IoTデバイスへの攻撃の増加と開示法の強化により、サイバーリスク管理がCISOにとって個人責任の問題となりつつあります。
CISOは、サイバーインシデント時の不適切または不完全なリスク管理および開示に対して、個人および刑事責任が増大しています。SEC、DOJ、そして国際的な規制当局は、サイバーリスク情報を意図的に省略または歪曲した経営幹部を標的にしています。
IoTおよびOTデバイスの脆弱性への攻撃の増加
サイバー攻撃は、OTおよびIoTデバイスに組み込まれたソフトウェアの脆弱性によってますます引き起こされています。2025年版Verizonデータ侵害調査レポートによると、侵害の20%が脆弱性ベースであり、これは22%を占める認証情報の悪用に次ぐ2番目の要因です。年々、ソフトウェアの脆弱性による侵害は34%増加しています。
デバイスの脆弱性を利用したサイバー攻撃の劇的な増加は、規制遵守要件や法的措置の増加を招いています。
規制監視の強化
世界中の政府や業界団体は、デジタルエコシステム全体の説明責任とレジリエンスを向上させるために、サイバーセキュリティの義務を強化しています。新たな規制には、米国のサイバーセキュリティに関する大統領令14028、NIS2、およびEUのサイバーレジリエンス法(CRA)などがあり、世界各地で同様の規制が進んでいます。規制当局は、デバイスのソフトウェア部品表(SBOM)の文書化や脆弱性の把握を義務付けており、これらの要素は企業がデバイスポートフォリオのリスクを積極的に管理するのに役立ちます。
現在、規制上の責任はデバイスメーカーにありますが、これらのデバイスの所有者も侵害された場合には責任を負います。
CISOが責任を問われている事項:
- 影響を受けた資産の正確なインベントリを開示できない。
- サードパーティリスク管理を含むガバナンスの不備。
- リスク状況について取締役会への誤解を招く、または不完全な報告。
- 侵害について正確かつ迅速に報告しない。
- 現実を確認せずにコンプライアンス(SOX、ISO 27001)を認証する。
企業によるガバナンス、コンプライアンス、リスク対応の見直し
企業は、進化する脅威と責任の状況に対応するため、方針やリソースの変更を行っています。1,800人のITリーダーを対象としたFastlyのレポートによると、93%の組織がCISOの責任リスクに対応するために方針を更新しています:
- 41%がCISOを戦略的な取締役会の意思決定により深く関与させている。
- 38%がセキュリティチームへの法的支援を強化している。
- 38%が規制当局からのセキュリティ開示に対する監視を強化している。
- 21%がCISOに「法律の上に立つ存在ではない」と注意喚起している。
企業はまた、CISOがセキュリティおよび関連する責任リスクに対応できるよう、技術的なツールの提供にも取り組んでいます。取締役会や経営陣は、規制の重視を受けて、CISOの能力を迅速なインシデント対応から積極的なサイバーリスク管理へと進化させています。
より良い資産インベントリとインテリジェンスの必要性
積極的なセキュリティ管理の中心となるのは、IoTデバイスの攻撃対象領域やソフトウェアの脆弱性を含む完全なドキュメント化です。インベントリ情報は、組織内の断片化されたサイロやサードパーティパートナーに分散しており、必要なインテリジェンスを収集・維持するには多大な時間と人的リソースが必要です。
SomosIDソリューション
- インベントリおよび識別情報
- SBOMや脆弱性を含むソフトウェア情報
- 通信機能や認証など、その他の資産属性
信頼できるデジタル識別子の管理ノウハウと包括的なIoTデバイスインテリジェンスを結びつけることで、Somosは企業やサービスプロバイダーが人と機械の両方のコミュニケーションにおいて検証可能な信頼の連鎖を確立するのを支援します。 このデータセットは、積極的なセキュリティ、デバイスポートフォリオ計画、技術サポート、コンプライアンス報告を促進します。これは、デバイスを所有する企業だけでなく、サービスプロバイダーにも提供され、運用や報告を支援することを目的としています。
SomosIDが貴社のCISO責任リスク低減やコンプライアンス体制強化にどのように役立つかをご覧ください。 こちらからお問い合わせいただくか、11月13日午後2時~2時30分(米東部時間)開催の無料ウェビナーにご参加ください。
