SECの新たなサイバーセキュリティ規則：米企業に3方面から影響を及ぼす可能性

SECのゲイリー・ゲンスラー委員長が言及している、新たなサイバーセキュリティ規則がもたらす三重の利益を実現するために、企業には以下が求められます。

• サイバーセキュリティリスク管理に対してより積極的なアプローチを取り、サイバーリスクを特定、評価、軽減するように設計された包括的なプログラムを策定・実施すること。

• 重大なサイバーセキュリティインシデントについて、発見後4営業日以内にSECに開示すること。企業は、サイバーセキュリティインシデントを迅速に発見・調査するためのプロセスを整備（または、対応するプロセスを導入）することを求められます。
• 現在、攻撃者が企業のシステムからデータを「流出」させるのにかかる時間は5日（あるいはそれ以下）である一方、企業が攻撃から復旧するまでに約6日かかっています³。人工知能（AI）の統合といった業界の進歩のおかげで、ここ数年、復旧にかかる時間は短縮されているものの、SECの規則に基づき、現在よりも大幅に迅速な対応が求められることになります。
• サイバーセキュリティリスク管理、戦略、ガバナンスに関する情報をフォーム10-K（SECに提出する年次財務報告書）で開示すること。この情報は、投資家が企業のサイバーセキュリティ態勢を評価し、十分な情報に基づいた投資判断を下すのに役立ちます。また、サイバーセキュリティ対策が不十分な企業が明らかになるため、境界、ネットワーク、エンドポイント、アプリケーション、データセキュリティにさらに力を入れ、支出を増やす必要性が高まるでしょう。

最近の試算によると、世界のサイバーセキュリティ市場は、2022年の2,210億米ドルから2030年には6,570億米ドルへと、ほぼ3倍の規模になると予想されます。SECの新しいサイバーセキュリティ規則は、この成長をさらに加速させると思われ、一部の投資アナリストは、より厳格な公開企業の開示の義務付けは、歴史上最も重要なサイバーセキュリティ政策の一つであり、セキュリティの優先順位と予算に占める割合がさらに高まると見ています⁴。

サイバーセキュリティ市場の売上高（2021～2030年、10億米ドル）

出所: Statista; Next Move Strategy Consulting. 2023年8月現在のデータ。2023-2030年は予測値。

SECの新しいサイバーセキュリティ規則は、企業の種類を問わず、以下をはじめとする大きな影響をもたらすと思われます。

• コンプライアンスコストの増加。企業は、新規則を遵守するために新たなリソースとテクノロジーに投資する必要があります。これには、サイバーセキュリティスタッフの増員、新たなセキュリティコントロールの導入、定期的なリスク評価の実施などが含まれます。
• 規制当局による監視の強化。SECは、企業のサイバーセキュリティ対策をより厳しく監視するようになります。これにより、新規則を遵守していない企業に対する法執行措置が増える可能性があります。
• 評判毀損リスクの増大。サイバーセキュリティインシデントは、企業の評判と財務実績にダメージを与えるおそれがありますが、新規則により、こうした事案が公表される可能性が高くなります。
• 株主アクティビズムの活発化。株主グループは、サイバーセキュリティリスクに対する注目を強めています。新規則により、企業にサイバーセキュリティ対策の改善を要求する株主が増える可能性があります。

結論

SECの新しいサイバーセキュリティ規則の制定は、企業とサイバーセキュリティ業界に大きな影響を与える重要な進展です。新規則により、企業はサイバーセキュリティリスク管理に対してより積極的なアプローチを取り、重大なサイバーセキュリティインシデントについてSECに開示しなければならなくなります。これはまた、サイバーセキュリティ企業に新たな機会をもたらすとともに、サイバーセキュリティの重要性に対する意識を高めることになるでしょう。