SolarWinds、米国証券取引委員会に詐欺行為と内部統制の不備で告発される：「脆弱性に懸念が生じれは投資家に正直に伝えるべき」

2020年米国全土に広がった大規模サイバーチェーン攻撃SolarWinds事件で、SolarWindsとCISOは早い段階で同社製品Orionに具体的な不備やリスクがあることを把握しつつ過少に報告していたことが発覚した。

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　米国証券取引委員会（Securities and Exchange Commission、以下SEC）は2023年10月30日（米国時間）、テキサス州オースティンを拠点とするSolarWinds社と最高情報セキュリティ責任者（CISO）ティモシー・G・ブラウン氏を、既知のサイバーセキュリティリスクと脆弱（ぜいじゃく）性に関連する詐欺行為と内部統制の不備で告発したことを発表した。

　2018年10月の新規株式公開から少なくとも2020年12月にかけて、「SUNBURST」と名付けられたマルウェアによって同社製品「Orion」が大規模なサイバー攻撃の標的となった事件が発生した。訴状によると、この発表まで少なくとも2年間あまり、SolarWindsとブラウン氏は自社のサイバーセキュリティ対策を誇張し、既知のリスクの過小な開示および非開示により、投資家を欺いたという。この期間中、SECに提出された文書では、SolarWindsとブラウン氏は具体的な不備やリスクを知りながら、一般的で仮説的なリスクのみを開示したとされ、自社が直面するリスクが増大していたことも認識していたとされている。

早い段階でリスクを知りつつ、情報を隠蔽（いんぺい）したSolarWinds

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

誰か、要件追加を止めてくれ！――「旭川医大の惨劇」徹底解説
1000近くに上る追加要件の多くを受け入れ仕様凍結をしたにもかかわらず、さらに171項目の追加要件を突き付けられたベンダー。開発が遅延し、納期を守れなかったことで訴えられてしまった彼らを裁判所はどう判断したのか――。人気過去連載を電子書籍化して無料ダウンロード提供する＠IT eBookシリーズ。第111弾は「IT訴訟解説」のパート5をお贈りする。
「IT訴訟徹底解説」連載の細川氏が明かす、サプライチェーンリスクから組織を守る「契約」の極意
サプライチェーン攻撃の対策は自社のセキュリティ体制の構築だけでは不十分だ。パートナー企業のセキュリティ対策がしっかりとしていないと、そこを足掛かりにされ、被害に遭うことがある。そこで有効となるのが、提携先とのセキュリティに関する「契約」だ。本稿では、契約や法律の専門家による講演から、具体的なサイバーセキュリティ対応契約のポイントを探る。発注元はもちろん、発注先となる企業は、「こういうことが求められるようになる」という参考にしてほしい。
「電子帳簿保存法」の改正内容と、フリーランスがやっておくべきこと
2022年に改正された「電子帳簿保存法」の、「電子取引のデータ保存」の猶予期間が2023年12月で終了します。法改正によりどのような影響があるのか、フリーランスエンジニアはどのように対応したらいいのか、分かりやすく解説します。現在フリーランスで活躍しているエンジニアの皆さん、今後フリーランスになることを視野に入れている皆さん、そしてフリーランスエンジニアとビジネスを行っている皆さん、参考にしてください。