米国 SEC Unisys、Checkpointほか、年次報告書における誤解を与えるセキュリティ開示で罰金を支払う...: まるちゃんの情報セキュリティ気まぐれ日記

March 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

2024.10.25

米国 SEC Unisys、Checkpointほか、年次報告書における誤解を与えるセキュリティ開示で罰金を支払う...

こんにちは、丸山満彦です。

ユニシス、アバイア　（Avaya)、チェックポイント、マイムキャスト (Mimecast) 社のSolarwindsに関するサイバーセキュリティに関する開示（2020年、2021年ごろ）が、投資家に誤解を与えるものであると認定し、罰金の支払いを命じたものです...

Unisys $4 million civil penalty;
Avaya. will pay a $1 million civil penalty;
Check Point will pay a $995,000 civil penalty; and
Mimecast will pay a $990,00

（なので、昨年改正されたSECのサイバーセキュリティ開示の規則とは関係ありません...）

アバイア、マイムキャストは、サイバー攻撃に関する情報を開示したにもかかわらず、重要な内容が記載されていないということで、不備ということになっているようです。

この2社は、再生したり、買収されたりで現在は上場はしていない（故に開示はしていない）

ユニシスとチェックポイントは、SolarWinds事件があったにも拘らず、リスクにかかる内容を変えなかったことが、誤解を与えるものとなったということのようです...

ということで、SECのプレス...

● U.S. Ssecurities and Exchange Commission; SEC

・2024.10.22 SEC Charges Four Companies With Misleading Cyber Disclosures

SEC Charges Four Companies With Misleading Cyber Disclosures	SEC、誤解を招くサイバー開示で4社を告発
One company, Unisys Corp., also charged with controls violations	1社Unisys Corp.も統制違反で起訴された。
For Immediate Release	即時リリース
2024-174	2024-174
Washington D.C., Oct. 22, 2024 —	ワシントンD.C.、2024年10月22日-。
The Securities and Exchange Commission today charged four current and former public companies – Unisys Corp., Avaya Holdings Corp., Check Point Software Technologies Ltd, and Mimecast Limited – with making materially misleading disclosures regarding cybersecurity risks and intrusions. The SEC also charged Unisys with disclosure controls and procedures violations. The companies agreed to pay the following civil penalties to settle the SEC’s charges:	証券取引委員会は本日、ユニシス・コーポレーション、アバイア・ホールディングス・コーポレーション、チェック・ポイント・ソフトウェア・テクノロジーズ・リミテッド、ミムキャスト・リミテッドの現・元上場企業4社を、サイバーセキュリティのリスクや侵入に関して重大な誤解を招くような開示を行っていたとして起訴した。SECはまた、ユニシスを開示統制手続き違反で起訴した。両社はSECの告発を解決するため、以下の民事罰の支払いに合意した：
Unisys will pay a $4 million civil penalty;	ユニシスは400万ドルの民事罰、
Avaya. will pay a $1 million civil penalty;	Avayaは100万ドルの民事罰、
Check Point will pay a $995,000 civil penalty; and	チェック・ポイントは99万5000ドルの民事罰、
Mimecast will pay a $990,000 civil penalty.	Mimecastは99万ドルの民事罰である。
The charges against the four companies result from an investigation involving public companies potentially impacted by the compromise of SolarWinds’ Orion software and by other related activity.	この4社に対する告発は、SolarWindsのOrionソフトウェアの侵害およびその他の関連行為によって影響を受けた可能性のある公開企業を含む調査によるものである。
“As today’s enforcement actions reflect, while public companies may become targets of cyberattacks, it is incumbent upon them to not further victimize their shareholders or other members of the investing public by providing misleading disclosures about the cybersecurity incidents they have encountered,” said Sanjay Wadhwa, Acting Director of the SEC’s Division of Enforcement. “Here, the SEC’s orders find that these companies provided misleading disclosures about the incidents at issue, leaving investors in the dark about the true scope of the incidents.”	「今日の強制措置が反映するように、公開企業はサイバー攻撃の標的になる可能性があるが、遭遇したサイバーセキュリティインシデントについて誤解を招くような情報をプロバイダとして提供することによって、株主や他の一般投資家をこれ以上犠牲にしないことは、公開企業に課せられた責務である」と、SEC執行部のSanjay Wadhwa部長代理は述べた。「SECの命令は、これらの企業が問題のインシデントについて誤解を招くような開示を行い、インシデントの真の範囲について投資家を闇に葬ったことを認定している。
According to the SEC’s orders, Unisys, Avaya, and Check Point learned in 2020, and Mimecast learned in 2021, that the threat actor likely behind the SolarWinds Orion hack had accessed their systems without authorization, but each negligently minimized its cybersecurity incident in its public disclosures. The SEC’s order against Unisys finds that the company described its risks from cybersecurity events as hypothetical despite knowing that it had experienced two SolarWinds-related intrusions involving exfiltration of gigabytes of data. The order also finds that these materially misleading disclosures resulted in part from Unisys’ deficient disclosure controls. The SEC’s order against Avaya finds that it stated that the threat actor had accessed a “limited number of [the] Company’s email messages,” when Avaya knew the threat actor had also accessed at least 145 files in its cloud file sharing environment. The SEC’s order against Check Point finds that it knew of the intrusion but described cyber intrusions and risks from them in generic terms. The order charging Mimecast finds that the company minimized the attack by failing to disclose the nature of the code the threat actor exfiltrated and the quantity of encrypted credentials the threat actor accessed.	SECの命令によると、ユニシス、アバヤ、チェック・ポイントは2020年に、そしてマイムキャストは2021年に、SolarWinds Orionのハッキングの背後にいたと思われる脅威行為者が自社のシステムに認可なしにアクセスしていたことを知ったが、各社とも公開情報開示においてサイバーセキュリティ・インシデントを過失により最小限に抑えていた。ユニシスに対するSECの命令は、同社がソーラーウィンズ関連で2回、ギガバイト単位のデータ流出を伴う侵入を経験していることを知っていたにもかかわらず、サイバーセキュリティ事象によるリスクを仮定のものとして説明していたことを認定している。この命令はまた、これらの重大な誤解を招くような開示は、ユニシスの不十分な開示統制に一部起因していたと認定している。Avayaに対するSECの命令は、Avayaが脅威行為者がクラウド・ファイル共有環境の少なくとも145のファイルにもアクセスしていたことを知っていたにもかかわらず、脅威行為者が「限られた数の（当社の）電子メール・メッセージ」にアクセスしたと記載したことを認定している。チェック・ポイントに対するSECの命令は、同社が侵入の事実を知っていたにもかかわらず、サイバー侵入とそれによるリスクについて一般的な言葉で説明していたことを認定している。Mimecastに対するSECの命令では、同社が脅威行為者が流出させたコードの性質と、脅威行為者がアクセスした暗号化された認証情報の量を開示せず、攻撃を最小化したと認定している。
“Downplaying the extent of a material cybersecurity breach is a bad strategy,” said Jorge G. Tenreiro, Acting Chief of the Crypto Assets and Cyber Unit. “In two of these cases, the relevant cybersecurity risk factors were framed hypothetically or generically when the companies knew the warned of risks had already materialized. The federal securities laws prohibit half-truths, and there is no exception for statements in risk-factor disclosures.”	「重要なサイバーセキュリティ侵害の程度を軽視することは、悪い戦略だ。「これらのケースのうち2つでは、関連するサイバーセキュリティのリスク要因が、企業が警告されたリスクがすでに顕在化していることを知っていたにもかかわらず、仮説的または一般的な枠組みで説明されていた。連邦証券法は中途半端な真実を禁じており、リスク要因の開示における記述に例外はない。
The SEC’s orders find that each company violated certain applicable provisions of the Securities Act of 1933, the Securities Exchange Act of 1934, and related rules thereunder. Without admitting or denying the SEC’s findings, each company agreed to cease and desist from future violations of the charged provisions and to pay the penalties described above. Each company cooperated during the investigation, including by voluntarily providing analyses or presentations that helped expedite the staff’s investigation and by voluntarily taking steps to enhance its cybersecurity controls.	SECの命令は、各社が1933年証券法、1934年証券取引法、およびそれらに基づく関連規則の特定の適用条項に違反したと認定する。SECの調査結果を認めることも否定することもなく、各社は告発された条項に対する今後の違反行為を停止し、上記の罰金を支払うことに同意した。各社は調査期間中、SECスタッフの調査の迅速化に資する分析やプレゼンテーションを自発的に提供したり、サイバーセキュリティ管理体制を強化するための措置を自発的に講じるなど、調査に協力した。
The SEC’s investigation involving the four companies was conducted by Arsen Ablaev and Michael Baker of the Crypto Assets and Cyber Unit (CACU) and David D’Addio in the Boston Regional Office. It was supervised by Amy Flaherty Hartman and Mr. Tenreiro of the CACU and Kathryn A. Pyszka of the Chicago Regional Office.	この4社を含むSECの調査は、暗号資産・サイバーユニット（CACU）のアーセン・アブラエフとマイケル・ベイカー、およびボストン支局のデビッド・ダディオによって実施された。CACUのエイミー・フラハティ・ハートマンとテンレイロ氏、シカゴ支局のキャサリン・A・ピシュカが監督した。

4社に対する行政手続き（後ろに仮対訳をつけています...）

・[PDF] In the Matter of Avaya Holdings Corp., Respondent.

・[PDF] In the Matter of Check Point Software Technologies Ltd., Respondent.

・[PDF] In the Matter of Mimecast Limited, Respondent.

・[PDF] In the Matter of Unisys Corporation, Respondent.

ところが、この件、少し続きがあります...

SECには、コミッショナーが５名いるのですが、２名がこれに反対しているんですよね...

そして、SECがSolarWindsに対して起こした訴訟（サイバー攻撃に対する開示の妥当性に関する）も大半が裁判所に棄却されているようなんですよね...

この両方を読むことにより、サイバーセキュリティリスクの開示に対する考え方の理解が深まるかもです...

・2024.10.22 Statement Regarding Administrative Proceedings Against SolarWinds Customers

