逗阴馆

サイバーセキュリティ 01-18-2024

SEC による新しい義務化が企業のソフトウェアセキュリティ管理に影響を及ぼす

Timothy Hollebeek
SEC Adopts Cybersecurity Risk Regulation

米国証券取引委员会(厂贰颁)は、上场公司に対してしました。これは年次の要件であり、デジタルシステムや业务に対するリスク管理、戦略、ガバナンスを公司が共有することも规定しています。

SEC の規則はソフトウェアと CISO に直接的に影響

投資家の保護を目的として、SEC の新しい要件はデータ侵害に対する企業の責任を定めています。つまり、組織への侵入やデータ盗難に対しては CISO が最終的に責任を負うということです。ソフトウェアサプライチェーン攻撃の場合でいうと、脆弱性の悪用がたとえソフトウェアサプライチェーンの上流で発生した場合でも、CISO が侵害の責任を問われかねないということになります。

データ侵害がないとしても、企業と CISO は投資や社会的信用について今まで以上のリスクを負うことになります。今回規定された情報開示は、組織におけるソフトウェア保護が不十分であることを露呈するかもしれないからです。法令遵守を維持しながら投資家と組織の両方を保護するために、CISO はソフトウェアサプライチェーンのリスクを是正するポリシーとプラクティスを導入しなければなりません。

サプライチェーンのリスクに対処する 5 つのステップ

  1. サプライチェーンの完全なマップを作成する

    サプライチェーンから生じる構成要素をすべて包括的に理解しておくと、リスクの特定に効果があります。次のような質問を想定してください。「提供されているソフトウェアは信頼できるか?」 「このコードは署名されているか?」 「ソフトウェア部品表(SBOM)を当社のセキュリティ担当者はレビューしたか?」

  2. プロバイダのセキュリティプラクティスを分析する

    プロバイダを评価することで、适切な「サイバー卫生」を遵守していないソフトウェアをはじき出すことができます。クラウドプロバイダを调査し、胁威を防ぐセキュリティ対策が存在するかどうかを确认してください。

  3. すべてを最新の状态に保つ

    机器サプライヤーが倒产したり闭锁したりした场合は、そのコンポーネントを直ちに差し替えます。ソフトウェアが适切にメンテナンスされていなかったり、古くなっていたりすると、ビルド全体がリスクにさらされることになります。

  4. ポリシーとプラクティスをリスク最优先に変える

    セキュリティ対策がビルドの特定の段阶にしかないことも、珍しくありません。リスク最优先のアプローチをとると、ソフトウェア开発ライフサイクル全体が保护されます。

  5. 组织内でコラボレーションを図る

    ソフトウェアサプライチェーン全体のマップを确保するだけでは十分とはいえません。サプライチェーンの各ステージが、ビジネスの他のステージにどんな影响を与えるかも知る必要があります。こういったことも、同じくらい大きなリスク要因となりえます。他部署、特にエンジニアリングと紧密に协力して、公司のエコシステムにどんなものが出入りするのかを正确に把握しましょう。

コンプライアンスの成功に可视化と自动化は不可欠

今回の新しい SEC コンプライアンス規則に対応すべく、組織はソフトウェアの保護をめぐってこれまで以上の負担を負う可能性があります。社内ポリシーとベストプラクティスはチームに対する期待を知るうえで有効です。しかし、ソフトウェアサプライチェーンの脆弱性に対処する日々の取り組みを考えると、企業にとって管理可能なコンプライアンスと負荷の大きいリスクとの境界線を決めるのは、スキャン、可视化、署名に使用する自动化ツールと でしょう。

今後とるべき道を考える際には、次の 3 つのステップを重視しましょう。

  1. SEC の新しい規則を確実に理解する。
  2. コンプライアンス対応のポリシーと手顺を设ける。
  3. データの保护に适したツールを导入する。