特定の個人的な目標を達成するために、短期または長期の計画を立てることは、誰もが経験したことがあるだろう。しかし、事業計画にはより大きなリスクを伴うことが多く、十分に検討されていない計画がもたらす結果は、金銭的損失や評判の低下、さらには倒産に陥るまで広範囲に及ぶ可能性さえある。サプライチェーンや業務の強靭性・復旧力を強化するため、規制がより包括的な範囲へ広がっている時代において、企業に課される市場の要求は一層高まっている。

情報セキュリティに目を向けると、欧州のGDPR（欧州一般データ保護規則）や米国のCCPA（カリフォルニア州消費者プライバシー法）、CPRA（カリフォルニア州プライバシー権法）、NIST（米国立標準技術研究所）のサイバーセキュリティフレームワークなどの規制をはじめとして、リスク管理の中心は個人情報保護へと移行してきた。実際、AIによるイノベーションや公開データの拡散がさらに進むにつれて、消費者を保護する規制や機密情報の保護を企業に求める法規制は、今後さらに増えることが予想される。企業がこれらの法規制を遵守し続けるには、データ保護対策をより強化し、監視や報告の体制を整える必要がある。

サイバーセキュリティ規制への対応が求められる背景

サイバーセキュリティ規制にはそれぞれ異なる要件があるが、その目的は共通している。許可されていない情報へのアクセスや取得、悪用からデータを保護することだ。個々人の銀行口座や健康に関する情報、あるいは企業の知的財産などのデータに関しては、特にその責任は大きくなる。

規制は極めて複雑であるため、各企業はその責任を果たす方法を理解し、順守する方法を知っておく必要がある。ただし、これらの責任は業務の範囲や所在地に加えて、業種や企業のクライアントやパートナーによって大きく異なる場合がある。

関連記事：特定の規制に対応する方法については、ESETの企業向けサイバーセキュリティ規制対応の記事を参照。

したがって、規制対応の実現は気が遠くなるほど困難な作業になる可能性がある。とはいえ、これは単なる法的な確認作業にとどまらず、企業に長期的な価値をもたらす重要な投資にもなり得る。しかし、企業の中でも特に中小企業においては、サイバーセキュリティリスクへの備えや規制対応は十分とは言えないのが実情だ。

サイバー攻撃の脅威が拡大する中、準備を怠ったり、十分に対策できていると錯覚すれば、壊滅的な被害を受ける恐れがある。これは数字の上でも明らかだ。IBM社が2024年に発行した情報漏えいコストに関するレポートによれば、全世界における情報漏えい時に発生した平均コストは488万ドル（7億2,800万円相当）に上っている。

不十分な対策によって生じた被害

規制対応の重要性を再認識するため、基本的な対策に従っていれば企業・組織が受けた被害を大幅に軽減できたであろう主要なインシデントについて紹介する。

インターコンチネンタル取引所（ICE）

インターコンチネンタル取引所は、ニューヨーク証券取引所（NYSE）を傘下に持つ金融機関として知られている。2024年、同社はシステムへの不正侵入を米国証券取引委員会（SEC）へ期限内に報告せず、レギュレーションSCI（Systems Compliance and Integrity）に違反したとして、1,000万ドル（15億円相当）の罰金を科された。

このインシデントは、ICE社のVPN（Virtual Private Network）機器に潜んでいた未知の脆弱性を突いた攻撃者が、社内ネットワークへ不正侵入したものである。不正侵入を認識していたにも関わらず、ICE社は子会社の法務担当者およびコンプライアンス担当者への報告を数日間怠っていたことが米国証券取引委員会によって明らかにされた。そのため、ICE社は社内のサイバーインシデント報告プロセスに違反し、子会社は不正侵入リスクを適切に評価できなくなった。最終的に、同社は第三者機関への開示義務を怠る結果となった。

SolarWinds

SolarWinds社は、企業向けITインフラ管理ソフトウェアを開発する米国企業だ。2020年、同社が開発したソフトウェア「Orion」を介して、多数の政府機関や大企業が情報漏えいの被害に遭った事件が報じられた。この「SUNBURST」攻撃は、全世界に影響を及ぼしたサプライチェーン攻撃として広く知られている。米国保険福祉省、財務省、国務省などの政府機関や大企業が被害を受けた。米国証券取引委員会の訴状では、このソフトウェア会社がサイバーセキュリティの実践と既知のリスクについて投資家を欺いたと主張している。