Statement Regarding Administrative Proceedings Against SolarWinds Customers	SolarWinds社の顧客に対する行政手続きに関する声明
Commissioner Hester M. Peirce	コミッショナー Hester M. Peirce
Commissioner Mark T. Uyeda	マーク T. 上田
Oct. 22, 2024	2024年10月22日
According to the Government Accountability Office, the 2019-2020 cyberattacks against SolarWinds Corporation (“SolarWinds”) and its Orion software were “one of the most widespread and sophisticated hacking campaigns ever conducted against the federal government and the private sector.”[1] It was an attack against America.[2] How has the Commission responded? By first charging SolarWinds in district court[3] and, in today’s settled proceedings,[4] charging four customers of its Orion software, with violations of the federal securities laws. Today’s proceedings impose nearly $7 million in penalties against these victims of the cyberattacks.	政府アカウンタビリティ室 (GAO) によると、SolarWinds Corporation（以下、SolarWinds社）と同社のOrionソフトウェアに対する2019年から2020年にかけてのサイバー攻撃は、「連邦政府および民間セクターに対してこれまでに行われた最も広範かつ洗練されたハッキングキャンペーンの1つ」[1]であり、米国に対する攻撃であった[2]。まずソーラーウインズ社を連邦地裁に告発し[3]、そして本日の和解手続き[4]では、同社のOrionソフトウェアの顧客4社を連邦証券法違反で告発した。本日の訴訟手続きでは、サイバー攻撃の被害者に対して約700万ドルの罰則が課される。
The four proceedings can be divided into two categories. Two of the companies – Avaya Holdings Corp. (“Avaya”) and Mimecast Limited (“Mimecast”) – disclosed information about the cyberattack.[5] However, the Commission finds that the disclosures omitted certain material information.[6] The other two companies – Check Point Software Technologies Ltd. (“Check Point”) and Unisys Corporation (“Unisys”) – did not update an existing risk factor in response to the cyberattack.[7] The Commission finds that those risk factors became materially misleading without disclosure that the Orion software in the companies’ respective network had been compromised.[8]	4件の訴訟は2つのカテゴリーに分けられる。そのうちの2社、Avaya Holdings Corp.（以下「Avaya」）とMimecast Limited（以下「Mimecast」）は、サイバー攻撃に関する情報を開示していた[5]。しかし、証券取引委員会は、その開示が特定の重要な情報を省略していたと認定している[6]。(チェック・ポイント」）とユニシス・コーポレーション（「ユニシス」）の2社は、サイバー攻撃を受けて既存のリスク要因を更新しなかった[7]。証券取引委員会は、各社のネットワーク内のOrionソフトウェアが侵害されたことを開示しなければ、これらのリスク要因が重大な誤解を招くことになったと判断している[8]。
The common theme across the four proceedings is the Commission playing Monday morning quarterback. Rather than focusing on whether the companies’ disclosure provided material information to investors, the Commission engages in a hindsight review to second-guess the disclosure and cites immaterial, undisclosed details to support its charges. Accordingly, we dissent.	4件の訴訟手続きに共通するテーマは、証券取引委員会がマンデー・モーニング・クォーターバックを演じていることである。証券取引委員会は、各社の情報開示が投資家に重要な情報を提供したかどうかに焦点を当てるのではなく、情報開示を後知恵で検証し、重要でない未開示の詳細を挙げて、その告発を支持している。従って、反対する。
Avaya and Mimecast	Avaya and Mimecast
Avaya	Avaya
With respect to Avaya, the Commission highlights “the likely attribution of the [cyberattack] to a nation-state threat actor” as an example of omitted material information.[9] The Commission’s view that such information is material is troubling for a couple of reasons.	Avayaに関して、証券取引委員会は「（サイバー攻撃が）国家の脅威行為者に起因する可能性が高いこと」を重要情報の漏れの一例として挙げている[9]。このような情報が重要であるという証券取引委員会の見解は、いくつかの理由から問題がある。
First, in its 2023 rulemaking on cybersecurity incident disclosure (the “2023 Cybersecurity Rule”),[10] neither investors nor the Commission expressed a view that the identity of the threat actor is material information. When proposing the 2023 Cybersecurity Rule, the Commission sought public feedback on whether there were specific types of information that should be disclosed for a material cybersecurity incident.[11] Not a single one of the 150-plus comment letters submitted on the proposal requested disclosure of the identity of the threat actor.[12] Accordingly, it is highly unlikely that investors consider this information to be material. When adopting the 2023 Cybersecurity Rule, the Commission stated that disclosure of cybersecurity incidents should “focus…primarily on the impacts of…[the]…incident, rather than on…details regarding the incident itself.”[13] The identity of the threat actor, while an obvious “detail…regarding the incident,” lacks a clear link to the “impact” of the incident. By using a settled proceeding to convey the view that this information is material, the Commission regulates by enforcement.	第一に、サイバーセキュリティインシデントの開示に関する2023年のルールメイキング（「2023年サイバーセキュリティ・ルール」）[10]において、投資家も証券取引委員会も脅威行為者の身元が重要情報であるとの見解を示していない。2023年サイバーセキュリティ規則を提案する際、証券取引委員会は、重要なサイバーセキュリティインシデントについて開示すべき特定の種類の情報があるかどうかについて、一般からの意見を求めた[11] 。2023年サイバーセキュリティ規則を採択する際、証券取引委員会は、サイバーセキュリティインシデントの開示は、「インシデントそのものに関する詳細よりも、...主に...インシデントが...及ぼす影響に焦点を当てる」べきであると述べた[13]。この情報が重要であるという見解を伝えるために和解手続きを利用することで、証券取引委員会は強制によって規制を行っている。
Second, by the time Avaya disclosed information about the cyberattack in February 2021, there had already been widespread media reports[14] and a joint statement by government agencies[15] that Russia was the likely threat actor. Although Avaya’s disclosure did not tie its incident to the SolarWinds cyberattack, it is unlikely that attribution of the incident to Russia would have “significantly altered the ‘total mix’ of information”[16] about Avaya to a reasonable investor in light of the existing public information about the cyberattack.	第二に、Avayaが2021年2月にサイバー攻撃に関する情報を開示した時点では、すでにロシアが脅威行為者である可能性が高いという報道[14]や政府機関による共同声明[15]が広く行われていた。Avayaの情報開示は、自社のインシデントとSolarWindsのサイバー攻撃を結びつけてはいなかったが、サイバー攻撃に関する既存の公開情報に照らして、合理的な投資家にとって、インシデントをロシアに帰属させることが、Avayaに関する「情報の『総合』」[16]を大きく変えることになったとは考えにくい。
The Commission’s other factors for why Avaya omitted material information are equally unconvincing. The Commission cites “the long-term unmonitored presence of the threat actor in Avaya’s systems, the access to at least 145 shared files some of which contained confidential and/or proprietary information, and the fact that the mailbox the threat actor accessed belong to one of Avaya’s cybersecurity personnel.”[17] These are the “details regarding the incident itself” – as opposed to the “impact” of incident – that the Commission has said do not need to be disclosed.[18]	Avayaが重要な情報を省略した理由について、証券取引委員会が挙げているその他の要因も同様に説得力に欠ける。証券取引委員会は、「脅威行為者がAvayaのシステム内に長期にわたって監視されずに存在したこと、少なくとも145の共有ファイルにアクセスできたこと、その中には機密情報および/または専有情報が含まれていたこと、脅威行為者がアクセスしたメールボックスがAvayaのサイバーセキュリティ担当者のものであったこと」を挙げている。「17] これらは、インシデントの「影響」とは対照的に、「インシデントそのものに関する詳細」であり、開示する必要はないと証券取引委員会は述べている[18]
Mimecast	Mimecast
Although the Form 8-K requirements for disclosing material cybersecurity incidents, which were adopted as part of the 2023 Cybersecurity Rule, did not yet apply to Mimecast, it filed three Form 8-Ks related to the intrusion of the Orion software on its network.[19] In the third Form 8-K, Mimecast filed its three-page incident report for the cyberattack as an exhibit.[20] Mimecast’s efforts to inform its investors would not be rewarded; the Commission finds fault with its disclosures, particularly regarding “the large number of impacted customers and the percentage of code exfiltrated by the threat actor.”[21]	2023年サイバーセキュリティ規則の一部として採用された、重要なサイバーセキュリティインシデントの開示に関するForm 8-Kの要件は、Mimecastにはまだ適用されていなかったが、同社はネットワークへのOrionソフトウェアの侵入に関連する3件のForm 8-Kを提出した。 [19]3回目のForm 8-Kで、Mimecastはサイバー攻撃に関する3ページのインシデントレポートを添付書類として提出した[20]。Mimecastの投資家への情報提供の努力は報われることはなく、証券取引委員会は、特に「影響を受けた多数の顧客と脅威行為者によって流出したコードの割合」に関する開示に問題があると判断した。「21]
The Commission highlights Mimecast’s failure to disclose that “the threat actor had accessed a database containing encrypted credentials for approximately 31,000 [of 40,000] customers.”[22] Where the compromised information consists of a large percentage of customer credentials, disclosure of such fact can be material. In assessing materiality in the Commission’s case against SolarWinds, the court stated that “perspective and context are critical” to evaluating whether a Form 8-K is materially misleading and that a filing is not misleading if “[the] disclosure, read as a whole, captured the big picture.”[23]	証券取引委員会は、Mimecastが「脅威行為者が（40,000人の顧客のうち）約31,000人分の暗号化された認証情報を含むデータベースにアクセスした」[22]ことを開示していなかったことに注目している。SolarWindsに対する証券取引委員会の訴訟における重要性のアセスメントにおいて、裁判所は、Form 8-Kが重大な誤解を招くかどうかを評価するためには「観点と文脈が重要である」と述べ、「（開示が）全体として読めば全体像を捉えている」[23]場合には、提出書類が誤解を招くことはないとした。
Mimecast disclosed, without providing a percentage or number, that encrypted customer credentials had been accessed.[24] It said that the company was “resetting the affected…credentials.”[25] Mimecast further disclosed that it found “no evidence that the threat actor accessed email or archive content held by [it] on behalf of [its] customers.”[26]	Mimecastは、暗号化された顧客クレデンシャルがアクセスされたことを、割合や数を示すことなく開示した。 [24]同社は「影響を受けた...クレデンシャルをリセットしている」と述べた[25]。さらにMimecastは「脅威行為者が[同社の]顧客のために[同社が]保有する電子メールまたはアーカイブコンテンツにアクセスした証拠はない」と公表した[26]。
In bringing charges against Mimecast, the Commission focuses on the detail of the threat actor accessing a database containing customer credentials, as opposed to the larger picture of the effects of the incident. Access to credentials, by itself, may not be material if the threat actor does not use the credentials to misappropriate customer information. Mimecast’s disclosure, read as a whole, conveys the complete story about the unauthorized access of credentials and the lack of misappropriated information.	Mimecastを告発するにあたり、証券取引委員会はインシデントの影響の全体像とは対照的に、脅威行為者が顧客のクレデンシャルを含むデータベースにアクセスしたという詳細に焦点を当てている。脅威行為者がクレデンシャルを使用して顧客情報を不正流用しなければ、クレデンシャルへのアクセス自体は重要ではないかもしれない。Mimecast の情報開示は、全体として読むと、クレデンシャルの不正アクセスおよび不正流用された情報の欠如に関する完全なストーリーを伝えている。
With respect to disclosure of exfiltrated source code, Mimecast stated in its incident report that the threat actor had downloaded a “limited number” of its source code repositories but the company believed that the downloaded code was “incomplete and would be insufficient to build and run any aspect of the Mimecast service.”[27] The Commission finds that these statements were materially misleading because Mimecast did not disclose that the threat actor had exfiltrated “58% of its exgestion source code, 50% of its M365 authentication source code, and 76% of its M365 interoperability source code, representing the majority of the source code for those three areas.”[28]	流出したソースコードの開示に関して、Mimecastはインシデント報告書の中で、脅威行為者は同社のソースコードリポジトリの「限られた数」をダウンロードしたが、同社はダウンロードされたコードは「不完全であり、Mimecastサービスのあらゆる側面を構築し実行するには不十分であろう」と考えていると述べている。「[27]証券取引委員会は、脅威行為者が「exgestionソースコードの58%、M365認証ソースコードの50%、M365相互運用性ソースコードの76%（これら3つの分野のソースコードの大部分に相当）」を流出させたことをMimecastが開示していなかったため、これらの声明は重大な誤解を招くものであったと判断している[28][
By calling for disclosure of specific percentages and types of source code, the Commission ignores the reasonable investor standard embedded within the materiality concept and the types of information that such investor would consider important in making an investment decision. We are doubtful that a reasonable investor would understand how exfiltration of such precise percentages of those three types of source code affects Mimecast. Similar to the Avaya case, such information is “details regarding the incident itself”[29] that do not need to be disclosed. For us, the material disclosure by Mimecast is that the cyberattack did not result in modifications of the company’s source code or have effects on its products.[30] Notably, the Commission did not find that such statement was materially misleading.	] 具体的な割合とソースコードの種類の開示を求めることによって、証券取引委員会は、重要性の概念に組み込まれた合理的投資家の標準と、そのような投資家が投資判断を下す際に重要と考える情報の種類を無視している。合理的な投資家が、これら3種類のソースコードの正確な割合の流出がMimecastにどのような影響を与えるかを理解できるかどうかは疑わしい。Avayaのケースと同様に、このような情報は「インシデントそのものに関する詳細」[29]であり、開示する必要はない。当社にとって、Mimecastによる重要な開示は、サイバー攻撃によって同社のソースコードが修正されたり、同社の製品に影響が及ぶことはなかったということである[30]。注目すべきことに、証券取引委員会は、このような声明が重大な誤解を招くとは判断していない。
Effect on Form 8-K, Item 1.05 Disclosure	Form 8-K、項目1.05の開示への影響
In addition to our concerns about the charges against Avaya and Mimecast, we are also concerned about how the proceedings against them will shape disclosure provided pursuant to new Item 1.05 of Form 8-K, which was adopted as part of the 2023 Cybersecurity Rule. This item requires companies to disclose “the material aspects of the nature, scope, and timing” of a material cybersecurity incident.[31]	AvayaとMimecastに対する告発に関する懸念に加え、両社に対する訴訟手続が、2023年サイバーセキュリティ規則の一部として採用されたForm 8-Kの新しい項目1.05に従って提供される開示をどのように形成するかについても懸念している。この項目は、企業に対し、重要なサイバーセキュリティインシデントの「性質、範囲、時期に関する重要な側面」を開示することを求めている[31]
Companies reviewing today’s proceedings[32] reasonably could conclude that the Commission will evaluate their Item 1.05 disclosure with a hunger for details that runs contrary to statements in the adopting release.[33] To avoid being second-guessed by the Commission, companies may fill their Item 1.05 disclosures with immaterial details about an incident, or worse, provide disclosure under the item about immaterial incidents. The Commission staff has already identified the latter practice as an issue,[34] and today’s proceedings may exacerbate the problem. As the Commission recognized when adopting the 2023 Cybersecurity Rule, immaterial disclosure about cybersecurity incidents may “divert investor attention” and result in “mispricing of securities.”[35] However, if the Commission’s enforcement actions have the practical effect of requiring immaterial disclosure, then the benefits and underlying rationale used to support the 2023 Cybersecurity Rule may be undermined.	今日の訴訟手続[32]を検討している企業は、証券取引委員会が、採択リリース[33]の記述に反して、詳細に対する飢餓感をもって項目1.05の開示を評価すると合理的に結論づけることができる。証券取引委員会のスタッフはすでに後者の慣行を問題点として指摘しており[34]、本日の審理はこの問題をさらに悪化させる可能性がある。証券取引委員会が2023年サイバーセキュリティ規則を採択した際に認識したように、サイバーセキュリティ・インシデントに関する重要性の低い開示は、「投資家の注意をそらし」、「証券のミスプライス」[35] をもたらす可能性がある。しかし、証券取引委員会の強制措置が、重要性の低い開示を義務付けるという実質的な効果をもたらすのであれば、2023年サイバーセキュリティ規則を支持するために使用された利点と基本的な根拠が損なわれる可能性がある。
Check Point and Unisys	チェック・ポイントとユニシス
The Commission’s proceedings against Check Point and Unisys both rest on a similar theory: the company failed to update its cybersecurity risk factor for the Orion software compromise and left its risk factor generic (in the case of Check Point)[36] or as a hypothetical (in the case of Unisys).[37]	チェック・ポイントとユニシスに対する証券取引委員会の訴訟手続きは、いずれも同様の理論に基づいている。すなわち、同社はOrionソフトウェアの侵害に対するサイバーセキュリティのリスク要因を更新せず、（チェック・ポイントの場合は）一般的なリスク要因[36]、または（ユニシスの場合は）仮定のリスク要因のままにしていた[37]。
Check Point	Check Point
In the SolarWinds case, the Commission argued that the SolarWinds risk factor was “unacceptably boilerplate and generic” because of “the company’s internal recognition that its security systems were faulty.”[38] The court rejected the argument after a detailed review of SolarWinds’ risk disclosure and concluded that “[v]iewed in totality, [such] disclosure was sufficient to alert the investing public of the types and nature of cybersecurity risks SolarWinds faced and the grave consequences these could present for the company’s financial health and future.”[39]	SolarWindsのケースでは、「同社のセキュリティ・システムには欠陥があるという社内認識があった」ため、SolarWindsのリスク要因は「許容できないほど定型的かつ一般的」であると証券取引委員会は主張した。裁判所は、ソーラーウインズのリスク開示を詳細に検討した結果、この主張を退け、「（このような）開示は、ソーラーウインズが直面しているサイバーセキュリティリスクの種類と性質、およびそれらが同社の財務の健全性と将来にもたらし得る重大な結果を投資家に警告するのに十分であった」と結論づけた。「
In its proceeding against Check Point, the Commission argues that the company’s risk disclosure was generic and should have been revised because its cybersecurity risk profile had materially changed.[40] This contention, however, merits cautious consideration in light of the SolarWinds court’s reasoning in dismissing portions of the Commission’s case against SolarWinds, which, as illustrated below, was based on arguably similar disclosures.	証券取引委員会は、チェック・ポイントに対する訴訟手続きにおいて、同社のリスク開示は一般的なものであり、サイバーセキュリティ・リスク・プロファイルが大幅に変更されたため、修正されるべきであったと主張している[40]。しかし、この主張は、以下に示すように、SolarWindsに対する証券取引委員会の訴訟の一部を棄却したSolarWindsの裁判所の理由に照らして、慎重に検討する必要がある。
Court’s reason for why SolarWinds risk disclosure was not generic[41]	SolarWinds のリスク開示が一般的でないとする裁判所の理由[41]
SolarWinds risk factor, as quoted by the court[42]	裁判所が引用した SolarWinds のリスク要因[42]
Check Point risk factor[43]	チェック・ポイントのリスク要因[43]
Disclosed specific risks the company faced given its business model	同社のビジネス・モデルを考慮し、同社が直面する具体的なリスクを開示している
[SolarWinds was] vulnerable to damage or interruption from… traditional computer “hackers,” malicious code (such as viruses and worms)…denial-of-service attacks[, and] sophisticated nation-state and nation-state-supported actors (including advanced persistent threat intrusions).	[SolarWinds は]...従来のコンピュータ「ハッカー」、（ウイルスやワームなどの）悪意のあるコード...DoS 攻撃[ および]...洗練された国家や国家に支援された行為者（高度持続的脅威による侵入を含む）による被害や中断に対して脆弱性がある。
We or our products are a frequent target of computer hackers and organizations that intend to sabotage, take control of, or otherwise corrupt our manufacturing or other processes and products. We are also a target of malicious attackers who attempt to gain access to our network or data centers or those of our customers or end users; steal proprietary information related to our business, products, employees, and customers; or interrupt our systems or those of our customers or others.	当社または当社製品は、当社の製造プロセスやその他の製品に妨害工作を施したり、その制御を奪ったり、あるいはその他の方法で腐敗させようとするコンピューター・ハッカーや組織の標的となることが多い。また、当社のネットワークやデータセンター、あるいは顧客やエンドユーザーへのアクセスを試みたり、当社の事業、製品、従業員、顧客に関連する専有情報を盗んだり、当社や顧客などのシステムを妨害しようとする悪意ある攻撃者の標的にもなっている。
Warned about the increasing frequency of attacks	攻撃頻度の増加に関する警告
The risk of a security breach or disruption, particularly through cyberattacks or cyber intrusion, including by computer hacks, foreign governments, and cyber terrorists, has generally increased the number, intensity and sophistication of attempted attacks.	特に、コンピュータハック、外国政府、サイバーテロリストなどによるサイバー攻撃やサイバー侵入を通じたセキュリティ侵害や混乱のリスクは、一般的に、試みられる攻撃の数、強度、巧妙さを増している。
We believe such attempts are increasing in number.	そのような試みはますます増加していると我々は考えている。
Warned that the company might prove unable to anticipate, prevent, or detect attacks	当社が攻撃を予期、防止、検知できないことが判明する可能性があることを警告
Because the techniques used to obtain unauthorized access or to sabotage systems change frequently and generally are not identified until they are launched against a target, we may be unable to anticipate these techniques or to implement adequate preventative measures. We may also experience security breaches that may remain undetected for an extended period and, therefore, have a greater impact on the products we offer, the proprietary data contained therein, and ultimately on our business.	不正アクセスやシステム妨害に使用される技術は頻繁に変化し、一般的に標的に対して開始されるまで特定されないため、当社はこれらの技術を予期できない可能性があり、また適切な防止策を実施できない可能性がある。また、セキュリティ侵害が長期間発見されずに残る可能性もあり、その結果、当社が提供する製品やそこに含まれる専有データ、ひいては当社の事業により大きな影響を及ぼす可能性もある。
While we seek to detect and investigate all unauthorized attempts and attacks against our network and products, and to prevent their recurrence where practicable through changes to our internal processes and tools and/or changes or patches to our products, we remain potentially vulnerable to additional known or unknown threats.	当社は、当社のネットワークや製品に対する不正な試みや攻撃をすべて検知・調査し、社内プロセスやツールの変更、および／または当社製品の変更やパッチ適用を通じて、可能な限り再発防止に努めているが、既知または未知のさらなる脅威に対する脆弱性は潜在的に残っている。
Alerted investors to the potential for a security breach to have very damaging consequences to the company	セキュリティ侵害が会社に甚大な損害をもたらす可能性があることを投資家に警告
The foregoing security problems could result in, among other consequences, damage to our own systems or our customers’ IT infrastructure or the loss or theft of our customers’ proprietary or other sensitive information. The costs to us to eliminate or address the foregoing security problems and security vulnerabilities before or after a cyber incident could be significant. Our remediation efforts may not be successful and could result in interruptions, delays or cessation of service and loss of existing or potential customers that may impede sales of our products or other critical functions. We could lose existing or potential customers in connection with any actual or perceived security vulnerabilities in our websites or our products.	前述のセキュリティ問題は、とりわけ、当社自身のシステムまたは顧客のITインフラへの損害、あるいは顧客の専有情報またはその他の機密情報の損失または盗難につながる可能性がある。サイバーインシデントが発生する前または発生した後に、前述のセキュリティ問題やセキュリティ脆弱性を解消または対処するために当社が負担する費用は甚大なものになる可能性がある。当社の改善努力は成功しない可能性があり、その結果、サービスの中断、遅延または停止、既存または潜在的な顧客の喪失を招き、当社製品の販売またはその他の重要な機能に支障をきたす可能性がある。当社ウェブサイトまたは当社製品に実際に存在する、または認識されているセキュリティ脆弱性に関連して、既存または潜在的な顧客を失う可能性がある。
Such incidents, whether successful or unsuccessful, could result in our incurring significant costs related to, for example, rebuilding internal systems, reduced inventory value, providing modifications to our products and services, defending against litigation, responding to regulatory inquiries or actions, paying damages, or taking other remedial steps with respect to third parties. Publicity about vulnerabilities and attempted or successful incursions could damage our reputation with customers or users and reduce demand for our products and services.	このようなインシデントが成功したか失敗したかにかかわらず、当社は、例えば、社内システムの再構築、在庫価値の減少、当社製品およびサービスの修正提供、訴訟に対する防御、規制当局からの問い合わせや措置への対応、損害賠償の支払い、またはサードパーティに対するその他の是正措置などに関連する多額の費用を負担することになる可能性がある。脆弱性や侵入の試みまたは成功に関する公表は、顧客やユーザーに対する当社の評判を傷つけ、当社の製品やサービスに対する需要を低下させる可能性がある。
Unisys	Unisys
The Commission’s case against Unisys[44] rests on the finding that Unisys’s risk factor framed cybersecurity events as hypothetical, even though a compromise of the Orion software on the company’s network already had occurred.[45]	Unisysに対する証券取引委員会の提訴[44]は、同社のネットワーク上のOrionソフトウェアの侵害がすでに発生していたにもかかわらず、Unisysのリスクファクターがサイバーセキュリティの事象を仮定のものとして組み立てていたという認定に基づいている[45]
Risk factors are designed to warn investors about events that could occur and materially affect the company. To the extent that an event has occurred and has materially affected the company, it is generally required to be disclosed in another part of a filing, such as the description of the business, management’s discussion and analysis, or the financial statements and notes thereto. Whether risk factors need to be updated because certain hypothetical risks have materialized is not always a straightforward matter,[46] and the Commission should be judicious in bringing charges in this area. If the Commission does not exercise restraint, it could find a violation in every company’s risk disclosure because risk factors cover a wide range of topics and are inherently disclosure of hypothetical events. Aggressive enforcement by the Commission may cause companies to fill their risk disclosures with occurrences of immaterial events, for fear of being second-guessed by the Commission. Such a result would frustrate the Commission’s goal of preventing a lengthy risk factor section filled with immaterial disclosure.[47]	リスクファクターは、発生する可能性があり、会社に重大な影響を与える事象について投資家に警告するために設計されている。ある事象が発生し、会社に重大な影響を及ぼした範囲については、一般的に、事業の説明、経営陣による検討と分析、財務諸表とその注記など、提出書類の別の部分で開示することが求められる。ある仮定のリスクが現実化したからといって、リスク要因を更新する必要があるかどうかは、必ずしも一筋縄ではいかない問題であり[46]、証券取引委員会はこの分野での告発を慎重に行うべきである。リスクファクターは広範なトピックをカバーし、本質的に仮定の出来事を開示するものであるため、証券取引委員会が自制を働かせなければ、すべての企業のリスク開示に違反が見つかる可能性がある。証券取引委員会が積極的な取締りを行えば、企業は証券取引委員会から二の足を踏まれることを恐れ、重要でない事象の発生でリスク開示を埋め尽くすことになるかもしれない。そのような結果は、重要でない開示で埋め尽くされた長大なリスク要因のセクションを防ぐという証券取引委員会の目標を挫くことになる[47]
In light of these considerations, the case against Unisys is one that did not need to be brought. The Commission advances three reasons for why the company’s cybersecurity risk profile changed materially and its risk factor should have been updated.[48]	これらの点を考慮すると、ユニシスに対する訴訟は提起する必要のないものである。証券取引委員会は、同社のサイバーセキュリティリスクプロファイルが重要な変化を遂げ、リスクファクターが更新されるべきであった理由として、3つの理由を挙げている[48][48]
First, the Commission states that a “persistent and reportedly nation-state supported threat actor compromised the company’s environment.”[49] This factor does not show materiality because it merely says that a cybersecurity incident occurred, and not every incident is material.	まず、証券取引委員会は「持続的で報告されている国家が支援する脅威行為者が同社の環境を侵害した」と述べている[49]。この要因は、単にサイバーセキュリティインシデントが発生したというだけであり、すべてのインシデントが重要であるとは限らないため、重要性を示すものではない。
Second, the Commission finds that “the threat actor persisted in the environment unmonitored for a combined span of at least sixteen months.”[50] While this fact is concerning from an information security perspective, the Commission fails to elaborate on why it is material from a securities law perspective. Notably, the Commission did not find that Unisys’s financial results were adversely affected or its reputation had measurably declined, especially relative to its peers given the widespread nature of the SolarWinds cyberattack.	第二に、証券取引委員会は、「脅威行為者が少なくとも16ヶ月間、監視されることなく環境内に持続していた」と認定している[50]。この事実は、情報セキュリティの観点からは問題であるが、証券取引委員会は、なぜそれが証券法の観点から重要なのかについて詳しく説明していない。注目すべきことに、証券取引委員会は、ユニシスの業績が悪影響を受けたとも、特にソーラーウインズのサイバー攻撃が広範囲に及んだことを考慮すると、同業他社と比較してユニシスの評判が著しく低下したとも判断していない。
Finally, the Commission says that “[Unisys]’s investigation of the activity suffered from gaps that prevented it from identifying the full scope of the compromise.”[51] It is unclear to us how an after-the-fact investigation of a cybersecurity incident affects the materiality of the incident itself. The Commission did not find that the unidentified aspect of the compromise materially affected Unisys. Similar to the second reason, the Commission fails to explain how a subpar investigation relates to adverse effects on the company.	最後に、証券取引委員会は「（ユニシスの）活動に関する調査は、侵害の全範囲を特定することを妨げる隙間に苦しんでいた」と述べている[51]。サイバーセキュリティインシデントの事後調査が、インシデント自体の重要性にどのように影響するのかは不明である。委員会は、特定できなかった侵害の側面がユニシスに重大な影響を与えたとは判断しなかった。2つ目の理由と同様、証券取引委員会は、不十分な調査と企業への悪影響がどのように関係するのかを説明していない。
Because we are not persuaded by the Commission’s arguments on the materiality of Unisys’s cybersecurity incident, we do not support the charges against the company.	ユニシスのサイバーセキュリティインシデントの重要性に関する証券取引委員会の主張には説得力がないため、我々は同社に対する告発を支持しない。
Conclusion	結論
Cybersecurity incidents are one of a myriad of issues that most companies face. The Commission needs to start treating companies subject to cyberattacks as victims of a crime, rather than perpetrators of one. Yes, the Commission must protect investors by ensuring that companies disclose material incidents, but donning a Monday morning quarterback’s jersey to insist that immaterial information be disclosed — as the Commission did in today’s four proceedings — does not protect investors. It does the opposite.	サイバーセキュリティ事件は、ほとんどの企業が直面する無数の問題の一つである。証券取引委員会は、サイバー攻撃を受けた企業を加害者としてではなく、犯罪の被害者として扱い始める必要がある。確かに、証券取引委員会は、企業が重要なインシデントを開示するようにすることで、投資家を保護しなければならない。しかし、証券取引委員会が今日の4つの手続きで行ったように、重要でない情報を開示するよう主張するために、マンデー・モーニング・クォーターバックのジャージーを着ることは、投資家を保護することにはならない。それは逆効果である。

[1] SolarWinds Cyberattack Demands Significant Federal and Private-Sector Response, WatchBlog (Apr. 22, 2021), available at https://www.gao.gov/blog/solarwinds-cyberattack-demands-significant-federal-and-private-sector-response-infographic.

[2] See, e.g., A “Worst Nightmare” Cyberattack: The Untold Story of the SolarWinds Hack, Dina Temple-Raston, NPR All Things Considered (Apr. 16, 2021) (“Hackers…used [a] routine software update to slip malicious code into Orion’s software and then used it as a vehicle for a massive cyberattack against America.”), available at https://www.npr.org/2021/04/16/985439655/a-worst-nightmare-cyberattack-the-untold-story-of-the-solarwinds-hack.

[3] The court recently dismissed most of the claims the Commission brought against SolarWinds. SEC v. SolarWinds Corp., 2024 WL 3461952 (S.D.N.Y. July 18, 2024).

[4] In the Matter of Avaya Holdings Corp., Release No. 34-101398 (Oct. 22, 2024) (“Avaya Order”), available at https://www.sec.gov/files/litigation/admin/2024/33-11320.pdf; In the Matter of Check Point Software Technologies Ltd., Release No. 34-101399 (Oct. 22, 2024) (“Check Point Order”), available at https://www.sec.gov/files/litigation/admin/2024/33-11321.pdf; In the Matter of Mimecast Limited, Release No. 34-101400 (Oct. 22, 2024) (“Mimecast Order”), available at https://www.sec.gov/files/litigation/admin/2024/33-11322.pdf; and In the Matter of Unisys Corporation, Release No. 34-101401 (Oct. 22, 2024) (“Unisys Order”), available at https://www.sec.gov/files/litigation/admin/2024/33-11323.pdf.

[5] Avaya Order at paragraph 10 and Mimecast Order at paragraphs 9-13 and 15-16.

[6] Avaya Order at paragraph 10 and Mimecast Order at paragraphs 9, 14, and 16-17.

[7] Check Point Order at paragraph 13 and Unisys Order at paragraph 19.

[8] Check Point Order at paragraphs 15-16 and Unisys Order at paragraph 19.

[9] Avaya Order at paragraph 10.

[10] While the facts of the proceedings against Avaya and the other three companies predate the 2023 Cybersecurity Rule, the new requirements inform our analysis of, and dissent on, these proceedings.

Avayaと他の3社に対する訴訟の事実は、2023年のサイバーセキュリティ規則よりも前に行われたものであるが、この新しい要件は、これらの訴訟に対する当社の分析と反対意見に影響を与えている。

[11] Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure, Release No. 33-11038 (Mar. 9, 2022) [87 FR 16590, 16597 (Mar. 23, 2022)] (“Is there any additional information about a material cybersecurity incident that…should [be] require[d]?”), available at https://www.federalregister.gov/documents/2022/03/23/2022-05480/cybersecurity-risk-management-strategy-governance-and-incident-disclosure.

[12] Comment letters submitted on the 2023 Cybersecurity Rule are available at https://www.sec.gov/comments/s7-09-22/s70922.htm.

[13] Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure, Release No. 33-11216 (July 26, 2023) [88 FR 51896, 51903 (Aug. 4, 2023)] (“2023 Cybersecurity Adopting Release”), available at https://www.federalregister.gov/documents/2023/08/04/2023-16194/cybersecurity-risk-management-strategy-governance-and-incident-disclosure.

[14] See, e.g., Suspected Russian Hack is Much Worse than First Feared: Here’s What You Need to Know, Sam Shead (Dec. 19, 2020), available at https://www.cnbc.com/2020/12/18/suspected-russian-hack-on-us-is-much-worse-than-first-feared.html.

[15] See U.S. Feds Say Russians Likely Behind SolarWinds Hack that Breached Government Networks, Todd Haselton (Jan. 5, 2021), available at https://www.cnbc.com/2021/01/05/us-feds-say-russians-likely-behind-solarwinds-hack.html.

[16] TSC Industries, Inc. v. Northway, Inc., 426 U.S. 438, 449 (1976).

[17] Avaya Order at paragraph 10. The Commission also takes issue with Avaya’s disclosure that there was “no current evidence” of access to its “other internal systems.” Id. The Commission acknowledges that the statement was facially accurate but finds that it was made misleading because Avaya did not disclose the threat actor’s access to 145 shared files in an external cloud environment. Id. For the same reason that we do not believe that disclosure about 145 files being accessed is material, we also do not believe that Avaya’s statement about its internal systems is materially misleading.

Avayaへの命令段落10。委員会はまた、Avayaが「他の内部システム」へのアクセスについて「現在のところ証拠はない」と開示したことにも問題があると指摘している。同上。委員会は、この声明は表面的には正確であると認めているが、アバイアが外部クラウド環境にある145の共有ファイルへの脅威行為者のアクセスを開示しなかったため、誤解を招くものだと判断している。同上。145のファイルへのアクセスに関する開示が重要ではないと考えるのと同じ理由で、Avayaの社内システムに関する声明が実質的に誤解を招くものではないと考える。

[18] Note 13, supra.

[19] Mimecast Order at paragraphs 10-13.

[20] Exhibit 99.2 of Form 8-K filed on March 16, 2021 by Mimecast (the “Mimecast Incident Report”), available at https://www.sec.gov/Archives/edgar/data/1644675/000119312521082200/d141664dex992.htm.

[21] Mimecast Order at paragraphs 9, 14, and 16.

[22] Mimecast Order at paragraphs 6 and 14. The Commission also finds that Mimecast’s disclosure was materially misleading because it failed to disclose that the threat actor accessed server and configuration information for approximately 17,000 customers. Mimecast Order at paragraph 14. Mimecast disclosed in its incident report that the threat actor accessed server information. Mimecast Incident Report at p.1 (“[T]he threat actor accessed certain Mimecast-issued certificates and related customer server connection information.”). The Commission fails to explain why the specific number of customers whose server and configuration information was accessed is material when the company had already disclosed that server information was accessed.

Mimecast への命令段落 6、14。委員会はまた、脅威行為者が約17,000人の顧客のサーバーおよび構成情報にアクセスしたことを開示しなかったため、Mimecastの開示は実質的に誤解を招くものであると判断した。 Mimecast Order at paragraph 14. Mimecastはインシデントレポートで、脅威行為者がサーバー情報にアクセスしたことを開示した。Mimecastインシデントレポート1ページ（「[T]he threat actor accessed certain Mimecast-issued certificates and related customer server connection information.」）。委員会は、サーバーおよび構成情報がアクセスされた顧客の具体的な数が重要である理由を説明していない。同社はすでにサーバー情報がアクセスされたことを開示していたにもかかわらずである。

[23] SolarWinds Corp., supra note 3, at 44, 46.

[24] Mimecast Incident Report at p.1 (“The threat actor also accessed a subset of email addresses and other contact information, as well as encrypted and/or hashed and salted credentials.”).

[25] Id.

[26] Id.

[27] Id. at p.2.

[28] Mimecast Order at paragraph 16.

[29] Note 13, supra.

[30] Mimecast Incident Report at p.1 (“[W]e found no evidence of any modifications to our source code nor do we believe there was any impact on our products.”).

[31] Item 1.05(a) of Form 8-K.

[32] Although the charges against Avaya stem from the company’s risk factor disclosure, at issue is disclosure about a cybersecurity incident and so these charges may inform how companies provide disclosure under Item 1.05.　

Avayaに対する告発は、同社のリスク要因の開示に起因するものであるが、問題となっているのはサイバーセキュリティインシデントの開示であり、これらの告発は、企業が項目1.05に基づく開示を行う方法について指針を示す可能性がある。

[33] See note 13, supra, and accompanying text.

[34] See, e.g., Disclosure of Cybersecurity Incidents Determined to be Material and Other Cybersecurity Incidents, Erik Gerding (May 21, 2024), available at https://www.sec.gov/newsroom/speeches-statements/gerding-cybersecurity-incidents-05212024.

[35] 2023 Cybersecurity Adopting Release at 51929 (“Item 1.05 is thus expected to elicit more pertinent information to aid investor decision-making. Additionally, the materiality requirement should minimize immaterial incident disclosure that might divert investor attention, which should reduce mispricing of securities.”).

[36] Check Point Order at paragraphs 13 and 15-16.

[37] Unisys Order at paragraph 19.

[38] SolarWinds Corp., supra note 3, at 35.

[39] Id. at 35-36. The court also expressed the view that cautionary language, such as risk factors, do not need to be “articulated with maximum specificity” and that doing so “may backfire.” Id. at 36. Additionally, the SolarWinds court dismissed the Commission’s charges against SolarWinds for not updating its allegedly hypothetical risk factor for incidents that had materialized. Id. at 37-39.

裁判所はまた、リスク要因などの警告文言は「最大限の具体性をもって明確化」する必要はなく、そうすることは「裏目に出る可能性がある」との見解を示した。Id. at 36. さらに、SolarWinds裁判所は、現実化したインシデントの仮説上のリスク要因を更新しなかったことに対する委員会のSolarWindsに対する告発を退けた。Id. at 37-39.

