CrowdStrike Blog:企業買収に伴うサイバーリスク回避方法 ~ 企業の「侵害」まで M&A してしまわない実務手順 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.23(月)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

CrowdStrike Blog:企業買収に伴うサイバーリスク回避方法 ~ 企業の「侵害」まで M&A してしまわない実務手順

変革を遂行するには、予算、計画、コミュニケーションなどが必要となります。しかし、リスクに関する注意喚起が無視され、後になって問題が発覚することがよくあります。最近のニュースでは、M&Aによって侵害が継承された例が頻繁に取り上げられています。

国際 海外情報
 親というものは、自分の子供が絶対的に可愛いと信じこむ先天的な性質を持っています。自分の子供が、食べて、寝て、泣いているだけの小さな物体でしかない頃から、自分の子供がこれまで見たことのないほど可愛らしい赤ん坊だと断言するものです。

 一部の企業は M&A を通じて成長します。買収側の企業は、さしずめ親のような存在です。買収側の企業(親)は、さまざまなデューデリジェンスを実施して買収対象の企業(赤ん坊)が自分たちにとって十分に好ましいか(可愛いか)を判断します。成長性は? 好ましい。収益性は? 好ましい。資本構成は? 好ましい。規模、流動性、企業価値は? すべて好ましい!買収が成立すると、可愛い赤ちゃんはあなたのものになります。

 しかし、買収した企業が思っていたほど好ましいものではなかったらどうしますか?たとえば、その企業のネットワークが完全に侵害されていたとしたら?

 私たち CrowdStrike は、あなたの赤ちゃんを不細工などと言うことは決してありません。買収側の企業が買収によって幸せになれるよう、お手伝いをしたいと思っています。基本的なセキュリティ、検知と防御、適切なインシデントレスポンス戦略、そしてクリーンな環境 - 理想的には、買収によってこれらすべてが実現されるべきです。

 これについては、CrowdStrike の以前のブログでも論じています。そこでは、新たに手に入れた事業を急いで統合しようとするのは危険である理由を説明しています。しかし、企業のサイバーセキュリティにおいては、ソートリーダーシップと実際の行動の間にタイムラグが生じるのが一般的です。変革を遂行するには、予算、計画、コミュニケーションなどが必要となります。しかし、リスクに関する注意喚起が無視され、後になって問題が発覚することがよくあります。最近のニュースでは、M&Aによって侵害が継承された例が頻繁に取り上げられています。

 最近、M&A を通じて積極的な成長戦略を推進する企業とやり取りする中で、買収側であるこの企業は、買収対象企業のサイバーセキュリティ体制を、その財務面と同じレベルでは評価していないことに気づきました。企業はそのために何が起きるかを把握しないままに、多大なリスクを受け入れていたことになります。我々は、今後買収を行う前にはどの案件においてもサイバーセキュリティに関する評価を行うことを勧めました。そして、この企業は私たちの助言を受け入れ、次の買収の際にその助言に従いました。

 すると、どのような結果になったでしょうか。

初期のヘルスチェック(成熟度評価)

 CrowdStrike は、買収側企業に対し、サイバーセキュリティ成熟度評価(CSMA:cybersecurity maturity assessment)を実施し、さまざまな推奨事項を伝えました。その中には、被買収企業のサイバーセキュリティに関する健全性分析を行うことが含まれています。

 被買収企業のネットワークの侵害状況を調べるために、侵害調査(CA:compromise assessment)を実施し、すべてのシステムのアクティビティに対する完全な可視性を得る必要がありました。我々は、CrowdStrike Falcon プラットフォームと Falcon Forensic Collector(FFC)という 2 つのツールを各システムに展開しました。Falcon endpoint detection and response(EDR)テクノロジーによって、ほぼリアルタイムでシステムの可視性が得られ、攻撃の兆候(IOA)や侵害の兆候(IOC)、プロアクティブな脅威ハンティング機能をベースに、潜在的な攻撃者を検知することが可能になります。

 FFC では、過去のデータを調査し、詳細かつ広範な過去のフォレンジックデータを確認できます。この CrowdStrike 独自のツールは、データ収集モジュールを実装し、さまざまなタイプのインシデントレスポンスに関するホストのアーティファクトを収集します。このツールは、収集したデータを分析用プラットフォームに配して、CrowdStrike のコンサルタントが幅広い調査を行えるようにします。CrowdStrike のアナリストは、プログラムの実行や、永続化メカニズム、稀にしか出現しないアイテム、その他の悪質な活動に関するアーティファクトなど、過去または現在のセキュリティ侵害の証拠がないかフォレンジックデータを調査しました。

ペアレンタルコンサルテーション(推奨事項)

