SECがSolarWindsおよび同社CISOに対する訴訟を棄却したことは、サイバーセキュリティリーダーに広範な安堵をもたらし、規制当局、取締役会、経営陣がサイバーセキュリティの説明責任をどう捉えるかにおいて転換点となる可能性がある。
米国証券取引委員会(SEC)が11月30日に、SolarWindsおよび同社CISOのティム・ブラウンに対する訴訟を棄却する決定を下したことは、サイバーセキュリティのリーダーコミュニティ全体で即座に、そして広く喜びをもって受け止められた。
多くのCISOにとって、この棄却は抽象的な法的動向としてではなく、極めて個人的な出来事として受け止められた。「神に感謝だ」と、KnosticのCEO兼創業者で、Cloud Security AllianceでAI担当のCISO in Residenceを務めるガディ・エブロンは、棄却を知ったときに語った。「みんなほっとしていて、コミュニティとして一緒に祝っている感覚がある」と彼はCSOに話す。
「安堵のため息が出ました」と、Noma SecurityのCISOであるダイアナ・ケリーはCSOに語る。5年にわたる調査、訴訟、そして世間の注目を経て、「この件では多くのCISOが(集団で息を吐くように)ほっとしたと思います」と彼女は付け加える。
しかし、その集団的な安堵感を「決着」と取り違えてはならない。専門家は、この事件によってCISOであることの個人的・職業的リスクが消えたわけでも、露呈したより深い構造的緊張が解消されたわけでもないと強調する。セキュリティリーダーは、予算、開示、全社的なリスク判断に対する完全な権限を持たないまま、サイバー上の失敗について公に説明責任を負わされ続けている。
SolarWindsの件は、サイバーセキュリティの責任は企業全体で共有されるべきだという認識を深めるきっかけになったものの、政策上の優先順位や将来の政権の変化によって、CISOが再びSECの標的にされる可能性があると、彼らは警告する。
一方で、ティム・ブラウンの法的な一連の経緯は、2022年に元Uber CISOのジョー・サリバンが受けた連邦有罪判決とともに、将来同様の訴訟が起こる前に、CISOが自分自身と組織を守るために取れる重要な手順を浮き彫りにしている。
事件の概要:ロシアのハッカーから棄却まで
なぜSolarWindsの件がCISOコミュニティにこれほど冷や水を浴びせ、そしてなぜ棄却が重要なのかを理解するには、侵害がどのように展開したかの振り返りと、SECが主張をどのように構成したかを確認するのが有用だ。
2019年に始まり2020年11月まで続いた期間、脅威アクター(APT20またはCozy Bearとして知られる脅威グループで、ロシアの対外情報機関SVRの一部と広く考えられている)は、正規のソフトウェア更新に悪意あるコードを挿入することで、SolarWindsが販売するOrion IT管理ソリューションを侵害した。
SUNBURSTと呼ばれるマルウェアを用いて、攻撃者はバックドアを設置し、約18,000の顧客に影響を与えた。ただし、実際に選択的に悪用されたのはその一部にとどまり、複数の米国政府機関や大企業が含まれていた。
技術的な侵害そのものから数年後、余波はより個人的な局面を迎えた。米国で他にも世間を騒がせる注目度の高い侵害が相次ぐ中、2023年10月30日、米国証券取引委員会はSolarWindsに対する民事訴訟を提起し、そして多くの人々を驚かせたことに、同社CISOのブラウンも被告とした。主張は、既知とされるサイバーセキュリティ上のリスクや脆弱性に関連する詐欺および内部統制の不備である。
訴状は、SolarWindsとブラウンが、SolarWindsのサイバーセキュリティ慣行を過大に示し、既知のリスクを過小評価するか、または開示しなかったことで、投資家を欺いたと主張した。2024年7月18日、連邦判事ポール・エンゲルマイヤーは、訴訟の主張の大半を棄却した。
「彼は基本的に、インシデント後の対応に関する告発はすべて退け、『後知恵であれこれ言うのは簡単だが、彼らが意図的に誤解を招くことをしたと本当に立証しなければならない』と言ったのです」と、元連邦検察官でもあり、現在はJoe Sullivan SecurityのCEOであるサリバンはCSOに語る。
残った主張は、ブラウンと、インシデント前にSolarWindsのウェブサイトに掲載されていたサイバーセキュリティに関する記述が、顧客にリスクを助言するという観点で適切だったかどうかの度合いに焦点を当てていた。「判事は、会社のウェブサイト上のある1つの公開文書に強く焦点を当てました。そこでは、会社がサイバーセキュリティの観点で何をしているかについて一定の具体性があり、率直に言って、この種のものとしてはかなり細部に踏み込んでいました」と、Alston & Birdの証券訴訟グループのパートナーであるカーラ・ピーターマンはCSOに語る。
判事の論理は多くのセキュリティリーダーを安心させたが、同時に、現代の組織の中で説明責任がどのように割り当てられているのかについて、より根深い違和感も露呈させた。「私たちの多くが本当に居心地の悪さを感じたのは、現場のセキュリティ責任者が、会社がサイバーセキュリティ投資について何を語るかに対して個人的に責任を負い得る、という考え方でした」とサリバンは言う。
彼はこう付け加える。「ティムはインシデント前にはCISOの肩書きを持っていませんでした。だからこそ、セキュリティの人たちが非常に懸念する要素が多かったのです。なぜこの現場の人間が、表明内容について責任を負わされるのか?」