[40] Check Point Order at paragraphs 12-13 and 15-16.

[41] SolarWinds Corp., supra note 3, at 35.

[42] Id.

[43] Form 20-F filed April 2, 2021 at p.16, available at https://www.sec.gov/ix?doc=/Archives/edgar/data/1015922/000119312521104893/d112235d20f.htm.

[44] In addition to fraud and reporting violations, the Commission also finds that Unisys did not maintain disclosure controls and procedures, in violation of rule 13a-15(a) under the Securities Exchange Act of 1934. Unisys Order at paragraphs 26 and 31. While we disagree with that finding, we do not address the issue in this statement. However, we note that in discussing Unisys’s cooperation, the Commission states that “Unisys took certain steps to remediate its control deficiencies, including…augmenting its cybersecurity personnel and tools, both internally and externally, to strengthen its cybersecurity risk management and protections.” Unisys Order at paragraph 32. The Commission lacks authority to require the use of certain tools, to compel the adoption of specific risk management practices, or to dictate the personnel decisions of companies in connection with cybersecurity.

詐欺および報告違反に加え、委員会は、1934年証券取引所法第13条a-15(a)項に違反し、Unisysが情報開示の管理および手続きを維持していなかったことも認定している。Unisys Order（Unisys 命令）第26項および第31項。当社は、この見解には同意しないが、本声明ではこの問題には言及しない。しかし、Unisysの協力について論じている中で、委員会は「Unisysは、サイバーセキュリティのリスクマネジメントと防御を強化するために、社内および社外の欧州委員会には、特定のツールの使用を義務付けたり、特定のリスクマネジメント手法の採用を強制したり、サイバーセキュリティに関連する企業の人事決定を指示したりする権限はない。

[45] Unisys Order at paragraph 19.

[46] The U.S. Supreme Court is considering this issue in a pending case. See Facebook v. Amalgamated Bank, No. 23-980.

[47] See Modernization of Regulation S-K Items 101, 103, and 105, Release No. 34-89670 (Aug. 26, 2020) [85 FR 63726 (Oct. 8, 2020)] at section D, available at https://www.federalregister.gov/documents/2020/10/08/2020-19182/modernization-of-regulation-s-k-items-101-103-and-105.

[48] Unisys Order at paragraph 18.

[49] Id.

[50] Id.

[51] Id.

SECがSolarwindsに起こした訴訟...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.08 米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)

（裁判の結果についての報道...）

● GreenberugTraurig

・2024.07.26 SEC v. SolarWinds Update: U.S. Federal District Court Dismisses Most of the SEC’s Case, but Some Fraud Claims and CISO Liability Remain

● JUSPRA

・2024.07.24 SEC v. SolarWinds: Court Dismisses the Majority of the SEC’s Securities Fraud Claims

行政命令

↓↓↓

4社に対する行政手続き

・[PDF] In the Matter of Avaya Holdings Corp., Respondent.

UNITED STATES OF AMERICA	米国
Before the SECURITIES AND EXCHANGE COMMISSION	証券取引委員会
SECURITIES ACT OF 1933	1933年証券取引法
Release No. 11320 / October 22, 2024	リリース番号11320 / 2024年10月22日
SECURITIES EXCHANGE ACT OF 1934	1934年証券取引所法
Release No. 101398 / October 22, 2024	リリース番号101398 / 2024年10月22日
ADMINISTRATIVE PROCEEDING	行政手続
File No. 3-22269	事案番号 3-22269
In the Matter of Avaya Holdings Corp., Respondent.	Avaya・ホールディングス・コーポレーション（被申立人）に関する事案
ORDER INSTITUTING CEASE-AND- DESIST PROCEEDINGS, PURSUANT TO SECTION 8A OF THE SECURITIES ACT OF 1933 AND SECTION 21C OF THE SECURITIES EXCHANGE ACT OF 1934, MAKING FINDINGS, AND IMPOSING A CEASE-AND-DESIST ORDER	1933年証券取引法第8A条および1934年証券取引所法第21C条に従い、停止および差し止め手続きを命じ、所見を述べ、停止および差し止め命令を課す命令
I.	I.
The Securities and Exchange Commission (“Commission”) deems it appropriate that ceaseand-desist proceedings be, and hereby are, instituted pursuant to Section 8A of the Securities Act of 1933 (“Securities Act”) and Section 21C of the Securities Exchange Act of 1934 (“Exchange Act”) against Avaya Holdings Corp. (“Avaya” or “Respondent”).	証券取引委員会（以下「委員会」）は、1933年証券取引所法（以下「証券取引所法」）第8A条および1934年証券取引所法（以下「証券取引所法」）第21C条に基づき、Avaya Holdings Corp.（以下「Avaya」または「被申立人」）に対する停止命令手続きを開始することが適切であると判断し、ここに手続きを開始する。
II.	II.
In anticipation of the institution of these proceedings, Respondent has submitted an Offer of Settlement (the “Offer”) which the Commission has determined to accept. Solely for the purpose of these proceedings and any other proceedings brought by or on behalf of the Commission, or to which the Commission is a party, and without admitting or denying the findings herein, except as to the Commission’s jurisdiction over it and the subject matter of these proceedings, which are admitted, Respondent consents to the entry of this Order Instituting Ceaseand-Desist Proceedings Pursuant to Section 8A of the Securities Act of 1933 and Section 21C of the Securities Exchange Act of 1934, Making Findings, and Imposing a Cease-And-Desist Order (“Order”), as set forth below.	本訴訟の提起に先立ち、被申立人は和解案（以下「和解案」）を提出し、委員会はこれを受理することを決定した。本訴訟および委員会が提起した、または委員会を代表して提起されたその他の訴訟、または委員会が当事者となっている訴訟の目的のみに限定し、本訴訟における調査結果を認めることも否定することもなく、ただし、委員会の管轄権および本訴訟の対象事項についてはこれを認めることを条件として、被申立人は 1933年証券取引法第8A条および1934年証券取引法第21C条に基づき、以下のとおり、調査結果の認定および停止命令の実施（以下「本命令」）を認める。
III.	III.
On the basis of this Order and Respondent’s Offer, the Commission finds[1] that:	本命令および被申立人の申し出に基づき、委員会は以下の事実を認定する[1]。
Summary	概要
1. This matter concerns materially misleading statements that Avaya, a global provider of digital communications products and services, negligently made to investors regarding a significant cybersecurity incident that Avaya had experienced. In December 2020, Avaya identified that two servers segmented from Avaya’s corporate network had installations of SolarWinds’ Orion software, which a likely nation-state threat actor[2] infected with malicious code. The SolarWinds Orion software containing this malicious code allowed for unauthorized activity on affected servers and their networks. This same threat actor separately had compromised Avaya’s cloud e-mail and sharing environment as early as January 2020 with activity through at least December 2020. During that timeframe, the threat actor had accessed 145 shared files, some of which contained sensitive company information, and had accessed and monitored a mailbox for one of Avaya’s cybersecurity incident response personnel.	1. 本件は、デジタルコミュニケーション製品およびサービスの世界的プロバイダであるAvayaが、同社が経験した重大なサイバーセキュリティインシデントに関して投資家に対して不注意にも行った重大な誤解を招くような発言に関するものである。2020年12月、Avayaは、Avayaの企業ネットワークから分離された2台のサーバーにSolarWindsのOrionソフトウェアがインストールされていることを識別した。このソフトウェアは、おそらく国家による脅威行為者[2]がマルウェアに感染させたものである。この悪意のあるコードを含む SolarWinds Orion ソフトウェアにより、影響を受けたサーバーとそのネットワーク上で不正な活動が可能となった。この同じ脅威行為者は、2020年1月にはすでに Avaya のクラウド電子メールおよび共有環境を侵害しており、少なくとも 2020年12月まで活動していた。その期間中、脅威行為者は145の共有ファイルにアクセスし、その中には機密企業情報が含まれていた。また、Avayaのサイバーセキュリティインシデント対応担当者のメールボックスにアクセスし、監視していた。
2. On February 9, 2021, Avaya filed a report on Form 10-Q with the Commission, which stated that it was investigating suspicious activity that it “believed resulted in unauthorized access to our email system” with evidence of access to “a limited number of … email messages.” Avaya was negligent in issuing this materially misleading statement. It minimized the compromise and omitted material facts known to Avaya personnel regarding the scope and potential impact of the incident.	2. 2021年2月9日、Avayaは委員会にフォーム10-Qの報告書を提出し、その報告書には「当社の電子メールシステムへの不正アクセスにつながったと信じる」疑わしい活動を調査していると記載されていた。また、「限られた数の…電子メールメッセージ」へのアクセスを裏付ける証拠もあった。Avayaは、この重大な誤解を招く可能性のある声明を発表したことで過失を犯した。Avayaは、インシデントの範囲と潜在的な影響について、Avayaの従業員が知っていた重要な事実を最小限に抑え、省略した。
3. Based on the foregoing conduct, and the conduct described herein below, Avaya violated Sections 17(a)(2) and 17(a)(3) of the Securities Act and Section 13(a) of the Exchange Act and Rules 12b-20 and 13a-13 thereunder.	3. 以上の行為および以下に述べる行為に基づき、Avayaは証券取引法第17条(a)(2)および(3)項、および証券取引法第13条(a)項、および同法に基づく規則12b-20および13a-13に違反した。
Respondent	被申立人
4. Avaya is a Delaware corporation with headquarters in Morristown, New Jersey. From January 2018 to February 2023, its stock traded on the New York Stock Exchange under the ticker symbol AVYA, and its common stock was registered under Section 12(b) of the Exchange Act. In February 2023, Avaya terminated its registration under the Exchange Act following commencement of a bankruptcy proceeding and acquisition of its common stock by privately-held companies. Between 2018 and 2023, Avaya was required to file with the Commission, among other things, annual reports on Forms 10-K and periodic reports on Forms 10-Q pursuant to Section 13(a) of the Exchange Act and related rules thereunder.	4. Avayaはニュージャージー州モリスタウンに本社を置くデラウェア州法人である。2018年1月から2023年2月まで、同社の株式はティッカーシンボル「AVYA」でニューヨーク証券取引所に上場されており、同社の普通株式は証券取引法第12(b)条に基づき登録されていた。2023年2月、破産手続きの開始と非公開企業による普通株式の取得に伴い、Avayaは証券取引法に基づく登録を終了した。2018年から2023年の間、Avayaは証券取引法第13条(a)および関連規則に従い、委員会に様式10-Kによる年次報告書および様式10-Qによる定期報告書を提出することが義務付けられていた。
Facts	事実
5. At all relevant times, Avaya was a provider of digital communication products, software, and services for businesses, including large multi-national enterprises, and governments in the United States and abroad. Its products and services facilitated its customers’ communications and collaboration among their own employees, including technical and professional support, as well as communications with their own customers. As a result, Avaya’s information technology networks and resources regularly stored and transmitted its customers’ data and information, in addition to Avaya’s own data.	5. 関連するすべての期間において、Avayaは、米国および海外の大規模な多国籍企業を含む企業および政府向けのデジタル通信製品、ソフトウェア、およびサービスのプロバイダであった。同社の製品およびサービスは、顧客の従業員間のコミュニケーションおよびコラボレーションを促進し、技術サポートや専門サポート、顧客とのコミュニケーションも可能にした。その結果、Avayaの情報技術ネットワークおよびリソースは、Avaya自身のデータに加えて、顧客のデータおよび情報を定期的に保存および送信していた。
6. On December 15, 2020, Avaya identified one server in a separate cloud environment for certain customers and one server in a segregated Avaya development lab network with installations of SolarWinds Orion software, which a persistent threat actor infected with a malicious code that would allow the threat actor to engage in unauthorized activity on the affected servers and on the network in which the servers operated. Both of these installations were segmented from Avaya’s corporate network. Avaya’s December 2020 investigation identified evidence that the infected software made initial connections to a server controlled by the threat actor, but did not identify evidence of any further activity.	6. 2020年12月15日、Avayaは、特定の顧客向けの別のクラウド環境にある1台のサーバーと、隔離されたAvaya開発ラボネットワークにある1台のサーバーにSolarWinds Orionソフトウェアがインストールされていることを識別した。このソフトウェアには、影響を受けるサーバーおよびサーバーが稼働するネットワーク上で、脅威行為者が不正な活動を行うことを可能にする悪意のあるコードが感染した持続的な脅威行為者がいた。これらのインストールは両方とも、Avayaの企業ネットワークから分離されていた。2020年12月のAvayaの調査では、感染したソフトウェアが脅威行為者によって制御されているサーバーに初期接続した証拠を特定したが、それ以上の活動の証拠は識別できなかった。
7. Throughout December 2020, Avaya learned that the threat actor behind the compromise of the SolarWinds Orion software was a hacking group likely associated with a nation-state. Public reports and commercial cybersecurity intelligence sources widely attributed the activity to the Russian Federation in late December 2020. On January 5, 2021, a joint public statement by the Federal Bureau of Investigations, the Office of the Director of National Intelligence, the National Security Agency, and the Cybersecurity and Infrastructure Security Agency attributed the attack to an intelligence gathering operation “likely Russian in origin.”	7. 2020年12月を通して、Avayaは、SolarWinds Orionソフトウェアの侵害の背後にいる脅威行為者が、国家と関連している可能性が高いハッキンググループであることを知った。2020年12月下旬には、公開報告書や商業サイバーセキュリティ情報源が、その活動を広くロシア連邦に帰属させた。2021年1月5日、連邦捜査局、国家情報長官室、国家安全保障局、サイバーセキュリティ・インフラセキュリティ庁による共同声明では、この攻撃は「おそらくロシアが起源」の情報収集活動によるものとされた。
8. Also in December 2020, Avaya received notification from a third-party service provider that likely the same threat actor had compromised Avaya’s cloud email and file sharing environment using means other than SolarWinds software. Avaya commenced an investigation with the assistance of a third-party forensics services provider in December 2020, and realized that the initial unauthorized activity occurred as early as January 2020 and last known activity occurred in December 2020. Specifically, during its December 2020 investigation, Avaya learned that, in January 2020, the threat actor accessed 145 shared files. Avaya could recover and review 44 of the files. Some of these 44 files contained confidential and/or proprietary information, including thirdparty application passwords, internal security procedures and information, instructions regarding remote access, and product configuration information for at least one customer. Avaya reviewed the file names and locations of the remaining 101 files, but was unable to recover them or review their content to determine whether the files contained sensitive information. For one of the 44 files, Avaya determined a customer notification was appropriate and, in May 2021, notified the customer associated with the file.	8. また、2020年12月、Avayaは、サードパーティのサービスプロバイダから、おそらく同じ脅威行為者がSolarWindsソフトウェア以外の手段を使用してAvayaのクラウドメールおよびファイル共有環境を侵害したという通知を受けた。Avayaは2020年12月にサードパーティのフォレンジックサービスプロバイダの支援を受けて調査を開始し、最初の不正な活動は早くも2020年1月に発生しており、最後に確認された活動は2020年12月に発生していたことを認識した。具体的には、2020年12月の調査中に、Avayaは2020年1月に脅威行為者が145の共有ファイルにアクセスしていたことを知った。Avayaは、そのうち44のファイルを復元し、確認することができた。これらの44のファイルの一部には、サードパーティのアプリケーションパスワード、社内セキュリティ手順および情報、リモートアクセスに関する指示、少なくとも1人の顧客の製品構成情報など、機密情報および/または専有情報が含まれていた。Avayaは、残りの101のファイルのファイル名と場所を確認したが、それらのファイルを復元したり、ファイルに機密情報が含まれているかどうかを判断するためにその内容を調査することはできなかった。44のファイルのうち1つについて、Avayaは顧客への通知が適切であると判断し、2021年5月に、そのファイルに関連する顧客に通知した。
9. By January 2021, Avaya’s investigation also discovered that in November and December 2020, the threat actor accessed and monitored a mailbox for one of its cybersecurity incident response personnel. The threat actor was publicly reported to monitor the email traffic of its victims’ cybersecurity personnel after compromising an environment, with the apparent goal of monitoring detection and remediation efforts and adjusting evasion techniques to minimize the likelihood of detection of its activity. Other than the access to the shared files and this mailbox, Avaya’s investigation did not identify any evidence of additional unauthorized activity taking place between January and November 2020.	9. 2021年1月までに、Avayaの調査により、2020年11月と12月に、脅威行為者が同社のサイバーセキュリティインシデント対応担当者の1人のメールボックスにアクセスし、監視していたことも判明した。脅威行為者は、環境を侵害した後、被害者のサイバーセキュリティ担当者の電子メールトラフィックを監視していることが公に報告されており、その明白な目的は、検知および修復の取り組みを監視し、その活動の検知の可能性を最小限に抑えるために回避技術を調整することである。共有ファイルおよびこのメールボックスへのアクセス以外に、2020年1月から11月の間に発生した追加の不正な活動の証拠は、Avayaの調査では識別されなかった。
10. On February 9, 2021, Avaya filed its quarterly report on Form 10-Q with the Commission. In the report, Avaya stated that, in the course of its investigation, “which [was] nearing completion,” it identified “evidence of access to a limited number of Company email messages” and “no current evidence of unauthorized access to our other internal systems.” The filing also stated “we do not believe that this incident has had or will have a material adverse impact on our business or operations.” Avaya was negligent in making these materially misleading statements. Avaya was a global digital communications services and software provider to large enterprises and governments, and its data were of great interest to state-sponsored cyber threat actors, such as the threat actor likely at issue here. As a result, due to Avaya’s business, its ability to protect information and data stored on and transmitted over its systems was critically important to its reputation and ability to attract and retain customers. Yet, the February 2021 disclosures omitted material information known to Avaya at the time of the filing, including the likely attribution of the activity to a nation-state threat actor, the long-term unmonitored presence of the threat actor in Avaya’s systems, the access to at least 145 shared files some of which contained confidential and/or proprietary information, and the fact that the mailbox the threat actor accessed belonged to one of Avaya’s cybersecurity personnel. Avaya was also negligent in including in the February 2021 disclosure a statement that there was “no current evidence” of access to “our other internal systems,” which was misleading for omitting the fact that Avaya was aware of the threat actor’s access to at least 145 shared files in the cloud file sharing environment. Although the cloud file sharing environment was not technically “internal” to Avaya because it was operated by Avaya’s vendor, Avaya used that environment to store its documents and information in the ordinary course of business.	10. 2021年2月9日、Avayaは委員会にフォーム10-Qによる四半期報告書を提出した。報告書において、Avayaは「完了間近」であった調査の過程で、「当社の限られた数の電子メールメッセージへのアクセスの証拠」を識別し、「当社の他の内部システムへの不正アクセスの現在の証拠はない」と述べた。また、この書類には「このインシデントが当社の事業や業務に重大な悪影響を及ぼした、または及ぼすとは考えていない」とも記載されていた。Avayaは、このような重大な誤解を招くような声明を発表したことについて、過失があった。Avayaは、大企業や政府向けのグローバルなデジタルコミュニケーションサービスおよびソフトウェアプロバイダであり、そのデータは、今回問題となっている脅威行為者である可能性が高い国家支援のサイバー脅威行為者にとって、非常に興味深いものであった。そのため、Avayaの事業においては、そのシステムに保存され、そのシステムを通じて送信される情報およびデータを防御する能力は、同社の評判および顧客を引き付け、維持する能力にとって極めて重要であった。しかし、2021年2月の開示では、国家による脅威行為者による行為の可能性、脅威行為者がAvayaのシステムに長期にわたって監視されずに存在していたこと少なくとも145の共有ファイルへのアクセス（その一部には機密情報および/または専有情報が含まれていた）、および脅威行為者がアクセスしたメールボックスがAvayaのサイバーセキュリティ担当者の1人のものだったという事実など、提出時点でAvayaが把握していた重要な情報を省略した。また、Avayaは、2021年2月の開示に「当社の他の内部システム」へのアクセスに関する「現在の証拠はない」という文言を含めたことについても過失があった。これは、Avayaがクラウドファイル共有環境における少なくとも145の共有ファイルへの脅威行為者のアクセスを認識していたという事実を省略しているため、誤解を招くものである。クラウドファイル共有環境は、Avayaのベンダーによって運営されていたため、技術的にはAvayaの「内部」ではなかったが、Avayaは通常の業務過程でその環境を使用して文書や情報を保存していた。
11. Throughout the periods discussed above, including following the filing of the February 9, 2021 Form 10-Q, Avaya offered and sold securities to its employees.	11. 2021年2月9日付フォーム10-Qの提出後を含む、上記で言及した期間中、Avayaは従業員に対して有価証券の提供および販売を行っていた。
12. Avaya never publicly made any statements or disclosure that corrected the negligently-made material misstatements and omissions described above. During the staff’s investigation, on May 10, 2022, Avaya filed a quarterly report on Form 10-Q with the Commission, stating that “[i]n come [sic] cases the attacks have been sponsored by state actors with significant financial and technological means.” However, this limited additional information did not correct the earlier misstatements regarding the scope of the 2020 compromise involving its cloud email and file sharing environment.	12. Avayaは、上述の重大な過失による虚偽記載および記載漏れを訂正するいかなる声明または開示も公表しなかった。スタッフの調査中、2022年5月10日、Avayaは「攻撃は、場合によっては、相当な資金力と技術力を備えた国家機関によって支援されている」と述べたフォーム10-Qによる四半期報告書を委員会に提出した。しかし、この限定的な追加情報は、クラウドメールおよびファイル共有環境を含む2020年の侵害の範囲に関する以前の虚偽の陳述を訂正するものではなかった。
Violations	違反
13. As a result of the conduct described above, Avaya violated Section 17(a)(2) of the Securities Act, which proscribes, in the offer or sale of a security, obtaining “money or property by means of any untrue statement of a material fact or any omission to state a material fact necessary in order to make the statements made, in light of the circumstances under which they were made, not misleading.”	13. 上記の行為の結果、Avayaは証券法第17条(a)(2)に違反した。同条項は、証券の提供または販売において、「状況を考慮した上で、提供された情報が誤解を招かないようにするために、重要な事実について虚偽の陳述を行うこと、または重要な事実の陳述を省略すること」により、「金銭または財産を得る」ことを禁じている。
14. As a result of the conduct described above, Avaya violated Section 17(a)(3) of theSecurities Act, which makes it unlawful for any person in the offer or sale of a security to engage “in any transaction, practice, or course of business which operates or would operate as a fraud or deceit upon the purchaser.”[3]	14. 上記の行為の結果、Avayaは証券取引法第17条(a)(3)に違反した。同法は、証券の提供または販売において、「購入者に対する詐欺または欺瞞として機能する、または機能する可能性のある取引、慣行、または事業活動に従事する」ことを違法としている。[3]
15. As a result of the conduct described above, Avaya violated Section 13(a) of the Exchange Act and Rule 13a-13 thereunder, which require issuers of a security registered pursuant to Section 12 of the Exchange Act to file with the Commission quarterly reports in conformity with the Commission’s rules and regulations. Avaya also violated Rule 12b-20 of the Exchange Act, which, among other things, requires such issuers to include in quarterly reports filed with the Commission any material information necessary to make the required statements in the filing not misleading.	15. 上記の行為の結果、Avayaは証券取引法第13条(a)および同法第13条a-13項に違反した。これらの規定は、証券取引法第12条に従って登録された証券の発行者に対し、証券取引委員会の規則および規定に準拠した四半期報告書を委員会に提出することを義務付けている。また、Avayaは証券取引法の規則12b-20にも違反した。同規則は、証券発行者に対し、委員会に提出する四半期報告書に、虚偽記載とならないよう必要な記載を行うために必要なあらゆる重要な情報を記載することを求めている。
Avaya’s Cooperation	Avayaの協力
16. In determining to accept the Offer, the Commission considered Avaya’s voluntary cooperation afforded the Commission staff, including providing the staff with analysis and other information that aided the efficiency of the staff’s investigation. In addition, Avaya conducted an internal investigation, shared its findings with the staff on its own initiative, and took certain steps to enhance its cybersecurity controls.	16. 委員会は、本公開買付けの受け入れを決定するにあたり、委員会スタッフに分析やその他の情報を提供し、スタッフの調査の効率化に貢献したAvayaの自主的な協力を考慮した。さらに、Avayaは社内調査を実施し、自主的に調査結果を委員会スタッフと共有し、サイバーセキュリティ対策を強化するための措置を講じた。
IV.	IV.
In view of the foregoing, the Commission deems it appropriate and in the public interest to impose the sanctions agreed to in Respondent’s Offer.	以上のことから、委員会は、被申立人の申し出で合意された制裁を課すことが適切であり、公共の利益にかなうと判断する。
Accordingly, it is hereby ORDERED that:	したがって、ここに命令する。
A. Pursuant to Section 8A of the Securities Act and Section 21C of the Exchange Act,	A. 証券取引法第8A条および取引所法第21C条に従い、
Respondent cease and desist from committing or causing any violations and any future violations of Sections 17(a)(2) and 17(a)(3) of the Securities Act, Section 13(a) of the Exchange Act, and Rules 12b-20 and 13a-13 thereunder.	被申立人は、証券取引法第17条(a)(2)および(3)、取引所法第13条(a)、およびそれらに基づく規則12b-20および13a-13の違反行為および将来の違反行為を中止すること。
B. Respondent shall, within 10 days of the entry of this Order, pay a civil money penalty in the amount of $1,000,000 to the Securities and Exchange Commission for transfer to the general fund of the United States Treasury, subject to Exchange Act Section 21F(g)(3). If timely payment is not made, additional interest shall accrue pursuant to 31 U.S.C. §3717. Payment must be made in one of the following ways:	B. 被申立人は、本命令の執行から10日以内に、証券取引法第21F条(g)(3)に従い、米国財務省一般資金への送金として、100万ドルの民事制裁金を証券取引委員会に支払うものとする。期限内の支払いがなされない場合、31 U.S.C. §3717に従い、追加の利息が発生する。支払いは以下のいずれかの方法で行う必要がある。
(1) Respondent may transmit payment electronically to the Commission, which will provide detailed ACH transfer/Fedwire instructions upon request;	(1) 被申立人は、委員会に電子的に支払うことができる。委員会は、要請に応じて、ACH 振替/Fedwire の詳細な指示を提供する。
(2) Respondent may make direct payment from a bank account via Pay.gov through the SEC website at [web] ; or	(2) 被申立人は、SEC のウェブサイトの[web] を通じて、銀行口座から直接支払うことができる。または
(3) Respondent may pay by certified check, bank cashier’s check, or United States postal money order, made payable to the Securities and Exchange Commission and hand-delivered or mailed to:	(3) 被申立人は、証券取引委員会宛てに作成された保証小切手、銀行小切手、または米国郵便為替により支払い、以下の住所に手渡しまたは郵送することができる。
Enterprise Services Center	エンタープライズサービスセンター
Accounts Receivable Branch	売掛金部門
HQ Bldg., Room 181, AMZ-341	HQビル、ルーム181、AMZ-341
6500 South MacArthur Boulevard	6500サウスマッカーサー大通り
Oklahoma City, OK 73169	オクラホマシティ、オクラホマ州73169
Payments by check or money order must be accompanied by a cover letter identifying Avaya Holdings Corp. as a Respondent in these proceedings, and the file number of these proceedings; a copy of the cover letter and check or money order must be sent to Jorge Tenreiro, Crypto Assets and Cyber Unit, Deputy Chief, Division of Enforcement, Securities and Exchange Commission, Pearl Street, Suite 20-100, New York, NY 10004-2616.	小切手または郵便為替による支払いは、Avaya Holdings Corp.を本訴訟の被申立人として識別し、本訴訟の訴訟番号を記載したカバーレターを添付しなければならない。カバーレターおよび小切手または郵便為替のコピーは、Jorge 証券取引委員会執行部副部長、暗号資産およびサイバーユニット、Jorge Tenreiro 宛てに送付すること。
C. Amounts ordered to be paid as civil money penalties pursuant to this Order shall be treated as penalties paid to the government for all purposes, including all tax purposes. To preserve the deterrent effect of the civil penalty, Respondent agrees that in any Related Investor Action, it shall not argue that it is entitled to, nor shall it benefit by, offset or reduction of any award of compensatory damages by the amount of any part of Respondent’s payment of a civil penalty in this action (“Penalty Offset”). If the court in any Related Investor Action grants such a Penalty Offset, Respondent agrees that it shall, within 30 days after entry of a final order granting the Penalty Offset, notify the Commission's counsel in this action and pay the amount of the Penalty Offset to the Securities and Exchange Commission. Such a payment shall not be deemed an additional civil penalty and shall not be deemed to change the amount of the civil penalty imposed in this proceeding. For purposes of this paragraph, a “Related Investor Action” means a private damages action brought against Respondent by or on behalf of one or more investors based on substantially the same facts as alleged in the Order instituted by the Commission in this proceeding.	C. 本命令に従い民事制裁金として支払いが命じられた金額は、すべての課税目的を含むあらゆる目的において、政府に支払われた罰金として扱われるものとする。民事制裁金の抑止効果を維持するために、被申立人は、関連する投資家訴訟において、本訴訟における民事制裁金の支払い額の一部を補償的損害賠償の裁定額から相殺または減額する権利があると主張せず、また、その利益を得ないことに同意する。関連投資家訴訟の裁判所がペナルティ相殺を認めた場合、被申立人は、ペナルティ相殺を認める最終命令が下されてから30日以内に、本訴訟における委員会の弁護士に通知し、ペナルティ相殺の金額を証券取引委員会に支払うことに同意する。このような支払いは追加の民事制裁金とはみなされず、また本手続きで課された民事制裁金の額を変更するものとみなされない。本項の目的上、「関連する投資家訴訟」とは、本手続きで委員会が発令した命令で申し立てられた事実と実質的に同一の事実に基づき、1人以上の投資家または投資家を代表する者によって被申立人に対して提起された私的損害賠償訴訟を意味する。
D. Respondent acknowledges that the Commission is not imposing a civil penalty in excess of $1,000,000 based upon its cooperation in a Commission investigation. If at any time following the entry of the Order, the Division of Enforcement (“Division”) obtains information indicating that Respondent knowingly provided materially false or misleading information or materials to the Commission, or in a related proceeding, the Division may, at its sole discretion and with prior notice to the Respondent, petition the Commission to reopen this matter and seek an order directing that the Respondent pay an additional civil penalty, Respondent may contest by way of defense in any resulting administrative proceeding whether it knowingly provided materially false or misleading information, but may not: (1) contest the findings in the Order; or (2) assert any defense to liability or remedy, including, but not limited to, any statute of limitations defense.	D. 被申立人は、委員会の調査への協力に基づき、委員会が 100 万ドルを超える民事罰を課すことはないことを認めます。命令の発令後いつでも、執行部 (「部」) が、被申立人が委員会または関連手続きに重大な虚偽または誤解を招く情報または資料を故意に提供したことを示す情報を入手した場合、部は独自の裁量で、被申立人に事前に通知した上で、委員会にこの件を再開するよう請願し、被申立人が追加の民事罰を支払うよう命じる命令を求めることができます。被申立人は、重大な虚偽または誤解を招く情報を故意に提供したかどうかについて、結果として生じる行政手続きで抗弁として争うことができますが、次の行為を行うことはできません。(1) 命令の認定に異議を唱える。(2) 時効抗弁を含むがこれに限定されない、責任または救済に対する抗弁を主張する。
By the Commission.	委員会による。
Vanessa A. Countryman	ヴァネッサ・A・カントリーマン
Secretary	事務局長

