SANS Instituteは7月31日(米国時間)、「Moving Beyond Tech: The SEC’s New Cybersecurity Regulations and the Need for Comprehensive Training|SANS Institute」において、米国証券取引委員会(SEC: U.S. Securities and Exchange Commission)が採択した新たなサイバーセキュリティ規則における包括的なトレーニングの必要性について伝えた。新たな規制は、SANSが長年大切にしてきた原則を強化するものとされ、サイバーセキュリティの効果は熟練した専門家の存在から生まれると述べている。
サイバーセキュリティに関する企業の責任と透明性を強化するため、新たなサイバーセキュリティ規則が米国証券取引委員会から発表された。この規則では、上場企業は重大なサイバーセキュリティ侵害が発生した場合、それを4営業日以内に開示することが要求されており、さらにサイバーセキュリティに関するリスク管理と経営陣の専門知識について詳細に記述した年次報告書の提出が求められている(参考「4営業日以内に重要なセキュリティインシデント報告義務、米当局が新たな規制 | TECH+(テックプラス)」)。
この新たな規則はSANSが重要視してきた信念を補完するものだとし、効果的なサイバーセキュリティは熟練した人材から始まると言及している。熟練した人材は包括的で弾力性のあるセキュリティプロセスを構築し、効果的な防御と貴重な企業リソースの効率的な使用を保証する最適なテクノロジーを選択可能と述べている。サイバーセキュリティのリスクを理解し管理するには、熟練した人材と知識豊富なリーダーシップに技術的防御を組み合わせた包括的なアプローチが必要と説明している。
この規制では、取締役会だけでなくすべての企業経営に適用され、サイバーセキュリティの脅威による重大なリスクの評価および管理における経営陣の役割を明確にすることが求められている。CISOだけでなく、CEO、CFO、CIO、COO、CCOなど、さまざまな役割が効果的なセキュリティリスク管理に関与しており、変化する脅威や新技術の影響を理解するための専門的な教育が必要とされている。そのため、経営層に対しセキュリティの専門知識を浸透させ、組織のあらゆる役割におけるセキュリティへの理解を深めるために投資を続けることが推奨されている。