しかし、たとえ彼がインシデント前にCISOの役割に就いていたとしても、その主張は依然として成り立つとサリバンは言う。「歴史的に、その肩書きを持つ人は、会社を運営する少人数の『中枢』にいるという意味での、いわゆる『チーフ』ではありませんでした」とサリバンは言う。「CEOに報告するわけでもないし、巨額の予算を持っているわけでもない。」
おそらくこの事実を踏まえ、そしてSEC、SolarWinds、ブラウンの間で和解協議が行われた後、証券規制当局は訴えを取り下げた。
声明で、同社CEOのスダカール・ラマクリシュナは次のように述べた。「私たちは当初から、そして訴訟の過程で示してきたとおり、主張には根拠がありませんでした。SECがついにそれらを放棄する決定をしたことを喜ばしく思います。私たちはCISOのティム・ブラウンを断固として支え、この決定は、私たちのチームが終始誠実に行動したという信念を裏付けるものです。」SolarWindsはブラウンをCISOとして留任させ、法的代理費用も負担した。
権限なき責任こそが真のリスク
SolarWinds訴訟の核心にあったのは、セキュリティリーダーにとっておなじみの問題、すなわち権限なき責任だ。ティム・ブラウンがSECの標的となった力学は、彼が経験、年次、肩書きを備えていたにもかかわらず、ほとんどのCISOと同様に、それを支える実質的な組織的権限がないまま巨大な責任を負っているという点にある。そして、その状況下での個人責任への懸念が、多くのCISOにとってこの役割をさらに魅力のないものにしている。
「私たちは責任が大きい一方で、権限は非常に小さい」とKnosticのエブロンは言う。「リスクを管理するのは組織です。私たちの仕事はリスクを提示し、組織がどのリスクを取るかを決めた後に、そのリスクを管理することです。」
「私たちはより大きなエコシステムの中で働いています」とNoma Securityのケリーは付け加える。「私たちは万能ではありません。会社のあらゆる意思決定を下すことはできません。予算の範囲内で動かなければならない。予算を求めて提言はできますが、最終的に予算は事業側と協働して決められます。人員リソースも同様ですし、新しいコントロールや新しいポリシーという観点で、何が許され何が許されないかの判断も同様です。」
しかし、サリバンとブラウンに対する訴訟が最初に表面化して以降、CEOやその他の高位の意思決定者にも、これまでCISOだけが負うことが多かったサイバーインシデントに関する法的責任の一部を引き受けるよう、圧力が強まっている。
「私のケースでは、量刑審理で判事が検察官の方を向き、『なぜCEOは起訴されていないのか?』と繰り返し尋ねました」とサリバンは言う。「判事は文字どおり、『私に言わせれば、この状況に関してCEOは社内の誰よりも、少なくとも同程度、場合によってはそれ以上に責任がある』と言ったのです。」
サリバンはさらに言う。「オーストラリアでは、カンタスの件で、取締役会がCEOや他の複数名のボーナスを取り上げました。DOJの民事サイバー詐欺の案件の一つであるAero Turbineの件では、法人格否認のようにして、プライベート・エクイティ・ファームにも追及が及びました。企業行動を変えたいなら、CISOより少し上を狙わなければならない、という認識が政府の執行当局の中で高まっています。」
CISOはいかに自分を守るべきか
SolarWindsの件が何かを明確にしたとすれば、それは安堵は一時的であり、備えが不可欠だということだ。CISOには、政治的な振り子が揺り戻され、CISOが再び訴訟の標的となる事態に備えて、組織面と個人面の防御を強化する機会の窓がある。
「この5〜10年でSECのスタッフはより教育され、これがどのように機能するのかについて、より深い理解と知識を持つようになったと感じます」とAlston & Birdのピーターマンは言う。「CISOはこの展開に安堵のため息をつくべきですが、現政権や次の政権での変化を踏まえると、これを過度に一般化して読み取ることには慎重であるべきです」と彼女は付け加える。
「ブラウンはまず調査、そして訴訟という形で、5年間これを生き抜かなければなりませんでした」と彼女は言う。「それには相当な個人的負担、心理的負担、身体的負担が伴うと推測します。(ブラウンは訴訟中に心臓発作を起こしました。)CISOが必要な補償(インデムニフィケーション)契約や、定款または契約による取締役・役員(D&O)保険の保護を持っていない場合、たとえ勝訴しても、経済的負担が非常に大きくなる可能性があります。」
Noma Securityのケリーは、CISOは依然として多くの組織にとってサイバーセキュリティの「顔」であり続けると強調する。つまり、リスクの伝え方における継続的な注意が必要だということだ。「顧客や規制当局、投資家が答えを必要とするとき、その点は(SolarWindsの棄却によって)何も変わっていません。得られる教訓の一つは、私たちのプログラムについて伝える際に、非常に意図的で、正確であることです。」
サリバンは、CISOや他のセキュリティリーダーに対し、先回りして組織全体に必要なことを伝えるよう助言する。「隅に座って、すべてのリスクを自分たちの肩に載せたままにしておかないことが本当に重要です」と彼は言う。「他の経営陣やCEOと関わり、『サイバーセキュリティは会社としての意思決定だ』と言わなければなりません。」
また彼は、CISOコミュニティはブラウンの不屈の姿勢に感謝すべきだとも強調する。「このプロセスの間、彼が姿を消さなかったことに、多くの私たちがティムに本当に感謝しています」とサリバンは言う。「彼はさまざまなイベントに多くの時間を費やしました。たいていはクローズドなものですが、多くの人と会っていました。私も、彼と同じ壇上に立ってパネルや通話に参加する機会がありました。私たちは皆、ティムがこれを無事に乗り切り、今も立ち続け、仕事も続けられていることをとても喜んでいます。」
