CrowdStrike Blog:企業買収に伴うサイバーリスク回避方法 ~ 企業の「侵害」まで M&A してしまわない実務手順
変革を遂行するには、予算、計画、コミュニケーションなどが必要となります。しかし、リスクに関する注意喚起が無視され、後になって問題が発覚することがよくあります。最近のニュースでは、M&Aによって侵害が継承された例が頻繁に取り上げられています。
国際
海外情報
一部の企業は M&A を通じて成長します。買収側の企業は、さしずめ親のような存在です。買収側の企業(親)は、さまざまなデューデリジェンスを実施して買収対象の企業(赤ん坊)が自分たちにとって十分に好ましいか(可愛いか)を判断します。成長性は? 好ましい。収益性は? 好ましい。資本構成は? 好ましい。規模、流動性、企業価値は? すべて好ましい!買収が成立すると、可愛い赤ちゃんはあなたのものになります。
しかし、買収した企業が思っていたほど好ましいものではなかったらどうしますか?たとえば、その企業のネットワークが完全に侵害されていたとしたら?
私たち CrowdStrike は、あなたの赤ちゃんを不細工などと言うことは決してありません。買収側の企業が買収によって幸せになれるよう、お手伝いをしたいと思っています。基本的なセキュリティ、検知と防御、適切なインシデントレスポンス戦略、そしてクリーンな環境 - 理想的には、買収によってこれらすべてが実現されるべきです。
これについては、CrowdStrike の以前のブログでも論じています。そこでは、新たに手に入れた事業を急いで統合しようとするのは危険である理由を説明しています。しかし、企業のサイバーセキュリティにおいては、ソートリーダーシップと実際の行動の間にタイムラグが生じるのが一般的です。変革を遂行するには、予算、計画、コミュニケーションなどが必要となります。しかし、リスクに関する注意喚起が無視され、後になって問題が発覚することがよくあります。最近のニュースでは、M&Aによって侵害が継承された例が頻繁に取り上げられています。
最近、M&A を通じて積極的な成長戦略を推進する企業とやり取りする中で、買収側であるこの企業は、買収対象企業のサイバーセキュリティ体制を、その財務面と同じレベルでは評価していないことに気づきました。企業はそのために何が起きるかを把握しないままに、多大なリスクを受け入れていたことになります。我々は、今後買収を行う前にはどの案件においてもサイバーセキュリティに関する評価を行うことを勧めました。そして、この企業は私たちの助言を受け入れ、次の買収の際にその助言に従いました。
すると、どのような結果になったでしょうか。
初期のヘルスチェック(成熟度評価)
CrowdStrike は、買収側企業に対し、サイバーセキュリティ成熟度評価(CSMA:cybersecurity maturity assessment)を実施し、さまざまな推奨事項を伝えました。その中には、被買収企業のサイバーセキュリティに関する健全性分析を行うことが含まれています。
被買収企業のネットワークの侵害状況を調べるために、侵害調査(CA:compromise assessment)を実施し、すべてのシステムのアクティビティに対する完全な可視性を得る必要がありました。我々は、CrowdStrike Falcon プラットフォームと Falcon Forensic Collector(FFC)という 2 つのツールを各システムに展開しました。Falcon endpoint detection and response(EDR)テクノロジーによって、ほぼリアルタイムでシステムの可視性が得られ、攻撃の兆候(IOA)や侵害の兆候(IOC)、プロアクティブな脅威ハンティング機能をベースに、潜在的な攻撃者を検知することが可能になります。
FFC では、過去のデータを調査し、詳細かつ広範な過去のフォレンジックデータを確認できます。この CrowdStrike 独自のツールは、データ収集モジュールを実装し、さまざまなタイプのインシデントレスポンスに関するホストのアーティファクトを収集します。このツールは、収集したデータを分析用プラットフォームに配して、CrowdStrike のコンサルタントが幅広い調査を行えるようにします。CrowdStrike のアナリストは、プログラムの実行や、永続化メカニズム、稀にしか出現しないアイテム、その他の悪質な活動に関するアーティファクトなど、過去または現在のセキュリティ侵害の証拠がないかフォレンジックデータを調査しました。
ペアレンタルコンサルテーション(推奨事項)
新たな買収の際には、広範囲に及ぶデューデリジェンスが実施されますが、買収側の企業と被買収企業の間のやり取りは、ほぼ弁護士、役員、および各種ビジネスアナリストたちによって行われます。買収側企業の IT セキュリティ担当者は、被買収企業のサイバーセキュリティ体制について、何も知らないことがほとんどです。この買収案件においても同様の状況でした。非買収企業は、自社の IT インフラに関する文書を作成していませんでした。また、双方の IT スタッフが連絡を取り合ったことはありませんでした。
一般的な CSMA では、CrowdStrike のコンサルタントが、サイバーセキュリティとインシデントレスポンスに関する簡単な聞き取り調査計画をたてます。そして、インシデントレスポンス(IR)、インフラストラクチャー、法務、コミュニケーションなどの各リーダーと個別に話し合います。このケースでは、非買収企業は役割、手順、体制のいずれも定義していませんでした。
議論に集中し、買収側企業と非買収企業の間で話し合いやすい雰囲気を作れるように、CrowdStrike は従来のやり方から離れ、双方からの適切な人物が参加する円卓形式の話し合いの場を設けました。
