画像: ファイバー/アンスプラッシュの比較
証券取引委員会(SEC)が施行した新しい規則により、上場企業はデータ侵害の開示をより迅速に行うよう義務付けられます。ハッキングによる情報漏洩が公表されるまでに数ヶ月かかる場合もある独自のスケジュールで対応するのではなく、上場企業は情報漏洩の発見から4営業日以内にインシデントを公表する必要があります。
The Vergeの報道によると、SECへの報告は4日以内に行われるだけでなく、攻撃に関する具体的な詳細も含まれている必要がある。これには、攻撃の規模、内容、発生時期、企業への影響などが含まれる。これらはすべて、消費者が知るには通常、途方もなく長い時間がかかる情報だ。
SECはこの短いタイムラインに例外を設けています。インシデントの公表が国家安全保障または公共の安全にリスクをもたらす可能性がある場合、公表を延期することができます。(ソフトウェアやハードウェアのセキュリティ脆弱性に関する開示に用いられる慣行と似ています。)
SECはまた、企業がサイバーセキュリティの脅威にどのように対処する予定なのか、そして誰がその分野の管理を担当しているのかについても把握することを求めています。今回の方針変更により、上場企業はサイバーセキュリティ対策(実施していない場合でも)に加え、既存の脅威や過去のインシデントから予想されるリスクについても説明することが義務付けられました。
詳細については、SEC のプレスリリースでこの新しい規制についてお読みください。きっとお時間があるでしょう。サイバー攻撃の開示に関する規則は、連邦官報での掲載日から 90 日後、または 2023 年 12 月 18 日のいずれか遅い方から発効します。(小規模企業にはより長い猶予期間が与えられ、セキュリティ侵害の報告開始までに 180 日間の猶予が与えられます。)企業は、2023 年 12 月 15 日以降に終了する会計年度からサイバーセキュリティ プロトコルの報告を開始する必要があります。現状では、データ侵害の範囲と影響の特定(および米国政府への声明の準備)が 4 日ほどで完了するかどうか、あるいは企業がほとんどの侵害を公共の安全または国家安全保障の問題として分類し始めるかどうかがわかるのは、おそらく 2024 年になるでしょう。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