米国証券取引委員会が「重大な」インシデントに対するサイバーセキュリティリスク管理に関する規則を導入したのは2023年のことだ。それ以前は、多くの米国企業において迅速かつ正確な報告が重視されていなかった点は認識しておくべきだろう。つまり、強固なサイバーセキュリティ対策の一環として（あるいは、特定の規制を遵守する目的で）定期的なリスク評価・報告が行われているならば、権限や責任の度合いに応じて、どのようにセキュリティ報告の体制を構築するかは企業の裁量に委ねられる部分が大きかった（米国証券取引委員会は、その報告体制に関してSolarWinds社に違反があったと指摘）。

情報漏えいによる金銭的損失と評判の低下は極めて大きなものとなった。被害者は1万8,000人を超え、被害企業あたりのコストは数百万ドル（数億円相当）に達する可能性がある。このインシデントが示したことは、セキュリティ対策や規制対応を軽視することはコスト削減ではなく、むしろ負債を生むという現実だ。

Yahoo

もう1つの重要なインシデントとして、米国Yahoo社が2014年の情報漏えいを隠ぺいしたとして、米国証券取引委員会から3,500万ドル（52億2,000万円相当）の罰金を科された件が挙げられる。しかし、事態はこれで終わらなかった。その後の集団訴訟により、被害者への和解費用を含め、米国Yahoo社の負担は1億1,750万ドル（175億円相当）に上った。これは、米国Yahooユーザーの認証情報5億件が漏えいした結果である。さらに、同社は情報漏えいを隠ぺいし、開示を2年間遅らせたため、投資家を欺いたことになった。

加えて、米国Yahoo社は1年前にも別のインシデントに見舞われており、30億のユーザーアカウントが影響を受けていたことが事態を悪化させた。同社は2016年まで情報漏えいの事実を公表せず、2017年になってようやくインシデントの全容を反映する形で開示内容を修正した。

透明性を維持し、情報漏えいの即時報告を徹底すれば、今後、同様のインシデントを防ぎ、被害を軽減できるはずだ。例えば、被害に遭ったユーザーがすぐにパスワードを変更し、攻撃者による不正アクセスを防ぐことができる。

規制対応に向けた5つのステップ

規制対応を実施するにあたり、あらゆる企業が行える基本的な対策について解説する。特定の規制や要件に対応するには、さらなる対策が必要になるため、以下のステップはその第一歩として理解してほしい。

ビジネスを理解する

先述のとおり、業種、取引先／パートナー、取り扱うデータ、事業を展開する所在地に応じて、遵守すべき規制要件は異なる。それぞれ異なる要件が課される可能性があるため、細部にまで注意を払ってほしい。

調査に基づき、優先順位を設定する

違反や罰金を回避するために、自社が遵守すべき重要な規制や基準を特定する必要がある。その上で、遵守に必要な項目の不足を洗い出し、適切な対策を立案する。

報告プロセスを構築する

経営層から従業員に至る円滑なコミュニケーションを図るため、それぞれの役割と責任を定義した強固な報告プロセスを構築することが求められる。また、保護対策を管理、監督するセキュリティ担当者を任命しなければならない。そして、必要に応じて規制当局や保険会社などの関係者へ迅速に情報を伝達できるように、セキュリティインシデントの報告手順を明確にする。

定期的に監視する

規制対応は一度実施すれば完了するものではなく、継続的に取り組むべきプロセスである。定期的な報告プロセスの一環として、規制対応の施策を確認し、改善すべき点を特定する必要がある。具体的には、システムの脆弱性診断、定期的なリスク評価の実施、セキュリティ体制の見直しなどが含まれる。また、規制や標準の変更にも対応できるよう備えなければならない。

透明性を保つ

情報漏えいが発生した場合、直ちに被害の規模を評価し、保険会社、規制当局、そして被害者を含む関係者に対して報告する。先述したインシデントの例が示すように、即時報告を徹底すれば、損害を軽減し、さらなる情報漏えいのリスクを軽減し、法令遵守への姿勢を示すことができる。結果として、顧客をはじめ、パートナー、利害関係者との信頼を維持することにもつながる。

これらの5つのステップは、サイバーセキュリティにおける規制対応の基礎となる。これらの対策は広く適用可能であるが、各企業が直面する課題は決して同じものではない点に注意してほしい。政府、取引先、規制当局からの要求は変化し続けるため、適切な対策が講じられているかを確認するよう、最新の規制要件について関係先へ問い合わせるのが望ましい。サイバー攻撃の脅威から自社を守り、法令を遵守し、安全を確保するために、自社および業界で求められる特定の規制要件を理解することが、効果的な取り組みの第一歩となるだろう。