[1] The findings herein are made pursuant to Respondent’s Offer and are not binding on any other person or entity in this or any other proceeding.	[1] 本調査結果は、被申立人の申し出に従って作成されたものであり、本件またはその他の訴訟手続きにおいて、他の個人または事業体を拘束するものではない。
[2] The term “threat actor” refers to an individual, group, organization, or government that conducts or has the intent to conduct unauthorized activities against the networks and data of or used by others.	[2] 「脅威行為者」とは、他者のネットワークやデータに対して、または他者が使用するネットワークやデータに対して、不正な行為を行う、または行う意図を持つ個人、グループ、組織、政府を指す。
[3] Negligence is sufficient to establish violations of Sections 17(a)(2) and 17(a)(3). Aaron v. SEC, 446 U.S. 680, 697 (1980).	[3] 過失は、第17条(a)(2)および第17条(a)(3)の違反を立証するのに十分である。Aaron v. SEC, 446 U.S. 680, 697 (1980).

・[PDF] In the Matter of Check Point Software Technologies Ltd., Respondent.

UNITED STATES OF AMERICA	米国
Before the SECURITIES AND EXCHANGE COMMISSION	証券取引委員会
SECURITIES ACT OF 1933	1933年証券取引法
Release No. 11321 / October 22, 2024	リリース番号 11321 / 2024年10月22日
SECURITIES EXCHANGE ACT OF 1934	1934年証券取引所法
Release No. 101399 / October 22, 2024	リリース番号 101399 / 2024年10月22日
ADMINISTRATIVE PROCEEDING	行政手続き
File No. 3-22270	ファイル番号 3-22270
In the Matter of Check Point Software Technologies Ltd., Respondent.	チェック・ポイント・ソフトウェア・テクノロジーズ社（被対応人）に対する事案
ORDER INSTITUTING CEASE-ANDDESIST PROCEEDINGS, PURSUANT TO SECTION 8A OF THE SECURITIES ACT OF 1933 AND SECTION 21C OF THE SECURITIES EXCHANGE ACT OF 1934, MAKING FINDINGS, AND IMPOSING A CEASE-AND-DESIST ORDER	1933年証券取引法第8A条および1934年証券取引所法第21C条に基づく停止手続きの開始、事実認定、および停止命令の実施に関する命令
I.	I.
The Securities and Exchange Commission (“Commission”) deems it appropriate that ceaseand-desist proceedings be, and hereby are, instituted pursuant to Section 8A of the Securities Act of 1933 (“Securities Act”) and Section 21C of the Securities Exchange Act of 1934 (“Exchange Act”) against Check Point Software Technologies Ltd. (“Check Point” or “Respondent”).	証券取引委員会（以下「委員会」）は、1933年証券取引法（以下「証券取引法」）第8A条および1934年証券取引所法（以下「取引所法」）第21C条に基づき、チェック・ポイント・ソフトウェア・テクノロジーズ社（以下「チェック・ポイント」または「被申立人」）に対する業務停止命令手続きを開始することが適切であると判断し、ここに手続きを開始する。
II.	II.
In anticipation of the institution of these proceedings, Respondent has submitted an Offer of Settlement (the “Offer”) which the Commission has determined to accept. Solely for the purpose of these proceedings and any other proceedings brought by or on behalf of the Commission, or to which the Commission is a party, and without admitting or denying the findings herein, except as to the Commission’s jurisdiction over it and the subject matter of these proceedings, which are admitted, Respondent consents to the entry of this Order Instituting Ceaseand-Desist Proceedings Pursuant to Section 8A of the Securities Act of 1933 and Section 21C of the Securities Exchange Act of 1934, Making Findings, and Imposing a Cease-And-Desist Order (“Order”), as set forth below.	本訴訟の提起に先立ち、被申立人は和解案（以下「和解案」）を提出し、委員会はこれを受理することを決定した。本訴訟および委員会が提起した、または委員会を代表して提起されたその他の訴訟、または委員会が当事者となっている訴訟の目的のみに限定し、本訴訟における調査結果を認めることも否定することもなく、ただし、委員会の管轄権および本訴訟の対象事項についてはこれを認めることを条件として、被申立人は 1933年証券取引法第8A条および1934年証券取引法第21C条に基づき、以下のとおり、調査結果の認定および業務停止命令の発令（以下「本命令」）を認める。
III.	III.
On the basis of this Order and Respondent’s Offer, the Commission finds[1] that:	本命令および被申立人の申し出に基づき、委員会は以下の事実を認定する[1]。
Summary	概要
1. This matter concerns materially misleading statements that Check Point, a provider of products and services for information technology (“IT”) security, negligently made to investors about Check Point’s cybersecurity risks. In December 2020, Check Point identified two servers on its network that had versions of SolarWinds Orion software, which had been infected with malicious code by a persistent and reportedly nation-state-supported threat actor[2] that allowed for unauthorized activity on affected computers and their networks (“SolarWinds Compromise”). Shortly thereafter, a third-party vendor also notified Check Point of potential unauthorized activity in the Check Point environment. After an internal investigation, which commenced shortly after the discovery of the unauthorized activity, Check Point determined that the malicious activity in the Check Point environment related to the SolarWinds Compromise occurred at specific points during a four-month period from July through October 2020, and that this activity included communications with the threat actor’s command-and-control server and execution of unauthorized software, including data compression software often used before data exfiltration.[3] Through the internal investigation, Check Point further determined that two Check Point corporate accounts had been compromised. The investigation also revealed instances of the threat actors attempting to move laterally in the Check Point environment.	1. 本件は、情報技術（IT）セキュリティの製品およびサービスプロバイダであるチェック・ポイントが、チェック・ポイントのサイバーセキュリティリスクについて投資家に対して重大な誤解を招くような説明を怠ったことに関するものである。2020年12月、チェック・ポイントは、同社のネットワーク上の2台のサーバーがSolarWinds Orionソフトウェアのバージョンを搭載しており、そのソフトウェアが悪意のあるコードに感染していたことを特定した。この悪意のあるコードは、持続的で国家支援を受けているとされる脅威行為者によって感染したもので^[2]、感染したコンピュータとそのネットワーク上で不正な活動が可能になる（「SolarWinds Compromise」）。その後まもなく、サードパーティのベンダーも、チェック・ポイントの環境で不正な活動が行われた可能性があることをチェック・ポイントに通知した。不正な活動が発見された直後に開始された社内調査の結果、チェック・ポイントは、チェック・ポイントの環境で発生したSolarWinds Compromiseに関連する悪意のある活動は、2020年7月から10月までの4か月間の特定の期間に発生したこと、この活動には、脅威行為者のコマンド・アンド・コントロール・サーバーとのコミュニケーションと、データ抽出の前に使用されることが多いデータ圧縮ソフトウェアを含む不正なソフトウェアの実行が含まれていた。^[3] 社内調査により、チェック・ポイントはさらに、2つのチェック・ポイント企業アカウントが侵害されていたことを確認した。また、調査により、脅威行為者がチェック・ポイント環境内で水平移動を試みていた事例も明らかになった。
2. On April 2, 2021 and April 14, 2022, Check Point filed reports on Forms 20-F with the Commission, which included materially misleading statements regarding Check Point’s cybersecurity risks. Specifically in these public filings, Check Point included cybersecurity risk factor disclosures that were virtually unchanged from the same disclosures in prior Check Point public filings, even though Check Point had since identified, through its investigation, the foregoing, long-term cybersecurity compromise. In these disclosures, Check Point had described and continued to describe the existence of intrusions in generic terms only and omitted new and material cybersecurity risks arising out of the SolarWinds Compromise. Check Point failed to tailor them to Check Point’s particular risks and incidents.	2. 2021年4月2日および2022年4月14日、チェック・ポイントは委員会にフォーム20-Fによる報告書を提出したが、その報告書にはチェック・ポイントのサイバーセキュリティリスクに関する重大な誤解を招く記述が含まれていた。具体的には、これらの公開文書において、チェック・ポイントは、同社が調査により識別していたにもかかわらず、サイバーセキュリティリスク要因の開示を、過去のチェック・ポイントの公開文書における同様の開示と実質的に変わらない内容で記載していた。これらの開示において、チェック・ポイントは、侵入の存在を一般的な用語のみで説明しており、SolarWindsの侵害から生じる新たな重大なサイバーセキュリティリスクを省略していた。チェック・ポイントは、それらを同社の特定のリスクおよびインシデントに適合させることができなかった。
3. Based on the foregoing conduct, and the conduct described below, Check Point violated Sections 17(a)(2) and 17(a)(3) of the Securities Act and Section 13(a) of the Exchange Act and Rules 12b-20 and 13a-1 thereunder.	3. 以上の行為および以下に述べる行為に基づき、チェック・ポイントは証券取引法第17条(a)(2)および(3)項ならびに取引所法第13条(a)項およびそれらに基づく規則12b-20および13a-1に違反した。
Respondent	被申立人
4. Check Point is an Israeli corporation with headquarters in Tel Aviv, Israel. During the relevant period, its stock has traded on NASDAQ under the ticker symbol CHKP, and its common stock was registered under Section 12(b) of the Exchange Act. Check Point is required to file with the Commission annual reports on Form 20-F pursuant to Section 13 of the Exchange Act and Rule 13a-1 thereunder.	4. チェック・ポイント社はイスラエルのテルアビブに本社を置くイスラエル企業である。関連期間中、同社の株式はティッカーシンボルCHKPでNASDAQで取引され、普通株式は証券取引法第12(b)条に基づき登録されていた。チェック・ポイント社は証券取引法第13条および同法第13a-1条に基づき、委員会に年次報告書フォーム20-Fを提出することが義務付けられている。
Facts	事実
5. At all relevant times, Check Point developed, marketed, and supported a wide range of products and services for IT security by providing an architecture meant to defend enterprises’ cloud, network, and mobile devices. As a result, Check Point’s IT network and resources regularly stored and transmitted their own data and code.	5. 関連するすべての期間において、チェック・ポイントは、エンタープライズ・クラウド、ネットワーク、およびモバイルデバイスを防御するアーキテクチャを提供することで、ITセキュリティに関する幅広い製品およびサービスを開発、販売、およびサポートしていた。その結果、チェック・ポイントのITネットワークおよびリソースは、定期的に自社のデータおよびコードを保存および送信していた。
6. On December 14, 2020, after learning about the SolarWinds Compromise from publicly available sources, Check Point identified instances of infected SolarWinds installations on two Check Point servers.	6. 2020年12月14日、一般に入手可能な情報源からSolarWinds侵害について知った後、チェック・ポイントは、2台のチェック・ポイント・サーバ上のSolarWindsインストールが感染していることを識別した。
7. On December 15, 2020, a third-party vendor notified Check Point of potential unauthorized activity in the Check Point environment related to the SolarWinds Compromise.	7. 2020年12月15日、サードパーティのベンダーが、SolarWinds侵害に関連するチェック・ポイント環境における不正な可能性のある活動をチェック・ポイントに通知した。
8. Throughout December 2020, Check Point learned that the threat actor behind the compromise of the SolarWinds Orion software was a hacking group likely associated with a nation-state. Public reports and commercial cybersecurity intelligence sources widely attributed the activity to the Russian Federation in late December 2020. On January 5, 2021, a joint public statement by the Federal Bureau of Investigation, the Office of the Director of National Intelligence, the National Security Agency, and the Cybersecurity and Infrastructure Security Agency attributed the attack to an intelligence gathering operation “likely Russian in origin.” The event impacted thousands of SolarWinds’ customers.	8. 2020年12月を通して、チェック・ポイントは、SolarWinds Orionソフトウェアの侵害の背後にいる脅威行為者が、国家と関連している可能性が高いハッキンググループであることを知った。2020年12月下旬には、公的な報告や商業的なサイバーセキュリティ情報源が、この活動をロシア連邦によるものと広く見なしていた。2021年1月5日、連邦捜査局、国家情報長官室、国家安全保障局、サイバーセキュリティ・インフラセキュリティ庁による共同声明では、この攻撃は「おそらくロシアが起源である」情報収集活動によるものとされた。この事件は、SolarWindsの数千もの顧客に影響を与えた。
9. Check Point began an internal investigation in December 2020. Check Point’s investigation into the impact of the SolarWinds Compromise revealed that the malicious activity in the Check Point environment related to the SolarWinds Compromise occurred during a four-month period from July through October 2020, and that, in addition to the two infected servers, the unauthorized activity included the installation and use of unauthorized software, including a compression utility commonly used by hackers before exfiltrating data; compromise of two corporate accounts; and network reconnaissance and attempted lateral movement.	9. チェック・ポイントは2020年12月に社内調査を開始した。チェック・ポイントによるソーラーウィンズ侵害の影響に関する調査により、ソーラーウィンズ侵害に関連するチェック・ポイント環境における悪意のある活動は2020年7月から10月までの4か月間に発生していたことが明らかになり、感染した2台のサーバーに加え、不正な活動には、データを外部に持ち出す前にハッカーが一般的に使用する圧縮ユーティリティを含む不正なソフトウェアのインストールおよび使用、2つの企業アカウントの侵害、ネットワーク偵察および横方向への移動の試みがあった。
10. At the time of Check Point’s investigation, which began in December 2020, many of the logs of network and internet activity were limited to September through December 2020, and therefore did not include logs of all unauthorized activity that could have occurred before that timeframe, which prevented it from identifying the full scope of the compromise. Check Point’s investigation of the SolarWinds Compromise for those four months did not identify evidence of any additional activity including evidence that any customer data, code, or other sensitive information was accessed.	10. チェック・ポイントによる調査は2020年12月に開始されたが、ネットワークおよびインターネット活動のログの多くは2020年9月から12月までのものに限られており、それ以前に発生した可能性のあるすべての不正活動のログは含まれていなかったため、侵害の全容を特定することはできなかった。チェック・ポイントによる SolarWinds 侵害に関するこの 4 か月間の調査では、顧客データ、コード、その他の機密情報へのアクセスを示す証拠を含む、追加の活動を示す証拠は識別されなかった。
11. As a provider of enterprise IT services, Check Point’s ability to protect its data and code is critically important to its reputation and ability to attract customers. Given its role and business, Check Point’s information and data also were of great interest to state-sponsored cyber threat actors, such as the threat actor likely behind the SolarWinds Compromise.	11. エンタープライズ IT サービス・プロバイダとして、チェック・ポイントのデータおよびコードを防御する能力は、同社の評判および顧客獲得能力にとって極めて重要である。その役割と事業から、チェック・ポイントの情報およびデータは、SolarWinds Compromiseの背後にいる可能性が高い脅威行為者など、国家支援のサイバー脅威行為者にとっても大きな関心事であった。
12. Check Point’s cybersecurity risk profile changed materially as a result of the SolarWinds Compromise-related activity in its network because of the following factors: (1) a likely nation-state-supported threat actor activated the SolarWinds vulnerability and used it to enter Check Point’s environment; and (2) the threat actor persisted in the network unmonitored for several months and took steps, including deployment and removal of unauthorized software and attempting to move laterally, in Check Point’s environment.	12. チェック・ポイントのネットワークにおけるSolarWinds Compromise関連の活動により、チェック・ポイントのサイバーセキュリティリスクのプロファイルは、以下の要因により、大幅に変化した。(1) 国家支援を受けた脅威行為者と思われる者がSolarWindsの脆弱性を起動し、それを利用してチェック・ポイントの環境に侵入したこと、および (2) その脅威行為者は数か月間、監視されないままネットワーク内に留まり、チェック・ポイントの環境において、未承認ソフトウェアの展開および削除、および水平方向への移動の試みを含む行動を取ったこと、である。
13. On April 2, 2021 and April 14, 2022, Check Point filed its annual reports on Forms 20-F with the Commission. In both reports, Check Point framed its cybersecurity risks generically. Specifically, Check Point failed to update its risk disclosures in light of the threat actor’s infiltration of the Check Point network. The relevant cyber risk disclosures in Check Point’s 2021 and 2022 Forms 20-F were identical to Check Point’s disclosure on its April 2, 2020 Form 20-F, and therefore did not reflect the material change in its cyber security risks resulting from the SolarWinds Compromise.	13. 2021年4月2日および2022年4月14日、チェック・ポイントは委員会にフォーム20-Fによる年次報告書を提出した。両報告書において、チェック・ポイントはサイバーセキュリティリスクを一般的に表現した。具体的には、チェック・ポイントは、脅威行為者がチェック・ポイントのネットワークに侵入したことを踏まえて、リスク開示を更新しなかった。チェック・ポイントの2021年および2022年のフォーム20-Fにおける関連サイバーリスクの開示は、2020年4月2日付のフォーム20-Fにおけるチェック・ポイントの開示と同一であり、したがって、SolarWindsの侵害によるサイバーセキュリティリスクの重大な変化を反映していなかった。
14. In those Form 20-F disclosures, Check Point stated: “We regularly face attempts by others to gain unauthorized access through the Internet or to introduce malicious software to our information technology (IT) systems” and that “Additionally, malicious hackers may attempt to gain unauthorized access . . . ” The disclosures further stated: “From time to time we encounter intrusions or attempts at gaining unauthorized access to our products and network. To date, none have resulted in any material adverse impact to our business or operations.”	14. チェック・ポイントは、Form 20-Fの開示において、「当社は、インターネットを通じて不正アクセスを試みたり、当社の情報技術（IT）システムに悪意のあるソフトウェアを導入しようとする他者による試みに定期的に直面している」と述べ、「さらに、悪意のあるハッカーが不正アクセスを試みる可能性もある」と述べた。さらに、同開示では、「当社製品とネットワークへの不正アクセスまたは不正アクセスを試みる侵入が時折発生している。これまでのところ、当社の事業や業務に重大な悪影響を及ぼす結果となったものは一切ない。
15. Check Point’s disclosures in its 2021 Form 20-F and 2022 Form 20-F were rendered materially misleading by the omission of how the company’s cybersecurity risk had increased due to the SolarWinds Compromise-related activity in its network, and Check Point’s inability to fully assess the scope of activity prior to September 2020, because “there is a substantial likelihood that a reasonable shareholder would consider [this information] important” when evaluating Check Point’s statements about intrusions and their impact on the company. Basic, Inc. v. Levinson, 485 U.S. 224, 299 (1988).	15. チェック・ポイントの2021年フォーム20-Fおよび2022年フォーム20-Fの開示は、ネットワーク内でのSolarWinds侵害関連の活動により同社のサイバーセキュリティリスクがどのように増加したかについての記述が省略され、またチェック・ポイントが2020年9月以前に活動の範囲を十分に評価できなかったため、重大な誤解を招くものとなった。これは、チェック・ポイントの侵入とそれが同社に与える影響に関する声明を評価する際に「合理的な株主が[この情報]を重要と見なす可能性がかなり高い」ためである。Basic, Inc. v. Levinson, 485 U.S. 224, 299 (1988)。
16. In addition to being inaccurate, Check Point’s 2021 and 2022 cybersecurity risk disclosures were generic and not tailored to the company’s “particular cybersecurity risks and incidents” which created a materially misleading impression of the cybersecurity risks Check Point faced and understood post-incident. Commission Statement and Guidance on Public Company Cybersecurity Disclosure, Release Nos. 33-10459 at 13, 34-82746 (Feb. 21, 2018) available at https://www.sec.gov/rules/interp/2018/33-10459.pdf (emphasis added).[4] Specifically, its statements that Check Point “encounter[s] intrusions or attempts at gaining unauthorized access,” were generic in the sense that they likely apply to every issuer of publicly-traded securities that uses information technology in its business. It was also generic and not tailored to Check Point’s “particular … risks and incidents” because the relevant disclosures were identical to the 2020 cybersecurity risk factor disclosure, and therefore failed to reflect the changes in Check Point’s cybersecurity risks between 2020 and 2021, about which Check Point knew about before April 2021 as a result of its investigation of the SolarWinds Compromise-related activity. Disclosing cybersecurity risks in only a generic way created a materially misleading impression of the cybersecurity risks that had arisen from the unmonitored presence of a likely nation-statesupported threat actor in Check Point’s network, into which activity Check Point had limited visibility for the time period before September 2020. In combination with the facts that Check Point’s business involved providing IT security services and that protecting its networks and data was critically important to its reputation and ability to attract customers, these omissions were material. During this period, Check Point did not publicly make any statements or disclosures that corrected these misleading disclosures. These disclosures were also materially misleading by framing any intrusion as not material, by generally stating that Check Point “encounter[s] intrusions or attempts at gaining unauthorized access,” but that none have had a “materially adverse impact.”	16. さらに、不正確であることに加え、チェック・ポイント社の2021年および2022年のサイバーセキュリティリスクの開示は、一般的なものであり、同社の「特定のサイバーセキュリティリスクおよびインシデント」に合わせたものではなかった。そのため、チェック・ポイント社がインシデント後に直面し、理解していたサイバーセキュリティリスクについて、実質的に誤解を招く印象を与えた。公開企業のサイバーセキュリティ開示に関する委員会声明およびガイダンス、リリース番号33-10459、13、34-82746（2018年2月21日）は、https://www.sec.gov/rules/interp/2018 /33-10459.pdf（強調表示）で入手可能。^[4] 具体的には、チェック・ポイントが「侵入または不正アクセスを試みる行為に遭遇する」という記述は、情報技術を業務で使用するすべての公開証券発行者に当てはまる可能性が高いという意味で一般的である。また、その開示内容は2020年のサイバーセキュリティリスク要因の開示と同一であったため、チェック・ポイントの「特定の…リスクおよびインシデント」に特化したものではなく、汎用的なものであった。そのため、チェック・ポイントがSolarWindsの侵害に関連する活動を調査した結果、2021年4月以前に把握していた2020年から2021年にかけてのチェック・ポイントのサイバーセキュリティリスクの変化を反映していない。サイバーセキュリティリスクを一般的な方法で開示したことによって、国家支援の脅威行為者が存在する可能性が高いチェック・ポイントのネットワークにおいて、2020年9月以前の期間にチェック・ポイントが監視できなかったことによって生じたサイバーセキュリティリスクについて、重大な誤解を招く印象を与えた。チェック・ポイント社の事業がITセキュリティサービスの提供に関わるものであり、ネットワークとデータの防御が同社の評判と顧客獲得能力にとって極めて重要であるという事実を踏まえると、これらの不作為は重大である。この期間中、チェック・ポイントは、これらの誤解を招く開示を訂正するいかなる声明または開示も公表しなかった。これらの開示は、侵入を重大ではないと表現し、チェック・ポイントが「侵入または不正アクセスを試みる行為に遭遇」しているが、いずれも「重大な悪影響」は生じていないと一般的に述べていた点でも、重大な誤解を招くものであった。
17. Throughout the periods discussed above, including following the filing of the April 2, 2021 and April 14, 2022 Forms 20-F, Check Point offered and sold securities to its employees.	17. 2021年4月2日および2022年4月14日提出のフォーム20-Fの提出後を含む、上記で言及した期間全体にわたり、チェック・ポイントは従業員に対して証券の提供および販売を行っていた。
Violations	違反
18. As a result of the conduct described above, Check Point violated Section 17(a)(2) of the Securities Act, which proscribes, in the offer or sale of a security, obtaining “money or property by means of any untrue statement of a material fact or any omission to state a material fact necessary in order to make the statements made, in light of the circumstances under which they were made, not misleading.”	18. 上記の行為の結果、チェック・ポイント社は証券法第17条(a)(2)項に違反した。同項は、証券の提供または販売において、「状況を考慮した上で、提供された情報が誤解を招かないようにするために、重要な事実について虚偽の陳述を行うこと、または重要な事実の記載を省略すること」により、「金銭または財産を得ること」を禁じている。
19. As a result of the conduct described above, Check Point violated Section 17(a)(3) of the Securities Act, which makes it unlawful for any person in the offer or sale of a security to engage “in any transaction, practice, or course of business which operates or would operate as a fraud or deceit upon the purchaser.”[5]	19. 上述の行為の結果、チェック・ポイント社は証券取引法第17条(a)(3)に違反した。同条項は、証券の募集または販売に関与する人物が「購入者に対する詐欺または欺瞞として機能する、または機能する可能性のある取引、慣行、または事業活動」に従事することを違法としている。[5]
20. As a result of the conduct described above, Check Point violated Section 13(a) of the Exchange Act and Rule 13a-1 thereunder, which require issuers of a security registered pursuant to Section 12 of the Exchange Act to file with the Commission annual reports in conformity with the Commission’s rules and regulations. Check Point also violated Rule 12b-20 of the Exchange Act, which, among other things, requires such issuers to include in reports filed with the Commission any material information necessary to make the required statements in the filing not misleading.	20. 上述の行為の結果、チェック・ポイント社は証券取引法第 13 条 (a) および同法に基づく規則 13a-1 に違反した。同法は、証券取引法第 12 条に従って登録された証券の発行者に対し、証券取引委員会の規則および規制に準拠した年次報告書を委員会に提出することを義務付けている。また、チェック・ポイント社は、証券取引法の規則12b-20にも違反した。この規則は、特に、証券取引委員会に提出する報告書に、虚偽記載とならないよう必要な記載を行うために必要なあらゆる重要な情報を記載することを発行者に義務付けている。
Check Point’s Cooperation	チェック・ポイントの協力
21. In determining to accept the Offer, the Commission considered remedial acts undertaken by Check Point and Check Point’s significant cooperation afforded the Commission staff, which Check Point provided consistently and throughout the entirety of the investigation. This cooperation included giving the staff detailed explanations, analysis, and summaries of multiple specific factual issues and promptly following up on the staff’s requests for additional documents and information. In addition, Check Point conducted an internal investigation, shared its findings with the staff on its own initiative, and took certain steps to enhance its cybersecurity controls. Check Point’s cooperation meaningfully contributed to the efficiency of the staff’s investigation.	21. 委員会は、本公開買付けを承認するにあたり、チェック・ポイントがとった是正措置と、チェック・ポイントが調査の全期間を通じて一貫して委員会スタッフに提供した多大な協力について考慮した。この協力には、複数の具体的な事実問題に関する詳細な説明、分析、および要約の提供、および追加の書類や情報に関するスタッフの要請への迅速な対応が含まれた。さらに、チェック・ポイント社は社内調査を実施し、独自の判断で調査結果をスタッフに共有し、サイバーセキュリティ管理を強化するための措置を講じた。チェック・ポイント社の協力は、スタッフの調査の効率化に大きく貢献した。
IV.	IV.
In view of the foregoing, the Commission deems it appropriate and in the public interest to impose the sanctions agreed to in Respondent’s Offer.	以上のことから、委員会は、被申立人の申し出で合意された制裁を課すことが適切であり、公共の利益に適うと判断する。
Accordingly, it is hereby ORDERED that:	したがって、ここに命令する。
A. Pursuant to Section 8A of the Securities Act and Section 21C of the Exchange Act,	A. 証券取引法第8A条および証券取引法第21C条に従い、
Respondent cease and desist from committing or causing any violations and any future violations of Sections 17(a)(2) and 17(a)(3) of the Securities Act, Section 13(a) of the Exchange Act and Rules 12b-20 and13a-1 thereunder.	被申立人は、証券取引法第17条(a)(2)および第17条(a)(3)、証券取引法第13条(a)、および規則12b-20および13a-1の違反行為および違反行為の発生を中止し、将来の違反行為を中止すること。
B. Respondent shall, within 10 days of the entry of this Order, pay a civil money penalty in the amount of $995,000 to the Securities and Exchange Commission for transfer to the general fund of the United States Treasury, subject to Exchange Act Section 21F(g)(3). If timely payment is not made, additional interest shall accrue pursuant to 31 U.S.C. §3717. Payment must be made in one of the following ways:	B. 被申立人は、本命令の執行から10日以内に、証券取引法第21F条(g)(3)に従い、民事制裁金99万5000ドルを米国証券取引委員会に支払い、米国財務省一般資金に振り替えるものとする。期限内の支払いがなされない場合、31 U.S.C. §3717に従い、追加利息が発生する。支払いは以下のいずれかの方法で行う必要がある。
(1) Respondent may transmit payment electronically to the Commission, which will provide detailed ACH transfer/Fedwire instructions upon request;	(1) 被申立人は、委員会に電子的に支払うことができる。委員会は、要請に応じて、ACH送金/Fedwire送金の詳細な指示を提供する。
(2) Respondent may make direct payment from a bank account via Pay.gov through the SEC website at [web] ; or	(2) 被申立人は、SECのウェブサイト（[web] ）を通じてPay.gov経由で銀行口座から直接支払いを行うことができる。または
(3) Respondent may pay by certified check, bank cashier’s check, or United States postal money order, made payable to the Securities and Exchange Commission and hand-delivered or mailed to:	(3) 被申立人は、証券取引委員会宛てに作成された保証小切手、銀行小切手、または米国郵便為替により支払い、以下の住所に手渡しまたは郵送することができる。
Enterprise Services Center	エンタープライズサービスセンター
Accounts Receivable Branch	売掛金部門
HQ Bldg., Room 181, AMZ-341	HQビル、ルーム181、AMZ-341
6500 South MacArthur Boulevard	6500サウスマッカーサー大通り
Oklahoma City, OK 73169	オクラホマシティ、オクラホマ州73169
Payments by check or money order must be accompanied by a cover letter identifying Check Point Software Technologies Ltd. as a Respondent in these proceedings, and the file number of these proceedings; a copy of the cover letter and check or money order must be sent to Jorge Tenreiro, Deputy Unit Chief, Crypto Assets and Cyber Unit, Division of Enforcement, Securities and Exchange Commission, 100 Pearl Street, Suite 20-100, New York, NY 10004-2616.	小切手または郵便為替による支払いには、Check Point Software Technologies Ltd. を本訴訟の被告として特定し、本訴訟のファイル番号を記載したカバーレターを添付する必要がある。カバーレターと小切手または郵便為替のコピーを、証券取引委員会執行部暗号資産およびサイバーユニット副ユニット長の Jorge Tenreiro、100 Pearl Street, Suite 20-100, New York, NY 10004-2616 まで送付する必要がある。
C. Amounts ordered to be paid as civil money penalties pursuant to this Order shall be treated as penalties paid to the government for all purposes, including all tax purposes. To preserve the deterrent effect of the civil penalty, Respondent agrees that in any Related Investor Action, it shall not argue that it is entitled to, nor shall it benefit by, offset or reduction of any award of compensatory damages by the amount of any part of Respondent’s payment of a civil penalty in this action (“Penalty Offset”). If the court in any Related Investor Action grants such a Penalty Offset, Respondent agrees that it shall, within 30 days after entry of a final order granting the Penalty Offset, notify the Commission's counsel in this action and pay the amount of the Penalty Offset to the Securities and Exchange Commission. Such a payment shall not be deemed an additional civil penalty and shall not be deemed to change the amount of the civil penalty imposed in this proceeding. For purposes of this paragraph, a “Related Investor Action” means a private damages action brought against Respondent by or on behalf of one or more investors based on substantially the same facts as alleged in the Order instituted by the Commission in this proceeding.	C. 本命令に従って民事制裁金として支払いが命じられた金額は、すべての課税目的を含むあらゆる目的において、政府に支払われた罰金として扱われるものとする。民事制裁金の抑止効果を維持するために、被申立人は、関連する投資家訴訟において、本訴訟における民事制裁金の支払い額の一部を補償的損害賠償の裁定額から相殺または減額する権利があると主張せず、また、その利益を得ないことに同意する。関連投資家訴訟の裁判所がペナルティ相殺を認めた場合、被申立人は、ペナルティ相殺を認める最終命令が下されてから30日以内に、本訴訟における委員会の弁護士に通知し、ペナルティ相殺の金額を証券取引委員会に支払うことに同意する。このような支払いは追加の民事制裁金とはみなされず、また本手続きで課された民事制裁金の額を変更するものとみなされない。本項の目的上、「関連する投資家訴訟」とは、本手続きで委員会が開始した命令で申し立てられた事実と実質的に同一の事実に基づき、1人以上の投資家または投資家を代表して被申立人に対して起こされた私的損害賠償訴訟を意味する。
D. Respondent acknowledges that the Commission is not imposing a civil penalty in excess of $995,000 based upon its cooperation in a Commission investigation. If at any time following the entry of the Order, the Division of Enforcement (“Division”) obtains information indicating that Respondent knowingly provided materially false or misleading information or materials to the Commission, or in a related proceeding, the Division may, at its sole discretion and with prior notice to the Respondent, petition the Commission to reopen this matter and seek an order directing that the Respondent pay an additional civil penalty, Respondent may contest by way of defense in any resulting administrative proceeding whether it knowingly provided materially false or misleading information, but may not: (1) contest the findings in the Order; or (2) assert any defense to liability or remedy, including, but not limited to, any statute of limitations defense.	D. 被申立人は、委員会の調査への協力にもとづいて、委員会が995,000ドルを超える民事罰金を課すことはないと認める。本命令が下された後、執行部（「ディビジョン」）が、被申立人が故意に、委員会に対して、実質的に虚偽または誤解を招く情報または資料を提供したことを示す情報を入手した場合、または関連する訴訟において、ディビジョンは、独自の裁量で、かつ事前に被申立人に事前に通知した上で、この問題の再審理を委員会に要請し、被申立人に対して追加の民事制裁金の支払いを命じる命令を求めることができる。被申立人は、その結果生じる行政手続きにおいて、故意に重大な虚偽または誤解を招く情報を提供したかどうかについて防御の方法で争うことができるが、(1) 命令の所見を争うこと、または (2) 責任または救済措置に対する防御を主張することはできない。
By the Commission.	委員会による。
Vanessa A. Countryman	ヴァネッサ・A・カントリーマン
Secretary	事務局長

