木曜日に連邦裁判官が、ソフトウェア会社のSolarWindsの2020年に明らかになったセキュリティ侵害の対応を巡る訴訟の一部を、同社の最高サイバーセキュリティ責任者に対する政府の画期的な訴訟の一部を却下。

米国証券取引委員会（SEC）は昨年、テキサス州オースティンに本社を置く企業SolarWinds及びその最高情報セキュリティ責任者Tim Brownを提訴しました。これは、サイバー攻撃のリスクの提示方法および攻撃後に投資家に提供された情報に関するものでした。SECがサイバー攻撃の被害を受けた公開企業に対して民事詐欺の告発—同委員会の持つ最も重い非難の一つ—で訴訟を起こしたのは、これが初めてのことでした。

いくつかの企業グループと元検事は、ハッキングされた企業に対するSECの執行措置が、時には国家支援の実行者によって行われる攻撃の被害者を責任者としてしまうと批判した。SECは、株主には公開企業が株価に影響を与えることが多い攻撃のリスクにどのように対応するかを知る権利があると主張している。

SECの主張によると、SolarWindsは攻撃の全容を株主に明らかにしていなかったが、それは「後知恵と推測」に基づくものであると、アメリカの地方裁判官ポール・エンゲルマイヤーが書いた。しかし、裁判官は攻撃前のSolarWindsのサイバーセキュリティ対策やリスクに関する他の発言を理由に、同機関の訴訟を継続させた。

Later machten die Vereinigten Staaten russische staatlich unterstützte Hacker für den Angriff verantwortlich. Moskau hat jegliche Beteiligung bestritten.

SolarWindsのスポークスマンは、裁判官の決定に満足していると述べた。「我々は次の段階を楽しみにしており、そこで初めて自分たちの証拠を提示し、残りの主張が事実に基づかない理由を示すことができます」と彼は言った。

SECはコメントを控えた。

ソーラーウインズ事件は、高級サイバーセキュリティマネージャーに対するものだったため、異例でした。

サイバーセキュリティ専門家、貿易協会、および経営者は、ブラウンに対する訴訟が、規制当局が現在サイバーセキュリティ担当責任者を追跡する準備が整ったことを示していると懸念を表明しました。 ジョセフ・サリバン、元Uber Technologiesの最高セキュリティ責任者が2016年の企業データ侵害に関連する違法行為により有罪判決を受けた直後に、類似の懸念を引き起こしたSECの訴訟が提起されました。

デイビッド・シャーゲル、弁護士事務所ブレイスウェルのパートナーは、SECの一部の訴訟の却下はSolarWindsにとって「全ての面で勝利」であると述べた。企業がSECの訴訟に対してこれほど早く勝利するのは稀である。

「これは依然として重大な告発であり、企業が公の声明を正確かつ誤解を招かないようにする必要があることを再認識させるものです」と彼は言いました。

ソーラーウインズに対する訴訟以来、企業がサイバー攻撃を公開する際のタイミングと方法について、SECの新しいルールが施行されました。公開企業は、サイバー攻撃が事業に重大な影響を与えると判断した後、4営業日以内に8-Kフォームを提出して当局に報告しなければなりません。また、企業は年間報告書においてサイバー リスク管理プロセスの要素も説明する必要があります。

注目すべきことに、Engelmayerは、SolarWindsが会計エラーから企業を保護する方法を規定する規則に違反したとするSECの主張も退けた。裁判官は、サイバーセキュリティ対策がこのプロセスの一部ではないと説明した。「この解釈は支持できない」と裁判官は書き、対策は明らかに財務会計にのみ適用されると述べた。

「これは開示義務のパラメーターに関していくつかのコンプライアンス部門にある程度の安心感を与えるかもしれない」とシャーゲル氏は述べた。

ソーラーウィンズは以前の訴訟に対する回答で、当局がサイバー分野での規制の影響力を拡大しようとしていると非難した。