SecurityScorecard、CISO向けにサイバー脅威の傾向を解説した「2024 S&P 500 サイバー脅威レポート」を発表-S&P 500企業の21％が2023年に情報漏えいの被害に-

※本リリースは、米国時間2024年4月3日に米国SecurityScorecardより発表されたプレスリリースの抄訳です。
https://securityscorecard.com/company/press/securityscorecard-threat-research-21-of-sp-500-companies-reported-breaches-in-2023/

SecurityScorecard株式会社（本社：米国、ニューヨーク州、CEO:アレクサンドル・ヤンポルスキー、以下SecurityScorecard、日本法人代表取締役社長　藤本 大）は、S&P 500企業を対象とした脅威調査を実施し、最高情報セキュリティ責任者（CISO）向けにサイバー脅威の傾向を解説した「S&P 500 サイバー脅威レポート」（英文のみ）を発表しました。本調査結果において、S&P 500企業の21%が2023年に情報漏洩の被害に遭った経験があることが判明しました。

2023年秋、米国証券取引委員会（SEC）は新たなサイバーセキュリティ開示規則を採択 ( https://securityscorecard.com/blog/3-takeaways-new-sec-cyber-risk-disclosure-rules/
)し、米国の上場企業に対してサイバーセキュリティ インシデントが発生した際、そのインシデントを重要だと判断してから4営業日以内に詳細を開示することを義務付けました。採択以前は、インシデントの報告義務が「無い」に等しかったため、政府当局者、政策立案者、投資家はサイバーセキュリティインシデントに関する重要な関連情報を取得できずにいました。

SecurityScorecard 共同設立者兼CEOであるアレクサンドル・ヤンポルスキーは、次のように述べています。
「規制の厳格化が進み、企業は明確な指標を備えたサイバーセキュリティ履行義務に向けた統一された定義を必要としています。金融業界のクレジットスコアリング標準化のように、企業にはサイバーセキュリティのリスクを測定し、重要性を定義するための統一フレームワークが必要です」

このような規制の厳格化を背景に、SecurityScorecard Threat Research, Intelligence, Knowledge, and Engagement (STRIKE) チームは、米国経済の主要プレーヤーである上場企業のセキュリティを向上させる方法を見つけるために、S&P 500企業のセキュリティ評価を分析しました。