[1] The findings herein are made pursuant to Respondent’s Offer and are not binding on any other person or entity in this or any other proceeding.	[1] 本調査結果は、被申立人の申し出に従って作成されたものであり、本件またはその他の訴訟手続きにおける他の個人または事業体を拘束するものではない。
[2] The term “threat actor” refers to an individual, group, organization, or government that conducts or has the intent to conduct unauthorized activities against the networks and data of or used by others.	[2] 「脅威行為者」とは、他者のネットワークとデータに対して、または他者が使用するネットワークとデータに対して、不正な行為を行う、または行う意図を持つ個人、グループ、組織、政府を指す。
[3] The term “exfiltration” refers to the unauthorized transfer of data from an information system.	[3] 「外部流出」とは、情報システムからの不正なデータ転送を指す。
[4] In addition to the Commission’s 2018 cybersecurity guidance, the Commission has previously instructed issuers to provide tailored and non-generic risk disclosures in contexts other than cybersecurity. See Business and Financial Disclosure Required by Regulation S-K, Release No. 33-10064 (Apr. 13, 2016); Plain English Disclosure, Release No. 33-7497 (Jan. 28, 1998); and Updated Staff Legal Bulletin No. 7: Plain English Disclosure (Jun. 7, 1999) available at [web] .	^[4] 委員会の2018年のサイバーセキュリティに関するガイダンスに加え、委員会は以前、サイバーセキュリティ以外の文脈において、発行者に対して、個別かつ汎用ではないリスク開示を行うよう指示している。参照：ビジネスおよび財務開示に関する規則S-K（リリースNo. 33-10064）（2016年4月13日）、平易な英語による開示（リリースNo. 33-7497）（1998年1月2 8, 1998年）および「Updated Staff Legal Bulletin No. 7: Plain English Disclosure（平易な英語による開示）」（1999年6月7日）は、[web] で入手可能。
[5] Violations of Sections 17(a)(2) and 17(a)(3) of the Securities Act do not require scienter and may rest on a finding of negligence. See Aaron v. SEC, 446 U.S. 680, 685, 701-02 (1980).	[5] 証券取引法第17条(a)(2)および第17条(a)(3)の違反には、悪意（scienter）は必要なく、過失の認定に基づく場合がある。Aaron v. SEC, 446 U.S. 680, 685, 701-02 (1980)を参照のこと。

・[PDF] In the Matter of Mimecast Limited, Respondent.

