訴訟取り下げの速報

米国証券取引委員会（SEC）は木曜日、サイバーセキュリティ企業SolarWindsおよび同社の最高情報セキュリティ責任者（CISO）であるティム・ブラウン氏に対する民事詐欺訴訟を取り下げると発表しました。この訴訟は、セキュリティリスク開示の先例となる可能性が指摘されており、サイバーセキュリティと法務の専門家から注目されていました。

訴訟の背景

SECは2023年、SolarWindsが大規模なサプライチェーン攻撃の発生前に、既知のセキュリティリスクを投資家に対して開示しなかったとして提訴していました。この攻撃では、ロシア政府のハッカーがSolarWindsのOrionソフトウェアにマルウェアを感染させ、同社の顧客ネットワークに広範なアクセスを許しました。SECは、SolarWindsとブラウン氏が同社のサイバーセキュリティプログラムにおける特定の欠陥を認識しながらも、投資家に通知しなかったと主張し、詐欺および内部統制の失敗を訴状で指摘していました。

訴訟の経緯と取り下げ

2024年には、連邦判事によって訴訟の大部分の請求が棄却され、特に2020年12月の攻撃開示後の事象に関する請求や、内部会計および開示統制に関する請求が退けられるなど、SECにとって大きな打撃となっていました。そして木曜日、SECと被告側は共同で訴訟の「棄却（with prejudice）」を求める申立てを行い、これによりケースが終了しました。SECは、この取り下げが他のケースに必ずしも影響を与えるものではないと述べています。

SolarWinds側の反応と業界への影響

SolarWindsはSECの決定について、「明らかに喜んでいる」と表明し、この訴訟を委員会の「度を越した行き過ぎ」と評しました。同社のスポークスパーソンは、「我々のチームは適切に行動したと確信しており、今回の結果はその立場が裏付けられたものであり、歓迎する」と述べました。さらに、今回の解決が、多くのCISOがこの訴訟とそれが彼らの仕事にもたらす可能性のある萎縮効果について表明していた懸念を和らげることを期待していると強調しました。

この訴訟は、企業がサイバーセキュリティリスクをどのように開示すべきかという点で、CISOや企業の法務部門に大きな影響を与える可能性があったため、今回の取り下げは業界に安心感を与えるかもしれません。

元記事: https://www.cybersecuritydive.com/news/sec-drops-civil-fraud-case-solarwinds/806126/