 新たな買収の際には、広範囲に及ぶデューデリジェンスが実施されますが、買収側の企業と被買収企業の間のやり取りは、ほぼ弁護士、役員、および各種ビジネスアナリストたちによって行われます。買収側企業の IT セキュリティ担当者は、被買収企業のサイバーセキュリティ体制について、何も知らないことがほとんどです。この買収案件においても同様の状況でした。非買収企業は、自社の IT インフラに関する文書を作成していませんでした。また、双方の IT スタッフが連絡を取り合ったことはありませんでした。

 一般的な CSMA では、CrowdStrike のコンサルタントが、サイバーセキュリティとインシデントレスポンスに関する簡単な聞き取り調査計画をたてます。そして、インシデントレスポンス(IR)、インフラストラクチャー、法務、コミュニケーションなどの各リーダーと個別に話し合います。このケースでは、非買収企業は役割、手順、体制のいずれも定義していませんでした。

 議論に集中し、買収側企業と非買収企業の間で話し合いやすい雰囲気を作れるように、CrowdStrike は従来のやり方から離れ、双方からの適切な人物が参加する円卓形式の話し合いの場を設けました。

 この話し合いは実際に顔を合わせて行われ、その際に CrowdStrike のアナリストがフォレンジックデータを細かく調べました。アナリストが技術的な調査結果を提供すると、そこからまた新たな質問がいくつか提起されました。このようなやり方で、我々の疑問だけでなく、お客様の疑問に対する答えも明確にすることができました。その日の終わりには、買収側企業であるお客様は、被買収企業について理解を深め、両社の間で協力関係が築かれました。

ラボでの作業と診断(侵害調査)

 侵害調査(CA)のワークフローでは、CrowdStrike のアナリストが被買収企業のセキュリティ上の健全性についてプラス面とマイナス面を特定しました。その中には既に認識されているものもありました。我々は、被買収企業が最近侵害を受けた可能性を示唆する証拠を見つけました。この事をただちに伝えると、この企業はインシデント対応を開始しました。

遂行(従来のやり方からの脱却)

 成熟度の観点では、この被買収企業における諸々のセキュリティ対策は、断片的であるか、存在すらしていませんでした。買収側企業の統合戦略において取り組むべきは、買収した企業のシステムを自社のネットワークに安全に取り込めるかという問題だけではありませんでした。

 たとえば、報告体制や階層における個人判断もその1つです。既存のコントロールで生産システムを動かすには、慎重な検討とテストが必要でした。実際、新しく買収した組織をセキュリティ第一の思考に変えることは決して簡単なことではありません。

 CrowdStrike は、攻撃者の活動を特定し、買収側の企業と協力して侵害後のレメディエーションを行うことにより、新しい親会社が望まない状況を回避できるよう支援しました。買収側企業の人材、プロセス、利用ツールに関する深い知識を持つ当社は、短気、中期、長期の目標を達成するための推奨事項を提案しました。我々はこの会社をはじめとする多くの買収側企業と手を携えて取り組み、買収が安全に遂行され、成功を収めることを期待しています。

追加のリソース

・CrowdStrikeが提供するインシデント対応、侵害アセスメント、および脅威ハンティングの詳細については、CrowdStrike Servicesのページをご覧になるか、Services@crowdstrike.comまでお問い合わせください。

CrowdStrikeの2019年グローバル脅威レポートをダウンロードできます。

CrowdStrike Servicesサイバーセキュリティ侵害調査報告書 2018をダウンロードして、実世界における攻撃およびインシデントレスポンスに関する調査結果をご覧ください。御社の対策に役立てていただける推奨事項が記載されています。

・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をすぐに試してみましょう。

*原文はCrowdStrike Blog サイト掲載:https://www.crowdstrike.com/blog/make-ugly-babies-cute-again-an-ma-crisis-aversion-story/
《Jason Barnes (CrowdStrike)》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

ソース・関連リンク

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Android版「LINE」に任意コード実行など複数の脆弱性(JVN) 画像

Android版「LINE」に任意コード実行など複数の脆弱性(JVN)
日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会) 画像

日本郵便を騙る偽SMS、マイクロソフトを騙る偽メールを確認(フィッシング対策協議会)
リコー製プリンタや複合機に任意コード実行などの脆弱性(JVN) 画像

リコー製プリンタや複合機に任意コード実行などの脆弱性(JVN)
「OpenSSL」アップデート、情報漏えいなどの脆弱性に対応(JVN) 画像

「OpenSSL」アップデート、情報漏えいなどの脆弱性に対応(JVN)
LINEの「apng-drawable」に任意コード実行などの脆弱性(JVN) 画像

LINEの「apng-drawable」に任意コード実行などの脆弱性(JVN)
Webmin においてパスワード変更機能に仕込まれたバックドアコードにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report) 画像

Webmin においてパスワード変更機能に仕込まれたバックドアコードにより遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

インシデント・事故 記事一覧へ

個人市民税・府民税の「納税管理人の届出書」を別法人に誤送付(大阪市) 画像

個人市民税・府民税の「納税管理人の届出書」を別法人に誤送付(大阪市)
受験者への合格通知を誤って2名分同封し発送(愛知県) 画像

受験者への合格通知を誤って2名分同封し発送(愛知県)
メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州) 画像

