米国証券取引委員会（SEC）は、上場企業に対してサイバーセキュリティインシデントの開示を義務付ける規則を採択しました。これは年次の要件であり、デジタルシステムや業務に対するリスク管理、戦略、ガバナンスを企業が共有することも規定しています。

SEC の規則はソフトウェアと CISO に直接的に影響

投資家の保護を目的として、SEC の新しい要件はデータ侵害に対する企業の責任を定めています。つまり、組織への侵入やデータ盗難に対しては CISO が最終的に責任を負うということです。ソフトウェアサプライチェーン攻撃の場合でいうと、脆弱性の悪用がたとえソフトウェアサプライチェーンの上流で発生した場合でも、CISO が侵害の責任を問われかねないということになります。

データ侵害がないとしても、企業と CISO は投資や社会的信用について今まで以上のリスクを負うことになります。今回規定された情報開示は、組織におけるソフトウェア保護が不十分であることを露呈するかもしれないからです。法令遵守を維持しながら投資家と組織の両方を保護するために、CISO はソフトウェアサプライチェーンのリスクを是正するポリシーとプラクティスを導入しなければなりません。

サプライチェーンのリスクに対処する 5 つのステップ

1. サプライチェーンの完全なマップを作成する
   
   サプライチェーンから生じる構成要素をすべて包括的に理解しておくと、リスクの特定に効果があります。次のような質問を想定してください。「提供されているソフトウェアは信頼できるか？」 「このコードは署名されているか？」 「ソフトウェア部品表（SBOM）を当社のセキュリティ担当者はレビューしたか？」
   
   
2. プロバイダのセキュリティプラクティスを分析する
   
   プロバイダを評価することで、適切な「サイバー衛生」を遵守していないソフトウェアをはじき出すことができます。クラウドプロバイダを調査し、脅威を防ぐセキュリティ対策が存在するかどうかを確認してください。
   
   
3. すべてを最新の状態に保つ
   
   機器サプライヤーが倒産したり閉鎖したりした場合は、そのコンポーネントを直ちに差し替えます。ソフトウェアが適切にメンテナンスされていなかったり、古くなっていたりすると、ビルド全体がリスクにさらされることになります。
   
   
4. ポリシーとプラクティスをリスク最優先に変える
   
   セキュリティ対策がビルドの特定の段階にしかないことも、珍しくありません。リスク最優先のアプローチをとると、ソフトウェア開発ライフサイクル全体が保護されます。
   
   
5. 組織内でコラボレーションを図る
   
   ソフトウェアサプライチェーン全体のマップを確保するだけでは十分とはいえません。サプライチェーンの各ステージが、ビジネスの他のステージにどんな影響を与えるかも知る必要があります。こういったことも、同じくらい大きなリスク要因となりえます。他部署、特にエンジニアリングと緊密に協力して、企業のエコシステムにどんなものが出入りするのかを正確に把握しましょう。

コンプライアンスの成功に可視化と自動化は不可欠

今回の新しい SEC コンプライアンス規則に対応すべく、組織はソフトウェアの保護をめぐってこれまで以上の負担を負う可能性があります。社内ポリシーとベストプラクティスはチームに対する期待を知るうえで有効です。しかし、ソフトウェアサプライチェーンの脆弱性に対処する日々の取り組みを考えると、企業にとって管理可能なコンプライアンスと負荷の大きいリスクとの境界線を決めるのは、スキャン、可視化、署名に使用する自動化ツールと適切な SBOM でしょう。

今後とるべき道を考える際には、次の 3 つのステップを重視しましょう。

1. SEC の新しい規則を確実に理解する。
2. コンプライアンス対応のポリシーと手順を設ける。
3. データの保護に適したツールを導入する。