
サイバーセキュリティの透明性と説明責任を
向上させることを目的としています。

しかし、1年が経過した現在でも、
多くの企業がこのルールに適切に
対応できていないことが明らかになっています。

BreachRxの研究報告によると、
SECの新しいサイバー開示ルールは、
企業に対してサイバーインシデントの
迅速な報告とサイバーリスク管理の
詳細な開示を求めていますが、
多くの企業がこれに適切に対応できていないことが
明らかになっています。

BreachRxは、70件以上の8-K報告書（以下「決算短信」）
と400件以上の10-K報告書（以下「年次報告書」）を分析し、
企業がどのように対応しているかを調査しました。

その結果、下記が判明しました。

・具体的な影響を明示した決算短信は16.9%。
・初めてサイバーインシデントを報告した
決算短信のうち、具体的な影響を明示したのはわずか4%。
・多くの年次報告書は、企業のサイバーリスクと
インシデント対応および開示手順をほぼ同一の一般的な用語で記述。
・企業の40%がサイバーセキュリティの責任者を明示せず。

これらより、SECのサイバー開示ルールが
施行されてから1年が経過した現在でも、
多くの企業が適切に対応できておらず、
投資家の利益にもつながっていないことが
示唆されています。

2025年1月の米国新政権発足とともに
新しくSEC議長に指名されることが
想定されているポール・アトキンス氏は
投資家の利益を重視する姿勢でも知られています。
上記の現状にどのように対応していくかが注目されます。

※こちらは、執筆時点2024年12月18日での情報に基づいて書かれています。
従って、その後に明らかになった事などが
内容の充足度合いや正確さに影響を及ぼしている可能性が有ります。

弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。

つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく立ち位置を
意味しています。

目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。

そして、弊社は、ITインフラと
セキュリティのプロフェッショナル集団として
多数の実績を誇る株式会社アイロバと
密接なパートナー関係にあります。

同社はWAFのBlueSphereをはじめとした
国産独自開発のソリューションも多数保有し、
同時に、インターネットから脆弱性の
露出状況を把握できる
SecurityScorecardの国内代理店でもあります。

【監修】
サイバーレジリエンス株式会社　CTO 米沢 和希
■CISSP-ISSAP（情報システムセキュリティプロフェッショナル認定）
■CISA（公認情報システム監査人）
■PMP　(プロジェクトマネジメントプロフェッショナル国際資格）