UNITED STATES OF AMERICA	米国
Before the SECURITIES AND EXCHANGE COMMISSION	証券取引委員会
SECURITIES ACT OF 1933	1933年証券取引所法
Release No. 11322 / October 22, 2024	リリース番号11322 / 2024年10月22日
SECURITIES EXCHANGE ACT OF 1934	1934年証券取引所法
Release No. 101400 / October 22, 2024	リリース番号101400 / 2024年10月22日
ADMINISTRATIVE PROCEEDING	行政手続き
File No. 3-22271	ファイル番号 3-22271
In the Matter of Mimecast Limited, Respondent.	マインキャスト・リミテッド（被申立人）に関する事案
ORDER INSTITUTING CEASE-ANDDESIST PROCEEDINGS, PURSUANT TO SECTION 8A OF THE SECURITIES ACT OF 1933 AND SECTION 21C OF THE SECURITIES EXCHANGE ACT OF 1934, MAKING FINDINGS, AND IMPOSING A CEASE-AND-DESIST ORDER	1933年証券取引法第8A条および1934年証券取引法第21C条に従い、停止および差し止め手続きを開始し、判決を下し、停止および差し止め命令を課す命令
I.	I.
The Securities and Exchange Commission (“Commission”) deems it appropriate that ceaseand-desist proceedings be, and hereby are, instituted pursuant to Section 8A of the Securities Act of 1933 (“Securities Act”) and Section 21C of the Securities Exchange Act of 1934 (“Exchange Act”) against Mimecast Limited (“Mimecast” or “Respondent”).	証券取引委員会（以下「委員会」）は、1933年証券取引法（以下「証券取引法」）第8A条および1934年証券取引所法（以下「取引所法」）第21C条に基づき、Mimecast社（以下「Mimecast」または「被申立人」）に対して、業務停止命令手続きを開始することが適切であると判断し、ここに開始する。
II.	II.
In anticipation of the institution of these proceedings, Respondent has submitted an Offer of Settlement (the “Offer”) which the Commission has determined to accept. Solely for the purpose of these proceedings and any other proceedings brought by or on behalf of the Commission, or to which the Commission is a party, and without admitting or denying the findings herein, except as to the Commission’s jurisdiction over it and the subject matter of these proceedings, which are admitted, Respondent consents to the entry of this Order Instituting Ceaseand-Desist Proceedings Pursuant to Section 8A of the Securities Act of 1933 and Section 21C of the Securities Exchange Act of 1934, Making Findings, and Imposing a Cease-And-Desist Order (“Order”), as set forth below.	本訴訟の提起に先立ち、被申立人は和解案（以下「和解案」）を提出しており、委員会はこれを受理することを決定した。本訴訟および委員会が提起した、または委員会を代表して提起されたその他の訴訟、または委員会が当事者となっている訴訟の目的のみに限定し、本訴訟における調査結果を認めることも否定することもなく、ただし、委員会の管轄権および本訴訟の対象事項についてはこれを認めることを条件として、被申立人は 1933年証券取引法第8A条および1934年証券取引法第21C条に基づき、以下のとおり、調査結果の認定および業務停止命令の実施（「本命令」）を認める。
III.	III.
On the basis of this Order and Respondent’s Offer, the Commission finds[1] that:	本命令および被申立人の申し出に基づき、委員会は以下のとおり認定する[1]。
Summary	要約
1. This matter concerns materially misleading misstatements negligently made by Mimecast to investors regarding a cybersecurity incident that Mimecast had experienced. In December 2020, Mimecast identified computers in its network that had installations of SolarWinds’ Orion software, a software which a persistent and reportedly nation-state-supported threat actor[2] infected with malicious code that allowed for unauthorized activity on affected computers and their networks. At that time, Mimecast identified no additional unauthorized activity in its systems by the threat actor. In January 2021, Mimecast learned that the same threat actor compromised Mimecast (the “Compromise”). Through the Compromise, the threat actor exfiltrated a Mimecastissued authentication certificate used by approximately ten percent of its customers and compromised five customers’ cloud platforms using the certificate. The threat actor also accessed internal email, certain of Mimecast’s source code, including its authentication and data exgestion[3] source code, a database containing encrypted credentials[4] for approximately 31,000 customers, and server and configuration information for approximately 17,000 customers.	1. 本件は、Mimecastが経験したサイバーセキュリティインシデントに関して、Mimecastが投資家に対して重大な誤解を招く虚偽の陳述を過失により行ったことに関するものである。2020年12月、Mimecastは、自社のネットワーク内のコンピュータにSolarWindsのOrionソフトウェアがインストールされていることを識別した。このソフトウェアは、持続的で、国家支援を受けているとされる脅威行為者[2]が不正なコードを感染させ、感染したコンピュータとそのネットワーク上で不正な活動を可能にするものである。当時、Mimecastは、そのシステムにおいて、その脅威行為者による追加の不正な活動は識別しなかった。2021年1月、Mimecastは、同じ脅威行為者がMimecastを侵害したことを知った（以下「侵害」という）。侵害により、その脅威行為者は、Mimecastが発行した認証証明書を、顧客の約10%が使用していたものを持ち出し、その証明書を使用して5社の顧客のクラウドプラットフォームを侵害した。また、脅威行為者は、内部電子メール、認証およびデータ抽出[3]ソースコードを含むMimecastのソースコードの一部、約31,000人の顧客の暗号化された認証情報[4]を含むデータベース、および約17,000人の顧客のサーバーおよび構成情報にもアクセスした。
2. Mimecast filed Forms 8-K in January 2021 and March 2021 disclosing and discussing the Compromise, including quantifying certain aspects of the Compromise, but negligently failed to disclose the number of customers whose credentials or server and configuration information were accessed by the threat actor. Contemporaneous with the filing of the Forms 8-K, Mimecast began notifying customers impacted by the Compromise.	2. Mimecastは、2021年1月および3月にフォーム8-Kを提出し、侵害について開示し、議論したが、その一部を数値化するなどしたものの、脅威行為者によって認証情報やサーバーおよび構成情報がアクセスされた顧客の数を開示し損ねた。フォーム8-Kの提出と同時に、Mimecastは侵害の影響を受けた顧客に通知を開始した。
3. In its March 2021 Form 8-K, Mimecast also disclosed that the threat actor had accessed and downloaded certain source code but did not describe the nature of the code, nor quantify the amount of source code exfiltrated. In fact, the threat actor had accessed and exfiltrated a large percentage of its source code related to exgestion, Microsoft 365 (“M365”) authentication, and M365 interoperability code.	3. 2021年3月のフォーム8-Kにおいて、Mimecastは、脅威行為者が特定のソースコードにアクセスし、ダウンロードしたことも開示したが、そのコードの性質については説明せず、流出したソースコードの量も定量化しなかった。実際には、脅威行為者は、エクスジェス、Microsoft 365（「M365」）認証、およびM365相互運用コードに関連するソースコードの大半にアクセスし、流出させていた。
4. Based on the foregoing conduct and the conduct described herein below, Mimecast violated Sections 17(a)(2) and 17(a)(3) of the Securities Act and Section 13(a) of the Exchange Act and Rules 12b-20 and 13a-11 thereunder.	4. 上記の行為および以下に説明する行為に基づき、Mimecastは証券取引法第17条(a)(2)および(3)項、および証券取引法第13条(a)項、および同法に基づく規則12b-20および13a-11に違反した。
Respondent	被申立人
5. Mimecast was a Jersey corporation headquartered in London, United Kingdom. During the relevant period, Mimecast’s stock traded on the Nasdaq Global Select Market under the ticker symbol MIME, and its common stock was registered under Section 12(b) of the Exchange Act. During the relevant period, Mimecast filed with the Commission, among other things, periodic reports on Forms 8-K pursuant to Section 13(a) of the Exchange Act and Rule 13a-11 thereunder. On May 19, 2022, Mimecast was acquired and taken private.	5. Mimecastは、英国ロンドンに本社を置くジャージー法人の企業であった。関連期間中、Mimecastの株式はナスダック・グローバル・セレクト・マーケットでティッカーシンボル「MIME」で取引され、普通株式は証券取引法第12(b)条に基づき登録されていた。当該期間中、Mimecastは、証券取引法第13条(a)項および同法に基づく規則13a-11に従い、様式8-Kによる定期報告書などを委員会に提出した。2022年5月19日、Mimecastは買収され、非公開企業となった。
Facts	事実
6. At all relevant times, Mimecast was a provider of cloud security and risk management services for email and corporate information. As a result, Mimecast’s information technology network and resources regularly stored and transmitted its own data and code. During the relevant period, Mimecast disclosed in its periodic public filings with the Commission that it had approximately 40,000 customers.	6. 関連するすべての期間において、Mimecastは、電子メールおよび企業情報のクラウドセキュリティおよびリスクマネジメントサービスプロバイダであった。その結果、Mimecastの情報技術ネットワークおよびリソースは、定期的に自社のデータおよびコードを保存および送信していた。関連する期間中、Mimecastは、委員会への定期的な公開提出書類において、約40,000人の顧客を有していることを開示していた。
7. In January 2021, Mimecast learned that it had been compromised by the same threat actor that was responsible for the SolarWinds Orion software compromise.	7. 2021年1月、Mimecastは、SolarWinds Orionソフトウェアの侵害の責任者である同じ脅威行為者によって侵害されたことを知った。
8. An investigation by Mimecast revealed that the threat actor exfiltrated a Mimecastissued authentication certificate used to connect Mimecast to Microsoft and compromised five customers’ cloud platforms using the stolen certificate. The threat actor also accessed internal email, most of the authentication and exgestion data export code used in Mimecast software, an encrypted database containing credentials for approximately 31,000 customers, and server and configuration information for approximately 17,000 customers. The investigation found no evidence that the threat actor had accessed relevant decryption keys or had accessed customer email or archive data.	8. Mimecastによる調査により、脅威行為者がMimecastとMicrosoftを接続するために使用されていたMimecast発行の認証証明書を外部に持ち出し、盗まれた証明書を使用して5社の顧客のクラウドプラットフォームを侵害したことが明らかになった。また、脅威行為者は内部メール、Mimecastソフトウェアで使用される認証およびエクスポートデータのほとんどのデータ、約31,000人の顧客の認証情報を含む暗号化されたデータベース、および約17,000人の顧客のサーバーおよび構成情報にもアクセスした。調査では、脅威行為者が関連する復号化キーにアクセスした、または顧客のメールやアーカイブデータにアクセスしたという証拠は発見されなかった。
9. In early 2021, Mimecast publicly disclosed certain aspects of the Compromise through a number of Forms 8-K filed with the Commission. However, Mimecast negligently omitted a number of material aspects of the Compromise, including information regarding the large number of impacted customers and the percentage of code exfiltrated by the threat actor.	9. 2021年初頭、Mimecastは、委員会に提出した多数のフォーム8-Kを通じて、侵害の一部を公開した。しかし、Mimecastは、影響を受けた多数の顧客に関する情報や、脅威行為者によって流出したコードの割合など、侵害の重要な側面を多数怠って省略した。
10. On January 12, 2021, Mimecast filed a Form 8-K with the Commission disclosing that it had recently been informed that “a Mimecast-issued certificate provided to certain customers to authenticate Mimecast Sync and Recover, Continuity Monitor and IEP products to Microsoft 365 Exchange Web Services has been compromised by a sophisticated threat actor.”	10. 2021年1月12日、Mimecastは、委員会にフォーム8-Kを提出し、最近「Microsoft 365 Exchange Web Servicesに対するMimecast Sync and Recover、Continuity Monitor、およびIEP製品の認証用に特定の顧客に提供されたMimecast発行の証明書が、高度な脅威行為者によって侵害された」との通知を受けたことを開示した。
11. The January 12, 2021 Form 8-K further disclosed that approximately ten percent of its users used the connection impacted by the stolen certificate, and that “a low single digit number of [its] customers’ M365 tenants were targeted.”	11. 2021年1月12日付のフォーム8-Kでは、さらに、盗まれた証明書によって影響を受けた接続を使用したユーザーが約10%おり、「顧客のM365テナントの1桁前半の数が標的となった」ことが開示された。
12. On January 26, 2021, Mimecast filed an additional Form 8-K providing an update regarding its investigation into the Compromise: “Our investigation has now confirmed that this incident is related to the SolarWinds Orion software compromise and was perpetrated by the same sophisticated threat actor. Our investigation also showed that the threat actor accessed, and potentially exfiltrated[5], certain encrypted service account credentials created by customers hosted in the United States and the United Kingdom. These credentials establish connections from Mimecast tenants to on-premise and cloud services, which include LDAP, Azure Active Directory, Exchange Web Services, POP3 journaling, and SMTP-authenticated delivery routes.”	12. 2021年1月26日、Mimecastは、侵害に関する調査の最新情報を提供する追加のフォーム8-Kを提出した。「当社の調査により、このインシデントがSolarWinds Orionソフトウェアの侵害に関連しており、同じ高度な脅威行為者によって引き起こされたことが確認された。また、当社の調査により、脅威行為者が米国および英国でホストされている顧客が作成した特定の暗号化サービスアカウント認証情報にアクセスし、潜在的に外部に持ち出した[5]ことも判明した。これらの認証情報は、Mimecastの顧客からオンプレミスおよびクラウドサービスへの接続を確立するものであり、LDAP、Azure Active Directory、Exchange Web Services、POP3ジャーナリング、SMTP認証済み配信ルートなどが含まれる。」
13. On March 16, 2021, Mimecast filed a Form 8-K with the Commission disclosing the results of its investigation into the Compromise. The Form 8-K stated, in part: “the evidence showed that this certificate was used to target only the small number of customers . . . ”	13. 2021年3月16日、Mimecastは、委員会にフォーム8-Kを提出し、侵害に関する調査結果を開示した。フォーム8-Kには次のように記載されている。「証拠から、この証明書は少数の顧客のみを対象として使用されていたことが明らかになった。
14. Through these public filings, however, Mimecast failed to report that the threat actor had accessed a database containing encrypted credentials for approximately 31,000 customers and server and configuration information for approximately 17,000 customers. The disclosures further omitted the material information that the threat actor gained access to tens of thousands of customers’ credentials as part of the Compromise, representing the majority of its customers.	14. しかし、これらの公開提出書類において、Mimecastは、脅威行為者が約 31,000 人の顧客の暗号化された認証情報および約 17,000 人の顧客のサーバーおよび構成情報を含むデータベースにアクセスしたことを報告しなかった。さらに、開示事項では、脅威行為者が、顧客の大半を占める数万人の顧客の認証情報にアクセスしたという重要な情報を省略していた。
15. In addition, the March 16, 2021 Form 8-K disclosed: “The investigation revealed that the threat actor accessed and downloaded a limited number of our source code repositories, as the threat actor is reported to have done with other victims of the SolarWinds Orion supply chain attack. We believe that the source code downloaded by the threat actor was incomplete and would be insufficient to build and run any aspect of the Mimecast service. We found no evidence that the threat actor made any modifications to our source code nor do we believe that there was any impact on our products. We will continue to analyze and monitor our source code to protect against potential misuse.”	15. さらに、2021年3月16日付のフォーム8-Kでは、「調査により、脅威行為者が当社のソースコードリポジトリの一部にアクセスし、ダウンロードしていたことが判明した。これは、脅威行為者がSolarWinds Orionサプライチェーン攻撃の他の被害者に対して行ったと報告されている行為である。脅威行為者がダウンロードしたソースコードは不完全であり、Mimecastサービスのいかなる側面を構築し実行するにも不十分であると当社は考えている。脅威行為者が当社のソースコードに何らかの変更を加えたことを示す証拠は発見されなかった。また、当社製品に影響があったとは考えていない。当社は、潜在的な悪用を防御するために、当社のソースコードの分析と監視を継続する。」
16. In discussing the accessing of Mimecast’s source code, Mimecast stated that the source code downloaded was “incomplete and would be insufficient to build and run any aspect of the Mimecast service” and that it involved a “limited number” of code repositories. But Mimecast in the March 16, 2021 Form 8-K omitted that the threat actor had exfiltrated 58% of its exgestion source code, 50% of its M365 authentication source code, and 76% of its M365 interoperability source code, representing the majority of the source code for those three areas. Although the exfiltrated code represented a small portion of Mimecast’s complete product code, the functions it served were important to the security of Mimecast’s overall service offering, and therefore, its exposure to a reportedly nation-state-supported threat actor would be material to Mimecast’s investors.	16. Mimecastのソースコードへのアクセスについて議論する中で、Mimecastは、ダウンロードされたソースコードは「不完全であり、Mimecastサービスのいかなる側面を構築し実行するにも不十分である」と述べ、また、そのソースコードには「限られた数」のコードリポジトリが含まれていると述べた。しかし、2021年3月16日付のフォーム8-Kでは、脅威行為者がエクスジェスチャソースコードの58%、M365認証ソースコードの50%、M365相互運用性ソースコードの76%を窃取したことが省略されており、これはこれら3つの領域のソースコードの大半を占める。流出したコードはMimecastの製品コード全体のごく一部ではあるが、その機能はMimecastのサービス全体におけるセキュリティにとって重要であり、したがって、国家支援を受けているとされる脅威行為者へのエクスポージャーはMimecastの投資家にとって重大な問題である。
17. In these public filings, Mimecast negligently created a materially misleading picture of the Compromise, providing quantification regarding certain aspects of the Compromise but not disclosing additional material information on the scope and impact of the incident. Mimecast is a global provider of cloud security and risk management services for email and corporate information, and its data and code were of great interest to state-sponsored cyber threat actors. In addition, due to Mimecast’s services, its ability to protect information and data stored on and transmitted over its systems was critically important to its reputation and ability to attract customers. Yet, Mimecast’s disclosures omitted material information known to Mimecast at the time of the filing, including that the threat actor accessed and exfiltrated a large percentage of its source code related to exgestion, M365 authentication, and M365 interoperability code.	17. これらの公開文書において、Mimecastは、本侵害に関する重大な誤解を招くような情報を不注意にも作成し、本侵害の特定の側面に関する定量化は行ったが、インシデントの範囲および影響に関する追加の重要な情報を開示しなかった。Mimecastは、電子メールおよび企業情報のクラウドセキュリティおよびリスクマネジメントサービスを提供するグローバルプロバイダであり、そのデータおよびコードは、国家支援のサイバー脅威行為者にとって大きな関心事であった。さらに、Mimecastのサービスにより、同社のシステムに保存され、同システムを通じて送信される情報およびデータを防御する能力は、同社の評判および顧客獲得能力にとって極めて重要であった。しかし、Mimecastの開示では、脅威行為者が同社のエクスジェスチョン、M365認証、およびM365相互運用性コードに関連するソースコードの大部分にアクセスし、外部に持ち出したことなど、提出時点でMimecastが把握していた重要な情報が省略されていた。
18. Throughout the periods discussed above, including following the filing of the January and March 2021 Forms 8-K, Mimecast offered and sold securities to its employees.	18. 2021年1月および3月のフォーム8-Kの提出後を含む、上記で述べた期間全体にわたり、Mimecastは従業員に有価証券を提供し、販売していた。
Violations	違反
19. As a result of the conduct described above, Mimecast violated Section 17(a)(2) of the Securities Act, which proscribes, in the offer or sale of a security, obtaining “money or property by means of any untrue statement of a material fact or any omission to state a material fact necessary in order to make the statements made, in light of the circumstances under which they were made, not misleading.”	19. 上記の行為の結果、Mimecastは証券法第17条(a)(2)に違反した。同条項は、証券の提供または販売において、「状況を踏まえて、提供された情報が誤解を招かないようにするために、重要な事実について虚偽の陳述を行うこと、または重要な事実の記載を省略すること」により「金銭または財産を得ること」を禁じている。
20. As a result of the conduct described above, Mimecast violated Section 17(a)(3) of the Securities Act, which makes it unlawful for any person in the offer or sale of a security to engage “in any transaction, practice, or course of business which operates or would operate as a fraud or deceit upon the purchaser.”[6]	20. 上記の行為の結果、Mimecastは証券法第17条(a)(3)に違反した。同条項は、証券の提供または販売において、「購入者に対する詐欺または欺瞞として機能する、または機能する可能性のある取引、慣行、または業務」に従事することを違法としている。[6]
21. As a result of the conduct described above, Mimecast violated Section 13(a) of the Exchange Act and Rule 13a-11 thereunder, which require issuers of a security registered pursuant to Section 12 of the Exchange Act to file with the Commission current reports on Form 8-K in conformity with the Commission’s rules and regulations. Mimecast also violated Rule 12b-20 of the Exchange Act, which, among other things, requires such issuers to include in reports filed with the Commission any material information necessary to make the required statements in the filing not misleading.	21. 上記の行為の結果、Mimecastは証券取引法第 13 条 (a) および同法に基づく規則 13a-11 に違反した。これらの規定は、証券取引法第 12 条に従って登録された証券の発行者に対し、証券取引委員会の規則および規定に準拠したフォーム 8-K による最新報告書を証券取引委員会に提出することを義務付けている。また、Mimecastは証券取引法の規則12b-20にも違反しており、この規則は、特に、証券取引委員会に提出する報告書に、提出書類に記載する必要な陳述が誤解を招くものでないようにするために必要なあらゆる重要な情報を記載することを発行者に義務付けている。
Mimecast’s Cooperation	Mimecastの協力
22. In determining to accept the Offer, the Commission considered remedial acts undertaken by Mimecast and Mimecast’s extensive cooperation afforded the Commission staff, which Mimecast provided consistently and throughout the entirety of the investigation. This cooperation included giving the staff detailed explanations, analysis, and summaries of multiple specific factual issues and promptly following up on the staff’s requests for additional documents and information. In addition, Mimecast conducted an internal investigation, shared its findings with the staff on its own initiative, and took certain steps to enhance its cybersecurity controls. Mimecast’s cooperation significantly contributed to the efficiency of the staff’s investigation.	22. 委員会は、本公開買付けの受け入れを決定するにあたり、Mimecastが実施した是正措置と、Mimecastが調査の全期間を通じて一貫して委員会スタッフに提供した広範な協力について考慮した。この協力には、複数の具体的な事実問題に関する詳細な説明、分析、および要約の提示、および追加の書類や情報に関するスタッフの要請への迅速な対応が含まれた。さらに、Mimecastは内部調査を実施し、自主的に調査結果をスタッフと共有し、サイバーセキュリティ管理を強化するための措置を講じた。Mimecastの協力は、スタッフの調査の効率化に大きく貢献した。
IV.	IV.
In view of the foregoing, the Commission deems it appropriate and in the public interest to impose the sanctions agreed to in Respondent’s Offer.	以上のことから、委員会は、被申立人の申し出で合意された制裁を課すことが適切であり、公共の利益に適うと判断する。
Accordingly, it is hereby ORDERED that:	したがって、ここに命令する。
A. Pursuant to Section 8A of the Securities Act and Section 21C of the Exchange Act,	A. 証券取引法第8A条および取引所法第21C条に従い、
Respondent cease and desist from committing or causing any violations and any future violations of Sections 17(a)(2) and 17(a)(3) of the Securities Act, Section 13(a) of the Exchange Act, and Rules 12b-20 and 13a-11 thereunder.	被申立人は、証券取引法第17条(a)(2)および(3)、取引所法第13条(a)、およびそれらに基づく規則12b-20および13a-11の違反行為および将来の違反行為を中止すること。
B. Respondent shall, within 10 days of the entry of this Order, pay a civil money penalty in the amount of $990,000 to the Securities and Exchange Commission for transfer to the general fund of the United States Treasury, subject to Exchange Act Section 21F(g)(3). If timely payment is not made, additional interest shall accrue pursuant to 31 U.S.C. §3717. Payment must be made in one of the following ways:	B. 被申立人は、本命令の執行から10日以内に、証券取引法第21F条(g)(3)に従い、民事制裁金99万ドルを米国証券取引委員会に支払い、米国財務省一般資金に振り替えるものとする。期限内の支払いがなされない場合、31 U.S.C. §3717 に従って追加利息が発生する。支払いは以下のいずれかの方法で行うこと。
(1) Respondent may transmit payment electronically to the Commission, which will provide detailed ACH transfer/Fedwire instructions upon request;	(1) 被申立人は、委員会に電子的に支払いを送金することができる。委員会は、要請に応じてACH送金/Fedwire送金の詳細な指示を提供する。
(2) Respondent may make direct payment from a bank account via Pay.gov through the SEC website at [web] ; or	(2) 被申立人は、SECのウェブサイトの[web] を通じて、銀行口座から直接支払うことができる。または
(3) Respondent may pay by certified check, bank cashier’s check, or United States postal money order, made payable to the Securities and Exchange Commission and hand-delivered or mailed to:	(3) 被申立人は、証券取引委員会宛てに振り出した保証小切手、銀行小切手、または米国郵便為替で支払い、以下の住所に手渡しまたは郵送することができる。
Enterprise Services Center	エンタープライズサービスセンター
Accounts Receivable Branch	売掛金部門
HQ Bldg., Room 181, AMZ-341	HQ Bldg., Room 181, AMZ-341
6500 South MacArthur Boulevard	6500 South MacArthur Boulevard
Oklahoma City, OK 73169	Oklahoma City, OK 73169
Payments by check or money order must be accompanied by a cover letter identifying Mimecast Limited as a Respondent in these proceedings, and the file number of these proceedings; a copy of the cover letter and check or money order must be sent to Jorge Tenreiro, Deputy Unit Chief, Crypto Assets and Cyber Unit, Division of Enforcement, Securities and Exchange Commission, 100 Pearl Street, Suite 20-100, New York, NY 10004-2616.	小切手または郵便為替による支払いは、訴訟手続きにおける被申立人としてMimecast Limitedを識別し、訴訟手続きのファイル番号を記載したカバーレターを添付しなければならない。カバーレターおよび小切手または郵便為替のコピーは、Jorge Tenreiro 証券取引委員会執行部暗号資産およびサイバーユニット副ユニット長Jorge Tenreiro
C. Amounts ordered to be paid as civil money penalties pursuant to this Order shall be treated as penalties paid to the government for all purposes, including all tax purposes. To preserve the deterrent effect of the civil penalty, Respondent agrees that in any Related Investor Action, it shall not argue that it is entitled to, nor shall it benefit by, offset or reduction of any award of compensatory damages by the amount of any part of Respondent’s payment of a civil penalty in this action (“Penalty Offset”). If the court in any Related Investor Action grants such a Penalty Offset, Respondent agrees that it shall, within 30 days after entry of a final order granting the Penalty Offset, notify the Commission's counsel in this action and pay the amount of the Penalty Offset to the Securities and Exchange Commission. Such a payment shall not be deemed an additional civil penalty and shall not be deemed to change the amount of the civil penalty imposed in this proceeding. For purposes of this paragraph, a “Related Investor Action” means a private damages action brought against Respondent by or on behalf of one or more investors based on substantially the same facts as alleged in the Order instituted by the Commission in this proceeding.	C. 本命令に従い民事制裁金として支払いが命じられた金額は、すべての課税目的を含むあらゆる目的で政府に支払われた罰金として扱われるものとする。民事制裁金の抑止効果を維持するために、被申立人は、関連する投資家訴訟において、本訴訟における民事制裁金の支払い額の一部を補償的損害賠償の裁定額から相殺または減額する権利があると主張せず、また、その利益を得ないことに同意する。関連投資家訴訟の裁判所がペナルティ相殺を認めた場合、被申立人は、ペナルティ相殺を認める最終命令が下されてから30日以内に、本訴訟における委員会の弁護士に通知し、ペナルティ相殺の金額を証券取引委員会に支払うことに同意する。このような支払いは追加の民事制裁金とはみなされず、また本手続きで課された民事制裁金の額を変更するものとみなされない。本項の目的上、「関連する投資家訴訟」とは、本手続きで委員会が発令した命令で申し立てられた事実と実質的に同一の事実に基づき、1人以上の投資家または投資家を代表する者によって被申立人に対して提起された私的損害賠償訴訟を意味する。
D. Respondent acknowledges that the Commission is not imposing a civil penalty in excess of $990,000 based upon its cooperation in a Commission investigation. If at any time following the entry of the Order, the Division of Enforcement (“Division”) obtains information indicating that Respondent knowingly provided materially false or misleading information or materials to the Commission, or in a related proceeding, the Division may, at its sole discretion and with prior notice to the Respondent, petition the Commission to reopen this matter and seek an order directing that the Respondent pay an additional civil penalty, Respondent may contest by way of defense in any resulting administrative proceeding whether it knowingly provided materially false or misleading information, but may not: (1) contest the findings in the Order; or (2) assert any defense to liability or remedy, including, but not limited to, any statute of limitations defense.	D. 被申立人は、委員会の調査への協力にもとづいて、委員会が99万ドルを超える民事罰金を課すことはないと認める。命令が下された後、執行部（「ディビジョン」）が、被申立人が故意に、委員会に対して、または関連する訴訟手続きにおいて、実質的に虚偽または誤解を招く情報または資料を提供したことを示す情報を入手した場合、ディビジョンは、独自の裁量で、かつ事前に被申立人が故意に実質的に虚偽または誤解を招く情報を提供したかどうかについて、結果として生じる行政手続きにおいて防御の方法で争うことはできるが、(1) 命令の所見を争うこと、または (2) 責任または救済措置に対する防御を主張することはできない。
By the Commission.	委員会による。
Vanessa A. Countryman	ヴァネッサ・A・カントリーマン
Secretary	事務局長

[1] The findings herein are made pursuant to Respondent’s Offer and are not binding on any other person or entity in this or any other proceeding.	[1] 本調査結果は、被申立人の申し出に従って作成されたものであり、本件またはその他の訴訟手続きにおいて、他の個人または事業体を拘束するものではない。
[2] The term “threat actor” refers to an individual, group, organization, or government that conducts or has the intent to conduct unauthorized activities against the networks and data of or used by others.	[2] 「脅威行為者」とは、他者のネットワークやデータに対して、または他者が使用するネットワークやデータに対して、不正な行為を行う、または行う意図を持つ個人、グループ、組織、政府を指す。
[3] “Exgestion” is an internal Mimecast process that converts email data stored in Mimecast’s proprietary storage format into an open format for storage or use outside of Mimecast.	[3] 「Exgestion」とは、Mimecastの内部プロセスであり、Mimecastの専有ストレージ形式で保存されている電子メールデータを、Mimecast外での保存または使用を目的としたオープン形式に変換する。
[4] The term “credential” refers to a username and password combination or key used to access resources on a network. Compromised credentials are used by threat actors to gain unauthorized access to these resources. Different credentials have varying levels of access to and privileges on the network. For instance, administrative credentials generally have broader access to the network and allow the operator to take actions a standard user would not be able to take, such as adding new credentials or modifying the level of access for existing credentials, among other things. Generally, a threat actor that compromises more credentials and credentials with higher privileges will be more persistent and more difficult to eradicate from a network.	[4] 「認証情報」とは、ネットワーク上のリソースにアクセスするために使用されるユーザー名とパスワードの組み合わせまたはキーを指す。侵害された認証情報は、脅威行為者がこれらのリソースに不正アクセスするために使用される。異なる認証情報には、ネットワークへのアクセスレベルや特権レベルが異なる。例えば、管理用認証情報は一般的にネットワークへのアクセス範囲が広く、オペレーターは、新しい認証情報の追加や既存の認証情報のアクセスレベルの変更など、標準ユーザーにはできない操作を行うことができる。一般的に、より多くの認証情報とより高い権限を持つ認証情報を侵害する脅威行為者は、より執拗であり、ネットワークから根絶することがより困難である。
[5] The term “exfiltration” refers to the unauthorized transfer of data from an information system.	[5] 「エクスフィレーション」という用語は、情報システムからの不正なデータ転送を指す。
[6] Violations of Sections 17(a)(2) and 17(a)(3) of the Securities Act do not require scienter and may rest on a finding of negligence. See Aaron v. SEC, 446 U.S. 680, 685, 701-02 (1980).	[6] 証券取引法第 17 条 (a) (2) および (3) の違反には、悪意は必要なく、過失の認定で済む場合がある。Aaron v. SEC, 446 U.S. 680, 685, 701-02 (1980) を参照。

・[PDF] In the Matter of Unisys Corporation, Respondent.