メールサーバへ海外から不正アクセス、なりすましメールを送信(EPO九州)
「ベビータウン」「プレママタウン」にパスワードリスト型攻撃、ポイント交換も判明(ユニ・チャーム) 画像

「ベビータウン」「プレママタウン」にパスワードリスト型攻撃、ポイント交換も判明(ユニ・チャーム)
委託元の顧客データを誤って他の委託元へ誤送信(トップライン) 画像

委託元の顧客データを誤って他の委託元へ誤送信(トップライン)
委託事業者が一斉送信メールで「TO」欄にアドレス入力、過去送信分も判明(新潟県) 画像

委託事業者が一斉送信メールで「TO」欄にアドレス入力、過去送信分も判明(新潟県)

調査・レポート・白書 記事一覧へ

ハニーポットへの攻撃数は前年同時期の約12倍--上半期レポート(エフセキュア) 画像

ハニーポットへの攻撃数は前年同時期の約12倍--上半期レポート(エフセキュア)
国内の主要な個人情報漏えい事故を収録「日本情報漏えい年鑑2019」(イード) 画像

国内の主要な個人情報漏えい事故を収録「日本情報漏えい年鑑2019」(イード)
標的型攻撃手法でのランサムウェア感染被害が法人で増加(トレンドマイクロ) 画像

標的型攻撃手法でのランサムウェア感染被害が法人で増加(トレンドマイクロ)
ランサムウェアが前年同期比46%増加、「WannaCry」1位--四半期レポート(カスペルスキー) 画像

ランサムウェアが前年同期比46%増加、「WannaCry」1位--四半期レポート(カスペルスキー)
DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ) 画像

DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)
盗んだデータの不足をフィッシングで補完、不正口座の開設も(アカマイ) 画像

盗んだデータの不足をフィッシングで補完、不正口座の開設も(アカマイ)

研修・セミナー・カンファレンス 記事一覧へ

13回目となる「Trend Micro DIRECTION」を11月15日に東京で開催(トレンドマイクロ) 画像

13回目となる「Trend Micro DIRECTION」を11月15日に東京で開催(トレンドマイクロ)
EDR製品 CrowdStrike Falcon を「じっくり」紹介するデモセッション開催(CrowdStrike) 画像

EDR製品 CrowdStrike Falcon を「じっくり」紹介するデモセッション開催(CrowdStrike)
「CODE BLUE」全25セッションの講演者が決定(CODE BLUE実行委員会) 画像

「CODE BLUE」全25セッションの講演者が決定(CODE BLUE実行委員会)
高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法 画像

高額なコンサル不要 !? ~ ISOG-J 公開三つの無料ドキュメント活用方法
ハッキングトーナメント開催、優勝者には「SECCON CTF(国内)」出場権(NRIセキュア) 画像

ハッキングトーナメント開催、優勝者には「SECCON CTF(国内)」出場権(NRIセキュア)
中国テンセント社 セキュリティ研究所、iPhone の顔認証 Face ID をハッキング 画像

中国テンセント社 セキュリティ研究所、iPhone の顔認証 Face ID をハッキング

製品・サービス・業界動向 記事一覧へ

WebフィルタリングソフトとWeb分離・無害化製品を連携(ALSI、アシスト) 画像

WebフィルタリングソフトとWeb分離・無害化製品を連携(ALSI、アシスト)
タクシー利用者の顔画像撮影に「告知が不十分」と指導(個人情報保護委員会) 画像

タクシー利用者の顔画像撮影に「告知が不十分」と指導(個人情報保護委員会)
オンライン詐欺を即時検知、EC加盟店向けサービス(マクニカネットワークス) 画像

オンライン詐欺を即時検知、EC加盟店向けサービス(マクニカネットワークス)
ハイブリッド・マルチクラウドでデータを保護、IBMの新メインフレーム(日本IBM) 画像

ハイブリッド・マルチクラウドでデータを保護、IBMの新メインフレーム(日本IBM)
OTネットワークを可視化しセキュリティリスクを監視(NRIセキュア) 画像

OTネットワークを可視化しセキュリティリスクを監視(NRIセキュア)
Cortex XDRを利用したMDRサービスを提供開始(パロアルトネットワークス、インフォセック) 画像

Cortex XDRを利用したMDRサービスを提供開始(パロアルトネットワークス、インフォセック)

おしらせ 記事一覧へ

編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
訂正謝罪記事:フェイクインタビュー記事配信について 画像

訂正謝罪記事:フェイクインタビュー記事配信について
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了) 画像

【先着7名】「退位の日」も記載 ~ CSIRT、SOC、IR 担当者向け、地政学的重要日カレンダー CrowdStrike Adversary Calender プレゼント(受付終了)
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×