Moody’s Ratingsの報告書によると、CISOをはじめとするサイバーセキュリティ担当者の役割と求められる責任に変化が生じている。この背景にはどのような要因があるのか。
国際的な信用格付け機関であるMoody’s...
Moody’s Ratingsは、CISOやその他のサイバーセキュリティマネジャーが経営幹部や取締役会への定期的な情報共有について確認した。報告書によると、サイバーセキュリティマネジャーの約40%は、CEOと毎月ミーティングをしているという。2020年のSolarWindsやその他の企業へのマルウェア「Sunburst」によるサプライチェーン攻撃、そして2021年のColonial Pipelineへのランサムウェア攻撃以降、CISOの役割は進化してきた。 ランサムウェア攻撃を隠蔽(いんぺい)したとしてUberの元CISOが起訴されたり(注2)、サイバーリスクについて投資家を欺いたとしてSolarWindsのCISOがSECから起訴されたりするなど(注3)、CISOに対する監視の目は厳しくなっている。
大手企業はCISOにより多くの可視性や責任、監督責任を与えている。米国証券取引委員会(SEC)のインシデント報告規則や、今後の施行が予定されている「Cyber Incident Reporting for Critical Infrastructure Act of 2022(CIRCIA)」において求められる迅速な脅威の発見と開示の必要性を考えると、彼らのリーダーシップは重要だ。 SECの規則では、重大なインシデントが判明してから4営業日以内に、企業はSECに報告しなければならない(注4)。CIRCIAでは、30万を超える事業体を含む(電力やガス、鉄道、空港などの)重要インフラプロバイダーは、事件が発生してから72時間以内に連邦当局に重大なインシデントについて報告する必要がある(注5)。最終規則の完成は約18カ月後となる予定だ(注6)。
日本 最新ニュース, 日本 見出し
Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。
セキュリティベンダーの資金調達は3年ぶりの低水準 採るべきビジネス戦略とは:Cybersecurity DivePinpoint Search Groupによると、2024年第1四半期の資金調達額は23億ドルに達したが、2021年第4四半期の80億ドルと比較すると低い数値となった。資金調達額が縮小する中、大手サイバーセキュリティベンダーはどのようなビジネス戦略を採るのか。
続きを読む »
新たなサイバーインシデント開示規則“CIRCIA”は事業者に何を求めるのか?:Cybersecurity Dive重要インフラプロバイダーに対して、高い影響力を持つと考えられる「2022年重要インフラに関するサイバーインシデント報告法」(CIRCIA)が18カ月以内に施行される。これはいつ施行され、事業体に何を求めるのか。CIRCIAの概要を解説する。
続きを読む »
Mandiant、IvantiのVPNを狙うサイバー攻撃に関する調査を公開 高度な攻撃を観測:Cybersecurity DiveMandiantは、Ivanti Connect Secureを狙ったサイバー攻撃について調査を公開した。これを狙った8つの脅威グループを特定し、侵入後の活動についても報告した。
続きを読む »
そのインシデントは“重大”か? 判断の指標となる定量的/定性的な要素:Cybersecurity DiveSECが定めたサイバーインシデントの報告に関する新しい規則は、被害企業に対し、インシデントの重大性を評価するように求めている。では、それはどのように判断すればいいのか。判断に活用できる定量的/定性的な要素を紹介する。
続きを読む »
企業向けソフトウェアの脆弱性を狙う攻撃が“爆増” 特に注意すべきものは:Cybersecurity DiveRecorded Futureは、企業のソフトウェアやVPNなどのネットワークインフラにおいて、高リスクの脆弱性が積極的に悪用されるケースが約3倍に増加していると報告した。
続きを読む »
サイバースパイは意外と身近にいる? 個人のデータまで標的になる時代が到来:Cybersecurity Dive悪質な国々はさまざまな悪意ある目的のために米国が保有する大量のデータを求めている。そしてその標的は大規模な企業だけでなく、中小企業や個人にまで及ぶだろう。
続きを読む »