UNITED STATES OF AMERICA	米国
Before the SECURITIES AND EXCHANGE COMMISSION	証券取引委員会
SECURITIES ACT OF 1933	1933年証券取引法
Release No. 11323 / October 22, 2024	リリース番号11323 / 2024年10月22日
SECURITIES EXCHANGE ACT OF 1934	1934年証券取引所法
Release No. 101401 / October 22, 2024	リリース番号101401 / 2024年10月22日
ADMINISTRATIVE PROCEEDING	行政手続き
File No. 3-22272	ファイル番号 3-22272
In the Matter of Unisys Corporation, Respondent.	Unisys社（被申立人）に対する事案
ORDER INSTITUTING CEASE-AND-DESIST PROCEEDINGS, PURSUANT TO SECTION 8A OF THE SECURITIES ACT OF 1933 AND SECTION 21C OF THE SECURITIES EXCHANGE ACT OF 1934, MAKING FINDINGS, AND IMPOSING A CEASE-AND-DESIST ORDER	1933年証券取引法第8条Aおよび1934年証券取引法第21条Cに基づく停止手続きの命令、事実認定、および停止命令の実施
I.	I.
The Securities and Exchange Commission (“Commission”) deems it appropriate that ceaseand-desist proceedings be, and hereby are, instituted pursuant to Section 8A of the Securities Act of 1933 (“Securities Act”) and Section 21C of the Securities Exchange Act of 1934 (“Exchange Act”) against Unisys Corporation (“Unisys” or “Respondent”).	証券取引委員会（以下「委員会」）は、1933年証券取引法（以下「証券取引法」）第8A条および1934年証券取引所法（以下「取引所法」）第21C条に基づき、Unisys社（以下「Unisys」または「被申立人」）に対する業務停止命令手続きを開始することが適切であると判断し、ここに手続きを開始する。
II.	II.
In anticipation of the institution of these proceedings, Respondent has submitted an Offer of Settlement (the “Offer”) which the Commission has determined to accept. Solely for the purpose of these proceedings and any other proceedings brought by or on behalf of the Commission, or to which the Commission is a party, and without admitting or denying the findings herein, except as to the Commission’s jurisdiction over it and the subject matter of these proceedings, which are admitted, Respondent consents to the entry of this Order Instituting Ceaseand-Desist Proceedings Pursuant to Section 8A of the Securities Act of 1933 and Section 21C of the Securities Exchange Act of 1934, Making Findings, and Imposing a Cease-And-Desist Order (“Order”), as set forth below.	被申立人は、委員会の調査への協力に基づき、委員会が 990,000 ドルを超える民事罰を課すことはないことを認めます。命令の発令後いつでも、執行部 (「部」) が、被申立人が委員会または関連手続きに重大な虚偽または誤解を招く情報または資料を故意に提供したことを示す情報を入手した場合、部は独自の裁量で、被申立人に事前に通知した上で、委員会にこの件を再開し、被申立人が追加の民事罰を支払うよう命じる命令を求めることができます。被申立人は、重大な虚偽または誤解を招く情報を故意に提供したかどうかを、結果として生じる行政手続きにおいて抗弁として争うことができますが、次の行為を行うことはできません。(1) 命令の認定に異議を唱える。(2) 時効の抗弁を含むがこれに限定されない、責任または救済に対する抗弁を主張する。
III.	III.
On the basis of this Order and Respondent’s Offer, the Commission finds[1] that:	本命令および被申立人の申し出に基づき、委員会は以下の事実を認定する[1]。
Summary	要約
1. This matter concerns materially misleading statements that Unisys, a global provider of technical and enterprise information technology (“IT”) services and solutions to large commercial enterprises and public sector entities, including global non-profit organizations, foreign, state, and local governments, and, for a period, the U.S. government, negligently made regarding cybersecurity risks and events, as well as Unisys’s violations of disclosure controls and procedures requirements.	1. 本件は、大規模な商業企業および公共部門の事業体（グローバルな非営利団体、外国政府、州政府、地方政府、および一時的に米国政府を含む）に技術およびエンタープライズIT（情報技術）サービスおよびソリューションを提供するグローバルプロバイダであるUnisysが、サイバーセキュリティリスクおよび事象に関して、また、開示管理および手続き要件に対する違反に関して、重大な誤解を招くような声明を不注意にも行ったことに関するものである。
2. In December 2020, Unisys identified one computer in its network that had a version of SolarWinds Orion software, which a likely nation-state threat actor[2] infected with malicious code that could have allowed for unauthorized activity on affected computers and their networks (“SolarWinds Compromise”). Unisys also received notifications about and discovered compromises of its environment likely by the same threat actor. The compromises of Unisys’s systems took place over a combined span of at least sixteen months starting in January 2020 and were persistent and impacted several parts of its corporate network and non-customer facing cloud environment. Specifically, the activity involved the compromise of at least seven network credentials3 and 34 cloud-based accounts, including those with administrative privileges, repeated connections into Unisys’s network with at least 33 gigabytes (“GB”) of data transferred, and access to cloud-based shared files and mailboxes, including those of senior IT personnel. Unisys was aware that its investigations of the compromise involved significant gaps in its ability to identify the full scope of the unauthorized activity due to the lack of availability of the forensic evidence.	2. 2020年12月、Unisysは、そのネットワーク内の1台のコンピュータがSolarWinds Orionソフトウェアのバージョンを搭載していることを識別した。これは、国家による脅威行為者である可能性が高い[2]者が、悪意のあるコードを感染させたものであり、これにより、影響を受けたコンピュータとそのネットワーク上で不正な活動が可能になる可能性があった（「SolarWindsの侵害」）。また、Unisysは、同じ脅威行為者による可能性が高い、自社の環境への侵害に関する通知を受け取り、侵害を発見した。Unisysのシステムへの侵入は、2020年1月から少なくとも16か月間にわたって行われ、持続的であり、同社の企業ネットワークおよび顧客向けではないクラウド環境の複数の部分に影響を与えた。具体的には、少なくとも7つのネットワーク認証情報3および管理権限を有するものを含む34のクラウドベースのアカウントが侵害され、少なくとも33ギガバイト（「GB」）のデータが転送され、Unisysのネットワークに繰り返し接続され、IT上級職員のものを含むクラウドベースの共有ファイルおよびメールボックスへのアクセスが行われた。Unisysは、不正侵入に関する調査では、法医学的証拠が入手できないため、不正な活動の全容を識別する能力に重大な欠陥があることを認識していた。
3. Unisys filed with the Commission annual reports on Form 10-K for fiscal years ended December 31, 2020 and 2021 that included cybersecurity risk disclosures that were materially misleading and not sufficiently tailored to its particular risks and incidents. In these disclosures, Unisys inaccurately described the existence of successful intrusions and the risk of unauthorized access to data and information in hypothetical terms, despite knowing that the above-described intrusions had actually happened and in fact involved unauthorized access and exfiltration of confidential and/or proprietary information.	3. Unisysは、2020年および2021年12月31日に終了した会計年度に関する年次報告書（フォーム10-K）を委員会に提出したが、その報告書には、同社の特定のリスクやインシデントに十分に適合しておらず、実質的に誤解を招くようなサイバーセキュリティリスクの開示が含まれていた。これらの開示において、Unisysは、実際に不正侵入が発生し、機密情報および/または専有情報の不正アクセスおよび流出が実際に発生していたことを認識していたにもかかわらず、侵入成功の事実およびデータおよび情報への不正アクセスのリスクを仮定の用語で不正確に説明した。
4. Unisys’s materially misleading statements resulted in part from the company’s failure to design controls and procedures to ensure (1) that information about potentially material cybersecurity incidents was timely recorded, processed, summarized and reported, within the time period specified as appropriate in the Commission’s rules and forms, and (2) that information was accumulated and communicated to the company’s management to allow timely decisions regarding required disclosures. As a result, decision makers failed at the time to reasonably assess the materiality of these events and new risks arising therefrom.	4. Unisysの重大な誤解を招くような声明は、(1) 潜在的に重大なサイバーセキュリティインシデントに関する情報が、委員会の規則およびフォームで適切と指定された期間内に、タイムリーに記録、処理、要約、報告されること、および (2) 情報が蓄積され、必要な開示に関するタイムリーな意思決定を可能にするために、会社の経営陣に伝えられることを確保するための統制および手続きを設計しなかったことによるものである。その結果、意思決定者は当時、これらの事象およびそこから生じる新たなリスクの重大性を合理的にアセスメントすることができなかった。
5. Separately, in July 2022, a separate threat actor—a Russian-speaking ransomware group—successfully compromised Unisys’s network and exfiltrated[3] certain cybersecurity and product and platform software code for products the company offers to its customers.	5. また、2022年7月には、別の脅威行為者であるロシア語を話すランサムウェアグループが、Unisysのネットワークに侵入し、同社が顧客に提供している製品に関するサイバーセキュリティおよび製品およびプラットフォームのソフトウェアコードを外部に持ち出した[3]。
6. Before December 2022, Unisys’s incident response policies did not reasonably require cybersecurity personnel to report information to Unisys’s disclosure decision makers and contained no criteria for determining which incidents or information should be reported outside the information security organization. Consequently, Unisys’s senior cybersecurity personnel repeatedly failed to report the above incidents to executive management and the legal department in a timely manner.	6. 2022年12月以前、Unisysのインシデント対応方針では、サイバーセキュリティ担当職員が情報をUnisysの公開決定者に報告することを合理的に要求しておらず、どのインシデントまたは情報を情報セキュリティ組織外に報告すべきかを判断する規準も含まれていなかった。その結果、Unisysの上級サイバーセキュリティ担当職員は、上記のインシデントを経営陣および法務部門に適時に報告しなかった。
7. As discussed in greater detail below, Unisys has taken a number of remedial steps, including enhancing its incident response policies and procedures in December 2022 and augmenting its cybersecurity personnel and tools. Also, after investigating the 2022 extortion event and its cybersecurity controls, Unisys publicly disclosed a material weakness in its disclosure controls and procedures and internal control over financial reporting related to the design and maintenance of effective formal policies and procedures over information being communicated by the IT function and the legal and compliance function to those responsible for governance to allow timely decisions related to both financial reporting and other non-financial reporting.	7. 下記でさらに詳しく説明するように、Unisysは、2022年12月にインシデント対応方針および手順を強化し、サイバーセキュリティ要員およびツールを増強するなど、多数の是正措置を講じてきた。また、2022年の恐喝事件とサイバーセキュリティ対策を調査した後、Unisysは、IT機能と法務・コンプライアンス機能からガバナンス担当者に伝達される情報に関する効果的な公式方針および手順の設計と保守に関連する、開示管理および手続き、ならびに財務報告およびその他の非財務報告に関する適時な意思決定を可能にするための財務報告に関する内部統制における重大な弱点を公表した。
8. Based on the foregoing conduct, and the conduct described herein below, Unisys violated Sections 17(a)(2) and 17(a)(3) of the Securities Act and Section 13(a) of the Exchange Act and Rules 12b-20, 13a-1, and 13a-15(a) thereunder.	8. 以上の行為および以下に述べる行為に基づき、Unisys は証券取引法第 17 条 (a) (2) および (3) ならびに取引所法第 13 条 (a) および同法に基づく規則 12b-20、13a-1、13a-15 (a) に違反した。
Respondent	被申立人
9. Unisys is a Delaware corporation with headquarters in Blue Bell, Pennsylvania. During all relevant times, its stock has traded on the New York Stock Exchange under the ticker symbol UIS, and its common stock was registered under Section 12(b) of the Exchange Act. Unisys is required to file with the Commission, among other things, annual reports on Form 10-K pursuant to Section 13 of the Exchange Act and Rule 13a-1 thereunder. Unisys’s information technology network and resources regularly stored and transmitted its customers’ data and information, in addition to Unisys’s own data and code.	9. Unisysは、ペンシルベニア州ブルーベルに本社を置くデラウェア州法人である。関連するすべての期間において、その株式はニューヨーク証券取引所でティッカーシンボルUISで取引されており、その普通株式は証券取引法第12(b)条に基づき登録されていた。Unisys社は、証券取引法第13条および同法に基づく規則13a-1に従い、委員会に様式10-Kによる年次報告書を提出することが義務付けられている。Unisys社の情報技術ネットワークおよびリソースは、Unisys社自身のデータおよびコードに加え、顧客のデータおよび情報を定期的に保存および送信していた。
Facts	事実
10. During the relevant time period, Unisys was a provider of technical and enterprise IT services and solutions to large commercial enterprises and public sector entities, including global non-profit organizations, foreign, state, and local governments, and, for a period, the U.S. government. It offered products and services for digital workplace solutions, cloud, applications and infrastructure solutions, and enterprise computing solutions.	10. 関連する期間中、Unisysは、大規模な商業企業および公共部門事業体（グローバルな非営利団体、外国政府、州政府、地方自治体、および米国政府を含む）に対して、技術およびエンタープライズITサービスおよびソリューションのプロバイダであった。同社は、デジタルワークプレイスソリューション、クラウド、アプリケーションおよびインフラソリューション、エンタープライズコンピューティングソリューション向けの製品およびサービスを提供していた。
SolarWinds Compromise-Related Activity	SolarWinds侵害関連の活動
11. In December 2020, Unisys identified an infected version of the SolarWinds software on at least one computer in its network. In a subsequent investigation, it learned that the infected software was loaded on seven dates (but found no evidence that the malicious implant was exploited by the SolarWinds threat actor) and that two other computers made one internet connection each to a known malicious command-and-control server via an internet browser (rather than an installation of the SolarWinds software). At the time of Unisys’s investigation, its logs and forensic evidence of possible compromise were insufficient to rule out unauthorized activity for some of the installations. The company retained a third-party service provider to review the available forensic evidence as well as additional forensic evidence the service provider maintained with respect to the Unisys network. The service provider did not identify evidence of exploitation or other additional activity involving the SolarWinds software or through the internet connections on the two computers, but recommended that the company conduct a forensic review of the three computers with evidence of potentially unauthorized activity. Unisys determined that the level and nature of known activity on these computers did not necessitate such additional investigation.	11. 2020年12月、Unisysは、同社のネットワーク内の少なくとも1台のコンピュータ上でSolarWindsソフトウェアの感染したバージョンを識別した。その後の調査で、感染したソフトウェアが7つの日付でロードされていたことが判明した（ただし、悪意のあるインプラントがSolarWindsの脅威行為者によって悪用された形跡は見つからなかった）。また、他の2台のコンピュータが、インターネットブラウザ（SolarWindsソフトウェアのインストールではなく）を介して、既知の悪意のあるコマンドアンドコントロールサーバーにそれぞれ1回ずつインターネット接続していたことも判明した。Unisysの調査時点では、侵害の可能性を示すログや法医学的証拠は、一部のインストールにおける不正な活動を排除するには不十分であった。同社はサードパーティのサービスプロバイダに、利用可能な法医学的証拠と、Unisysネットワークに関してサービスプロバイダが保持している追加の法医学的証拠の検証を依頼した。サービスプロバイダは、2台のコンピュータ上のSolarWindsソフトウェアまたはインターネット接続を介した悪用またはその他の追加活動の証拠を識別しなかったが、不正な可能性のある活動の証拠がある3台のコンピュータのフォレンジックレビューを実施するよう同社に推奨した。Unisysは、これらのコンピュータ上で確認された活動のレベルと性質から、追加調査は必要ないと判断した。
12. Throughout December 2020, Unisys learned that the threat actor behind the compromise of the SolarWinds Orion software was a hacking group likely associated with a nation-state. Public reports and commercial cybersecurity intelligence sources widely attributed the activity to the Russian Federation in late December 2020. On January 5, 2021, a joint public statement by the Federal Bureau of Investigation, the Office of the Director of National Intelligence, the National Security Agency, and the Cybersecurity and Infrastructure Security Agency attributed the attack to an intelligence gathering operation “likely Russian in origin.” The event impacted thousands of SolarWinds’ customers.	12. 2020年12月を通して、UnisysはSolarWinds Orionソフトウェアの侵害の背後にいる脅威行為者が国家と関連している可能性が高いハッキンググループであることを知った。2020年12月下旬には、公開された報告書や商業的なサイバーセキュリティ情報源が、この活動をロシア連邦の仕業であると広く伝えた。2021年1月5日、連邦捜査局、国家情報長官室、国家安全保障局、サイバーセキュリティ・インフラセキュリティ庁による共同声明では、この攻撃は「おそらくロシアが起源」の情報収集活動によるものとされた。この事件は、SolarWindsの数千もの顧客に影響を与えた。
13. On December 13, 2020, Unisys’s then-senior cybersecurity personnel received credible information that likely the same threat actor had compromised Unisys’s network and noncustomer facing cloud environment using means other than SolarWinds software beginning in February 2020. The company’s subsequent investigation uncovered evidence that the threat actor engaged in the following activities between January 2020 and February 2021: compromised at least three Unisys network user accounts and gained access to eight Unisys cloud-based user accounts, including accounts with global administrative privileges and the internal Unisys accounts of employees who serviced certain of the company’s customers; repeatedly initiated and completed Virtual Private Network (“VPN”) connections during which approximately 23GB of data was transferred to and approximately seven gigabytes was transferred from the company’s network; and accessed the contents of at least five cloud-based mailboxes, including high-level IT personnel and a Chief Information Officer for the company’s then federal government business. Unisys took various remedial measures after investigating the activity.	13. 2020年12月13日、Unisysの当時の上級サイバーセキュリティ担当者は、おそらく同じ脅威行為者が2020年2月からSolarWindsソフトウェア以外の手段を使用してUnisysのネットワークおよび顧客以外のクラウド環境を侵害した可能性が高いという信頼できる情報を入手した。その後の調査により、2020年1月から2021年2月の間に、脅威行為者が以下の活動を行っていた証拠が発見された。少なくとも3つのUnisysネットワークユーザーアカウントを侵害し、8つのUnisysクラウドベースのユーザーアカウント（グローバル管理権限を持つアカウントや、同社の一部の顧客を担当する従業員のアカウントを含む）にアクセスした。その間、約23GBのデータが同社のネットワークに転送され、約7ギガバイトが同社のネットワークから転送された。また、少なくとも5つのクラウドベースのメールボックスの内容にアクセスし、その中には、同社の当時の連邦政府事業におけるIT上級職員および最高情報責任者（CIO）のメールボックスも含まれていた。 Unisysは、この活動を調査した後、さまざまな是正措置を講じた。
14. In August 2021, Unisys received credible information that the same threat actor accessed the company’s VPN and non-customer facing cloud environment again between April and August 2021. The company’s investigation identified evidence of additional persistent unauthorized activity, compromise of least four network user accounts and 28 cloud-based accounts, access to 14 systems, repeated VPN sessions, and access to approximately 27,000 email messages and 130 cloud-based shared files. Unisys’s policies did not include adequate escalation procedures in the event of a cybersecurity incident, and Unisys cybersecurity personnel did not report this activity to senior management. Unisys also failed to review the contents of the messages and shared files until 2022, by which point only half of these documents remained available. Between April and August 2021, the threat actor exploited information obtained in 2020 about the Unisys network and at least one persistence mechanism the threat actor established in 2020, an authorization certificate for facilitating authorization for cloud-based applications, which the company failed to identify during its review of the 2020 activity.	14. 2021年8月、Unisysは、同じ脅威行為者が2021年4月から8月の間に再び同社のVPNおよび顧客向けではないクラウド環境にアクセスしたという信頼できる情報を受け取った。同社の調査により、さらに持続的な不正な活動、最低4つのネットワークユーザーアカウントと28のクラウドベースのアカウントの侵害、14のシステムへのアクセス、繰り返されるVPNセッション、およそ27,000件の電子メールメッセージと130のクラウドベースの共有ファイルへのアクセスなどの証拠が識別された。Unisysのポリシーには、サイバーセキュリティインシデント発生時の適切なエスカレーション手順が含まれておらず、Unisysのサイバーセキュリティ担当者はこの活動を上級管理職に報告していなかった。また、Unisysは2022年までメッセージや共有ファイルの内容を確認しておらず、その時点でこれらの文書の半分しか利用できなくなっていた。2021年4月から8月の間、脅威行為者は、2020年にUnisysネットワークについて入手した情報と、脅威行為者が2020年に確立した少なくとも1つの持続的メカニズム、すなわち、クラウドベースのアプリケーションの認可を容易にするための認可証明書を悪用した。同社は、2020年の活動のレビュー中にこれを識別できなかった。
15. In April 2023, Unisys received yet another notification of unauthorized activity by likely the same threat actor. Unisys’s investigation determined that the threat actor attempted but failed to access company resources at that time. However, after receipt of new information from law enforcement in May 2023, the company determined that the same threat actor accessed its noncustomer facing cloud environment with administrative privileges for approximately a month, activity which Unisys was not aware of previously. During this activity, the threat actor again likely used another persistence mechanism it had established in 2020: a second authorization certificate introduced in 2020, which allowed the threat actor to grant administrative privileges to an application in 2023, and which Unisys failed to identify during its review of the 2020 and 2021 activity. Unisys’s cybersecurity personnel reported this activity to senior management the same day they received the notification.	15. 2023年4月、Unisysは、おそらく同じ脅威行為者による、さらに別の不正行為の通知を受けた。Unisysの調査により、その時点で脅威行為者は同社のリソースへのアクセスを試みたが失敗したことが判明した。しかし、2023年5月に法執行機関から新たな情報を入手した後、同社は、同じ脅威行為者が顧客向けではないクラウド環境に管理特権で約1か月間アクセスしていたことを突き止めた。この活動は、Unisysがそれまで認識していなかったものだった。この活動中、脅威行為者は2020年に確立した別の持続的メカニズムを再び使用した可能性が高い。2020年に導入された2つ目の認可証明書は、脅威行為者が2023年にアプリケーションに管理権限を付与することを可能にするもので、Unisysは2020年と2021年の活動のレビュー中にこれを識別できなかった。Unisysのサイバーセキュリティ担当者は、この活動について通知を受けた当日に上級管理職に報告した。
16. Unisys’s investigations of these incidents consisted of reviewing forensic evidence on the infected computers and logs of network and cloud activity. However, at the time of the investigations, the company lacked visibility into the incidents due to a number of factors. For example, the company could not identify all of the relevant activity and mechanisms of persistence because it did not have access to logs and forensic evidence covering the full scope of the activity.	16. これらのインシデントに関するUnisysの調査は、感染したコンピュータ上のフォレンジック証拠とネットワークおよびクラウド活動のログのレビューから構成されていた。しかし、調査当時、同社は複数の要因により、インシデントを把握できていなかった。例えば、同社は、活動の全範囲をカバーするログやフォレンジック証拠にアクセスできなかったため、関連する活動や持続的なメカニズムのすべてを識別できなかった。
Unisys’s Materially Misleading Cybersecurity Risk Disclosures	Unisysの実質的に誤解を招くサイバーセキュリティリスクの開示
17. As a provider of technical and enterprise IT services and solutions to large commercial enterprises and public sector entities, including global non-profit organizations; foreign, state, and local governments; and, for a period, the U.S. government, Unisys’s ability to protect information and data stored on and transmitted over its network was critically important to its reputation and ability to attract and retain customers and to investors. Moreover, Unisys’s information and data were of great interest to state-sponsored cyber threat actors, such as the threat actor likely behind the SolarWinds Compromise.	17. Unisysは、大規模な民間企業や公共部門事業体（グローバルな非営利団体、外国政府、州政府、地方自治体、および一定期間米国政府を含む）に技術的およびエンタープライズITサービスおよびソリューションを提供するプロバイダであるため、Unisysのネットワーク上に保存され、ネットワークを介して送信される情報およびデータの防御能力は、Unisysの評判および顧客や投資家の獲得・維持能力にとって極めて重要である。さらに、Unisysの情報およびデータは、SolarWinds Compromiseの背後にいる可能性が高い脅威行為者など、国家支援のサイバー脅威行為者にとって大きな関心事であった。
18. Unisys’s cybersecurity risk profile changed materially as a result of the SolarWinds Compromise-related activity for the following reasons: (1) a persistent and reportedly nation-statesupported threat actor compromised the company’s environment; (2) the threat actor persisted in the environment unmonitored for a combined span of at least sixteen months; and (3) the company’s investigation of the activity suffered from gaps that prevented it from identifying the full scope of the compromise.	18. SolarWinds Compromise関連の活動の結果、Unisysのサイバーセキュリティリスクプロファイルは、以下の理由により、大幅に変化した。(1) 持続的で、国家支援を受けているとされる脅威行為者が同社の環境を侵害したこと、(2) その脅威行為者は少なくとも16か月間、監視されないまま環境内に存在し続けたこと、(3) 同社の活動調査には不備があり、侵害の全容を識別できなかったこと、である。
19. On February 26, 2021 and February 22, 2022, Unisys filed its annual reports for the years ending 2020 and 2021, respectively, on Form 10-K with the Commission. In both reports, Unisys negligently framed risks from cybersecurity events as hypothetical despite the company’s awareness of the SolarWinds Compromise-related activity, thereby rendering these disclosures materially misleading. For example, these disclosures stated that cyberattacks “could … result in the loss … or the unauthorized disclosure or misuse of information of the company” and that “[i]f our systems are accessed without our authorization … we could … experience data loss and impediments to our ability to conduct our business, and damage the market’s perception of our services and products.” (Emphasis added). Moreover, Unisys’s disclosures on Forms 10-K for years 2020 and 2021 were substantially unchanged from those on its Form 10-K for 2019, which were made before discovering the information described above about the SolarWinds Compromise-related activity.	19. 2021年2月26日および2022年2月22日、Unisysは、それぞれ2020年および2021年に終了する年度の年次報告書を、フォーム10-Kで委員会に提出した。両報告書において、Unisysは、SolarWindsの侵害に関連する活動について認識していたにもかかわらず、サイバーセキュリティイベントによるリスクを仮説として不適切に表現したため、これらの開示は実質的に誤解を招くものとなった。例えば、これらの開示では、サイバー攻撃は「…会社の情報の損失…または不正な開示や悪用につながる可能性がある」と述べられており、「当社のシステムが当社の認可なしにアクセスされた場合、当社は…データの損失や当社の事業遂行能力の妨げを経験し、当社のサービスや製品に対する市場の認識に損害を与える可能性がある」と述べられている。（強調表示）。さらに、Unisysの2020年および2021年のフォーム10-Kの開示内容は、SolarWindsの侵害関連活動に関する前述の情報が発見される前に作成された2019年のフォーム10-Kの開示内容と実質的に変わらなかった。
20. Throughout the periods discussed above, including following the filing of the above-discussed Forms 10-K for the years ending 2020 and 2021, Unisys offered and sold securities to certain of its employees through grants of restricted stock units.	20. 上記で言及した期間全体を通じて、2020年および2021年に終了する年度に関する上記で言及したフォーム10-Kの提出後も含め、Unisysは制限付き株式単位の付与を通じて、特定の従業員に有価証券を提供し、販売した。
2022 Extortion Event	2022年の恐喝事件
21. Between July 7 and 12, 2022, Unisys’s internal cybersecurity systems issued at least 10 alerts about the presence and execution of powerful password-stealing malware, Mimikatz, on seven computers in its non-customer facing software development network. Unisys’s cybersecurity personnel were not sufficiently familiar with the format of the alerts and erroneously believed that the malware was deployed on only one machine and only on July 7, 2022. The company’s cybersecurity personnel also assigned a low priority to the activity because one of the alerts stated that the malware was quarantined. As a result, no cybersecurity personnel took steps to investigate the activity until July 13, almost a week after the initial alert.	21. 2022年7月7日から12日にかけて、Unisysの社内サイバーセキュリティシステムが、顧客向けではないソフトウェア開発ネットワーク上の7台のコンピュータに強力なパスワード盗難マルウェア「Mimikatz」が存在し、実行されていることについて、少なくとも10件の警告を発した。Unisysのサイバーセキュリティ担当者は、警告のフォーマットに十分に精通しておらず、誤ってマルウェアが1台のマシンにのみ、2022年7月7日にのみ展開されたと信じていた。また、同社のサイバーセキュリティ担当者は、警告の1つにマルウェアが隔離されたと記載されていたため、その活動に低い優先度を割り当てた。その結果、最初の警告からほぼ1週間後の7月13日まで、サイバーセキュリティ担当者はその活動を調査するための措置を講じなかった。
22. Unisys’s cybersecurity personnel determined on July 14, 2022 that the malware was not in fact quarantined, and it conducted additional investigation and identified an active intrusion by another threat actor, a Russian-speaking ransomware group. The next day, Unisys took the compromised lab network off the internet. However, during the eight days between the initial alerts and Unisys’s disconnection of the network, the threat actor exfiltrated certain cybersecurity and product and platform software code for products the company offers to its customers. Unisys notified criminal law enforcement as part of its incident response.	22. 2022年7月14日、Unisysのサイバーセキュリティ担当者は、マルウェアは実際には隔離されていなかったと判断し、追加調査を実施して、別の脅威行為者であるロシア語を話すランサムウェアグループによるアクティブな侵入を識別した。翌日、Unisysは侵害されたラボのネットワークをインターネットから遮断した。しかし、最初の警告からUnisysがネットワークを遮断するまでの8日間、脅威行為者は、同社が顧客に提供している製品に関するサイバーセキュリティおよび製品・プラットフォームのソフトウェアコードを外部に持ち出した。Unisysはインシデント対応の一環として、刑事司法当局に通知した。
23. By July 22, 2022, Unisys identified evidence of this code exfiltration and in fact found a copy of the code on a threat actor-controlled server on the internet. Unisys cybersecurity personnel initially believed that they were able to remove the code from the threat actor-controlled server. However, on July 25 and 30, 2022, the threat actor provided evidence to Unisys that it still had a copy of the code. In addition, on August 3, 2022, in an effort to pressure Unisys into paying a ransom, the threat actor briefly posted on its darkweb site a message alleging that it had exfiltrated all of Unisys’s code. The post was up for less than one hour and did not receive media coverage.	23. 2022年7月22日までに、Unisysは、このコードの外部流出の証拠を識別し、実際には、インターネット上の脅威行為者が管理するサーバー上にそのコードのコピーを発見した。Unisysのサイバーセキュリティ担当者は当初、脅威行為者が管理するサーバーからそのコードを削除できたと考えていた。しかし、2022年7月25日と30日に、脅威行為者は、コードのコピーを依然として保持しているという証拠をUnisysに提供した。さらに、2022年8月3日には、身代金を支払わせるために、脅威行為者は、Unisysのコードをすべて窃取したと主張するメッセージをダークウェブサイトに一時的に投稿した。この投稿は1時間足らずで削除され、メディアの報道もなかった。
24. In the course of the incident, Unisys discovered that its endpoint detection and response system was not set up properly to automatically send alerts to its centralized Security Information and Event Management system, which Unisys’s policies and procedures required to be monitored regularly by cybersecurity personnel. Unisys was unable to determine how long the misconfiguration persisted and how many alerts were not reviewed by cybersecurity personnel as a result.	24. インシデントの過程で、Unisysは、同社のエンドポイント検知および対応システムが、サイバーセキュリティ担当職員が定期的に監視することがUnisysのポリシーおよび手順で義務付けられている、同社の集中セキュリティ情報およびイベント管理システムに自動的にアラートを送信するように適切に設定されていなかったことを発見した。Unisysは、この設定ミスがどのくらいの期間継続していたのか、またその結果、サイバーセキュリティ担当者が確認しなかったアラートの数がどのくらいあったのかを特定できなかった。
25. On November 21, 2022, after investigating the 2022 extortion event and its cybersecurity controls, Unisys filed with the Commission a Form 8-K that disclosed a material weakness in its disclosure controls and procedures and internal control over financial reporting related to the design and maintenance of effective formal policies and procedures over information being communicated by the IT function and the legal and compliance function to those responsible for governance to allow timely decisions related to both financial reporting and other non-financial reporting. Unisys also implemented certain remediation measures.	25. 2022年11月21日、2022年の恐喝事件とサイバーセキュリティ対策を調査した後、Unisysは、開示管理および手続き IT機能および法務・コンプライアンス機能からガバナンス担当者に伝達される情報の効果的な公式方針および手続きの設計と保守に関連する財務報告およびその他の非財務報告の両方に関する適時な意思決定を可能にするための開示統制および手続き、ならびに財務報告に関する内部統制に重大な欠陥があることを開示した。また、Unisysは特定の是正措置も実施した。
Unisys’s Failure to Maintain Disclosure Controls and Procedures	開示統制および手続きの維持を怠ったこと
26. Unisys’s cybersecurity personnel failed to report the 2020 and 2021 activity to disclosure decision-makers until a year after discovering it, and the 2022 extortion incident until the hackers’ public statement. At the time of these events, Unisys did not maintain effective controls requiring escalation of potentially material incidents to senior management and disclosure decision-makers. At the same time, Unisys did not have controls and procedures designed to ensure that its disclosure decision-makers reviewed cybersecurity incident information in Unisys’s possession in order to determine which information about the incident may be required to be disclosed in Commission filings. Accordingly, despite the importance of data integrity and confidentiality to Unisys, the company failed to maintain disclosure controls and procedures designed to ensure that information around material cybersecurity incidents was, among other things, reported to management responsible for disclosures and therefore timely reported to investors. Specifically, Unisys’s deficient controls contributed to Unisys’s materially misleading risk factor disclosures for the years ending 2020 and 2021.	26. Unisysのサイバーセキュリティ担当者は、2020年と2021年の活動を、発見から1年が経過するまで開示の意思決定者に報告せず、2022年の恐喝事件についてはハッカーの公表声明まで報告しなかった。これらの事象が発生した当時、Unisysは、潜在的に重要なインシデントを経営陣および開示の意思決定者に報告することを義務付ける有効な統制を維持していなかった。同時に、Unisysは、開示の意思決定者が、委員会への提出書類で開示が必要となる可能性があるインシデントに関する情報を決定するために、Unisysが保有するサイバーセキュリティインシデント情報を確認することを保証する管理および手続きを整備していなかった。したがって、データ完全性と機密性がUnisysにとって重要であるにもかかわらず、同社は、重要なサイバーセキュリティインシデントに関する情報が、開示責任者である経営陣に報告され、その結果、投資家に適時に報告されることを保証するための開示管理および手続きを維持できなかった。具体的には、Unisysの不十分な管理が、2020年および2021年に終了する年度におけるUnisysの重大な誤解を招くリスク要因の開示につながった。
27. Following its disclosure of a material weakness on November 21, 2022, Unisys took steps to remediate its control deficiencies, including enhancing cyber-related policies and procedures and augmenting its cybersecurity personnel and tools, both internally and externally.	27. 2022年11月21日に重大な欠陥の開示を行った後、Unisysは、サイバー関連のポリシーおよび手続きの強化、社内外のサイバーセキュリティ要員およびツールの増強など、統制の欠陥を是正するための措置を講じた。
Violations	違反
28. As a result of the conduct described above, Unisys violated Section 17(a)(2) of the Securities Act, which proscribes, in the offer or sale of a security, obtaining “money or property by means of any untrue statement of a material fact or any omission to state a material fact necessary in order to make the statements made, in light of the circumstances under which they were made, not misleading.”	28. 上記の行為の結果、Unisysは証券法第17条(a)(2)項に違反した。同項は、証券の提供または販売において、「状況を考慮した上で、提供された情報が誤解を招かないように、重要な事実について虚偽の陳述を行う、または重要な事実の陳述を省略することによって、金銭または財産を得る」ことを禁じている。
29. As a result of the conduct described above, Unisys violated Section 17(a)(3) of the Securities Act, which makes it unlawful for any person in the offer or sale of a security to engage “in any transaction, practice, or course of business which operates or would operate as a fraud or deceit upon the purchaser.”[4]	29. 上述の行為の結果、Unisysは証券法第17条(a)(3)に違反した。同条項は、証券の提供または販売において、「購入者に対する詐欺または欺瞞として機能する、または機能する可能性のある取引、慣行、または事業活動」に従事することを違法としている。[4]
30. As a result of the conduct described above, Unisys violated Section 13(a) of the	30.上述の行為の結果、Unisysは証券取引法第13条(a)および
Exchange Act and Rule 13a-1 thereunder, which require issuers of a security registered pursuant to Section 12 of the Exchange Act to file with the Commission annual reports in conformity with the Commission’s rules and regulations. Unisys also violated Rule 12b-20 of the Exchange Act, which, among other things, requires such issuers to include in annual reports filed with the Commission any material information necessary to make the required statements in the filing not misleading.	証券取引法第 12 条に従って登録された証券の発行者は、証券取引委員会の規則および規制に準拠した年次報告書を委員会に提出しなければならない。また、Unisys は証券取引法第 12b-20 条にも違反した。同条は、特に、委員会に提出する年次報告書に、虚偽記載とならないよう必要な記載を行うために必要なあらゆる重要な情報を記載することを、かかる発行者に義務付けている。
31. As a result of the conduct described above, Unisys violated Exchange Act Rule	31. 上記の行為の結果、Unisysは証券取引法規則
13a-15(a), which requires issuers with a security registered pursuant to Section 12 of the Exchange Act to maintain disclosure controls and procedures designed to ensure that information required to be disclosed by an issuer in reports it files or submits under the Exchange Act is recorded, processed, summarized, and reported within the time periods specified in the Commission’s rules and forms.	13a-15(a)に違反した。同規則は、証券取引法第12条に従って登録された証券の発行者に対し、証券取引法に基づき提出または提出する報告書において発行者が開示を義務付けられている情報が、委員会の規則および様式で指定された期間内に記録、処理、要約、報告されることを確保するための開示管理および手続きを維持することを義務付けている。
Unisys’s Cooperation	Unisysの協力
32. In determining to accept the Offer, the Commission considered remedial acts undertaken by Unisys and Unisys’s cooperation afforded the Commission staff. This cooperation included providing the staff with several lengthy and detailed presentations, as well as summaries of specific factual issues and additional information, which furthered the efficiency of the staff’s investigation. In addition, Unisys took certain steps to remediate its control deficiencies, including enhancing disclosure policies and procedures and augmenting its cybersecurity personnel and tools, both internally and externally, to strengthen its cybersecurity risk management and protections.	32. 委員会は、本公開買付けの受け入れを決定するにあたり、Unisysが実施した是正措置およびUnisysが委員会スタッフに提供した協力について考慮した。この協力には、スタッフに対する複数の長文かつ詳細なプレゼンテーションの提供、および特定の事実問題の要約と追加情報の提供が含まれ、これらはスタッフの調査の効率化に貢献した。さらに、Unisysは、開示方針および手続きの強化、およびサイバーセキュリティリスクマネジメントと防御の強化を目的とした社内外のサイバーセキュリティ要員とツールの増強など、統制上の不備を是正するための措置を講じた。
Undertakings	約束
Unisys has undertaken to complete the following actions:	Unisysは、以下の行動を完了することを約束した。
Cooperation	協力
33. Unisys undertakes to cooperate fully with the Commission in any and all investigations, litigations or other proceedings relating to or arising from the matters described in the Order.	33. Unisysは、本命令に記載された事項に関連する、またはそこから生じるあらゆる調査、訴訟、その他の手続きにおいて、欧州委員会に全面的に協力することを約束する。
In determining to accept the Offer, the Commission has considered these undertakings.	欧州委員会は、本買収提案を受理する決定を行うにあたり、これらの約束を考慮した。
IV.	IV.
In view of the foregoing, the Commission deems it appropriate and in the public interest to impose the sanctions agreed to in Respondent’s Offer.	以上のことから、欧州委員会は、被申立人の買収提案で合意された制裁を課すことが適切であり、公共の利益にかなうと判断する。
Accordingly, it is hereby ORDERED that:	したがって、以下の命令を下す。
A. Pursuant to Section 8A of the Securities Act and Section 21C of the Exchange Act,	A. 証券取引法第8A条および証券取引法第21C条に基づき、
Respondent cease and desist from committing or causing any violations and any future violations of Sections 17(a)(2) and 17(a)(3) of the Securities Act, Section 13(a) of the Exchange Act, and Rules 12b-20, 13a-1 and 13a-15(a) thereunder.	被申立人は、証券取引法第17条(a)(2)および(3)、証券取引法第13条(a)、およびそれらに基づく規則12b-20、13a-1、13a-15(a)の違反および将来の違反を犯すこと、または違反を引き起こすことを中止すること。
B. Respondent shall, within 10 days of the entry of this Order, pay a civil money penalty in the amount of $4,000,000 to the Securities and Exchange Commission for transfer to the general fund of the United States Treasury, subject to Exchange Act Section 21F(g)(3). If timely payment is not made, additional interest shall accrue pursuant to 31 U.S.C. §3717. Payment must be made in one of the following ways:	B. 被申立人は、本命令が発令されてから10日以内に、証券取引法第21F条(g)(3)に従い、民事制裁金400万ドルを米国証券取引委員会に支払い、米国財務省一般資金に振り替えるものとする。期限内に支払いがなされない場合、31 U.S.C. §3717に従い追加利息が発生する。支払いは以下のいずれかの方法で行う必要がある。
(1) Respondent may transmit payment electronically to the Commission, which will provide detailed ACH transfer/Fedwire instructions upon request;	(1) 被申立人は、委員会に電子的に支払いを送金することができる。委員会は、要請に応じて、ACH送金/Fedwire送金の詳細な指示を提供する。
(2) Respondent may make direct payment from a bank account via Pay.gov through the SEC website at [web] ; or	(2) 被申立人は、SECのウェブサイト[web] を通じて、銀行口座から直接支払うことができる。または
(3) Respondent may pay by certified check, bank cashier’s check, or United States postal money order, made payable to the Securities and Exchange Commission and hand-delivered or mailed to:	(3) 被申立人は、証券取引委員会宛てに作成された保証小切手、銀行小切手、または米国郵便為替により支払い、以下の住所に手渡しまたは郵送することができる。
Enterprise Services Center	エンタープライズサービスセンター
Accounts Receivable Branch	売掛金部門
HQ Bldg., Room 181, AMZ-341	HQビル、ルーム181、AMZ-341
6500 South MacArthur Boulevard	6500サウスマッカーサー大通り
Oklahoma City, OK 73169	オクラホマシティ、オクラホマ州73169
Payments by check or money order must be accompanied by a cover letter identifying Unisys Corporation as a Respondent in these proceedings, and the file number of these proceedings; a copy of the cover letter and check or money order must be sent to Jorge Tenreiro, Acting Unit Chief, Crypto Assets and Cyber Unit, Division of Enforcement, Securities and Exchange Commission, 100 Pearl Street, Suite 20-100, New York, NY 10004-261.	小切手または郵便為替による支払いは、本訴訟における被申立人としてUnisys Corporationを識別し、本訴訟のファイル番号を記載したカバーレターを添付しなければならない。カバーレターと小切手または郵便為替のコピーは、Jorge Tenreiroに送付しなければならない。証券取引委員会執行部暗号資産およびサイバーユニット暫定ユニットチーフ、ホルヘ・テンレイロ宛てに送付すること。
C. Amounts ordered to be paid as civil money penalties pursuant to this Order shall be treated as penalties paid to the government for all purposes, including all tax purposes. To preserve the deterrent effect of the civil penalty, Respondent agrees that in any Related Investor Action, it shall not argue that it is entitled to, nor shall it benefit by, offset or reduction of any award of compensatory damages by the amount of any part of Respondent’s payment of a civil penalty in this action (“Penalty Offset”). If the court in any Related Investor Action grants such a Penalty Offset, Respondent agrees that it shall, within 30 days after entry of a final order granting the Penalty Offset, notify the Commission's counsel in this action and pay the amount of the Penalty Offset to the Securities and Exchange Commission. Such a payment shall not be deemed an additional civil penalty and shall not be deemed to change the amount of the civil penalty imposed in this proceeding. For purposes of this paragraph, a “Related Investor Action” means a private damages action brought against Respondent by or on behalf of one or more investors based on substantially the same facts as alleged in the Order instituted by the Commission in this proceeding.	C. 本命令に従って民事制裁金として支払いが命じられた金額は、すべての税務目的を含むあらゆる目的で政府に支払われた罰金として扱われるものとする。民事制裁金の抑止効果を維持するために、被申立人は、関連する投資家訴訟において、本訴訟における民事制裁金の支払い額の一部を補償的損害賠償の裁定額から相殺または減額する権利があると主張せず、また、その利益を得ないことに同意する。関連投資家訴訟の裁判所がペナルティ相殺を認めた場合、被申立人は、ペナルティ相殺を認める最終命令が下されてから30日以内に、本訴訟における委員会の弁護士に通知し、ペナルティ相殺の金額を証券取引委員会に支払うことに同意する。このような支払いは追加の民事制裁金とはみなされず、また本手続きで課された民事制裁金の額を変更するものとみなされない。本項の目的上、「関連する投資家訴訟」とは、本手続きで委員会が開始した命令で申し立てられた事実と実質的に同一の事実に基づき、1人以上の投資家または投資家を代表して被申立人に対して起こされた私的損害賠償訴訟を意味する。
D. Respondent acknowledges that the Commission is not imposing a civil penalty in excess of $4,000,000 based upon its agreement to cooperate in a Commission investigation or related enforcement action. If at any time following the entry of the Order, the Division of Enforcement (“Division”) obtains information indicating that Respondent knowingly provided materially false or misleading information or materials to the Commission, or in a related proceeding, the Division may, at its sole discretion and with prior notice to the Respondent, petition the Commission to reopen this matter and seek an order directing that the Respondent pay an additional civil penalty, Respondent may contest by way of defense in any resulting administrative proceeding whether it knowingly provided materially false or misleading information, but may not: (1) contest the findings in the Order; or (2) assert any defense to liability or remedy, including, but not limited to, any statute of limitations defense.	D. 被申立人は、委員会の調査または関連する執行措置に協力することへの同意を理由に、委員会が400万ドルを超える民事制裁金を課さないことを認める。本命令の発行後、執行部（「ディビジョン」）が、被申立人が故意に委員会に実質的に虚偽または誤解を招く情報または資料を提供したことを示す情報を入手した場合、または関連する訴訟手続きにおいて、ディビジョンは独自の裁量により、事前に被申立人が故意に重大な虚偽または誤解を招く情報を提供したかどうかについて、結果として生じる行政手続きにおいて防御の方法で争うことはできるが、(1) 命令における調査結果に異議を唱えること、または (2) 責任または救済措置に対する防御を主張することはできない。
By the Commission.	委員会による。
Vanessa A. Countryman	ヴァネッサ・A・カントリーマン
Secretary	事務局長

[1] The findings herein are made pursuant to Respondent’s Offer and are not binding on any other person or entity in this or any other proceeding.	[1] 本調査結果は、被申立人の申し出に従って作成されたものであり、本件またはその他の訴訟手続きにおいて、他の個人または事業体を拘束するものではない。
[2] The term “threat actor” refers to an individual, group, organization, or government that conducts or has the intent to conduct unauthorized activities against the networks and data of or used by others. 3 The term “credential” refers to a username and password combination or key used to access resources on a network. Compromised credentials are used by threat actors to gain unauthorized access to these resources. Different credentials have varying levels of access to and privileges on the network. For instance, administrative credentials generally have broader access to the network or to specific systems or applications and allow the operator to take actions a standard user would not be able to take, such as adding new credentials or modifying the level of access for existing credentials, among other things, depending on the type of administrative credential. Generally, a threat actor that compromises more credentials and credentials with higher privileges will be more persistent and more difficult to eradicate from a network.	[2] 「脅威行為者」とは、他者のネットワークやデータ、または他者が使用するネットワークやデータに対して、不正な行為を行う、または行う意図を持つ個人、グループ、組織、政府を指す。 3 「認証情報」とは、ネットワーク上のリソースにアクセスするために使用されるユーザー名とパスワードの組み合わせ、またはキーを指す。侵害された認証情報は、脅威行為者がこれらのリソースに不正にアクセスするために使用される。認証情報によって、ネットワークへのアクセスレベルや特権は異なる。例えば、管理用認証情報は一般的に、ネットワークや特定のシステム、アプリケーションへのより広範なアクセスを可能にし、標準ユーザーにはできない操作、例えば、新しい認証情報の追加や既存の認証情報のアクセスレベルの変更など（管理用認証情報の種類によって異なる）をオペレーターに許可する。一般的に、より多くの認証情報やより高い権限を持つ認証情報を侵害する脅威行為者は、より執拗であり、ネットワークから根絶することがより困難である。
[3] The term “exfiltration” refers to the unauthorized transfer of data from an information system.	[3] 「エクスフィレーション」とは、情報システムからの不正なデータ転送を指す。
[4] Negligence is sufficient to establish violations of Sections 17(a)(2) and 17(a)(3). Aaron v. SEC, 446 U.S. 680, 697 (1980).	[4] 過失は、第17条(a)(2)および第17条(a)(3)の違反を立証するのに十分である。Aaron v. SEC, 446 U.S. 680, 697 (1980).

2024.10.25 01:46 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント | Permalink
Tweet

まるちゃんの情報セキュリティ気まぐれ日記

サイト内検索

Archives

Categories

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

2024.10.25

米国 SEC Unisys、Checkpointほか、年次報告書における誤解を与えるセキュリティ開示で罰金を支払う...

Comments

Post a comment

ココログ

まるちゃん

関連団体

情報法関連Blog

情報法 Web

セキュリティ Blog

セキュリティ web

内部統制