この話し合いは実際に顔を合わせて行われ、その際に CrowdStrike のアナリストがフォレンジックデータを細かく調べました。アナリストが技術的な調査結果を提供すると、そこからまた新たな質問がいくつか提起されました。このようなやり方で、我々の疑問だけでなく、お客様の疑問に対する答えも明確にすることができました。その日の終わりには、買収側企業であるお客様は、被買収企業について理解を深め、両社の間で協力関係が築かれました。
ラボでの作業と診断(侵害調査)
侵害調査(CA)のワークフローでは、CrowdStrike のアナリストが被買収企業のセキュリティ上の健全性についてプラス面とマイナス面を特定しました。その中には既に認識されているものもありました。我々は、被買収企業が最近侵害を受けた可能性を示唆する証拠を見つけました。この事をただちに伝えると、この企業はインシデント対応を開始しました。
遂行(従来のやり方からの脱却)
成熟度の観点では、この被買収企業における諸々のセキュリティ対策は、断片的であるか、存在すらしていませんでした。買収側企業の統合戦略において取り組むべきは、買収した企業のシステムを自社のネットワークに安全に取り込めるかという問題だけではありませんでした。
たとえば、報告体制や階層における個人判断もその1つです。既存のコントロールで生産システムを動かすには、慎重な検討とテストが必要でした。実際、新しく買収した組織をセキュリティ第一の思考に変えることは決して簡単なことではありません。
CrowdStrike は、攻撃者の活動を特定し、買収側の企業と協力して侵害後のレメディエーションを行うことにより、新しい親会社が望まない状況を回避できるよう支援しました。買収側企業の人材、プロセス、利用ツールに関する深い知識を持つ当社は、短気、中期、長期の目標を達成するための推奨事項を提案しました。我々はこの会社をはじめとする多くの買収側企業と手を携えて取り組み、買収が安全に遂行され、成功を収めることを期待しています。
追加のリソース
・CrowdStrikeが提供するインシデント対応、侵害アセスメント、および脅威ハンティングの詳細については、CrowdStrike Servicesのページをご覧になるか、Services@crowdstrike.comまでお問い合わせください。
・CrowdStrikeの2019年グローバル脅威レポートをダウンロードできます。
・CrowdStrike Servicesサイバーセキュリティ侵害調査報告書 2018をダウンロードして、実世界における攻撃およびインシデントレスポンスに関する調査結果をご覧ください。御社の対策に役立てていただける推奨事項が記載されています。
・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をすぐに試してみましょう。
*原文はCrowdStrike Blog サイト掲載:https://www.crowdstrike.com/blog/make-ugly-babies-cute-again-an-ma-crisis-aversion-story/
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンス厳格化するサイバー規制とダークウェブ活動、そこに相関は?
犯罪防止や安全保障を名目にインターネット規制を敷く国が増加している。そして、その動向に呼応する形でこれらの国ではサーフェスウェブやダークウェブの活用に変化が見られるという。
-
Pandora FMS 7.0 NG のトラフィック管理機能の設定画面における OS コマンドインジェクションの脆弱性(Scan Tech Report)
2019 年 12 月に、ネットワーク監視ソフトウェアである Pandora FMS 7.0 NG に遠隔から任意の OS コマンドが実行可能となる脆弱性が公開されています。
-
新型コロナウイルスの虚偽ニュースが作られた政治背景 ほか [Scan PREMIUM Monthly Executive Summary]
正体不明のセキュリティ研究グループである Intrusion Truth が、中国を拠点とする APT40( TEMP.Periscope )の調査結果を公開しました。
-
航空・ホテル大手に科された GDPR 罰金 400 億円、なぜ期限延長された(The Register)
英国情報コミッショナーオフィス( ICO )はブリティッシュ・エアウェイズ( BA )と米国のホテルチェーン、マリオットへのデータ流出の罰金 2 億 8,000 万ポンドを棚上げした。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
複数の製品にDLLハイジャックの脆弱性(トレンドマイクロ)
NEC製のWi-Fiホームルータ製品に複数の脆弱性(JVN)
WordPress用プラグイン「Easy Property Listings」に脆弱性(JVN)
三菱電機「MELSEC C言語コントローラユニット」などに複数の脆弱性(JVN)
Windows版「ウイルスバスター クラウド」にDoSの脆弱性(トレンドマイクロ、JVN)
スマホアプリ「ilbo」に映像を閲覧される脆弱性(JVN)
インシデント・事故 記事一覧へ
ホームセンターWebサイトが改ざん被害、別サイトへ誘導(ケーヨー)
「いちまさオンラインショップ」に不正アクセス、セキュリティコード含む約300件流出可能性(一正蒲鉾)
職業技術専門校メール誤送信、謝罪メールは一斉送信システムで送る(大阪府)
移住・交流推進機構のDBから抽出したメールアドレスを誤送信(飯田市)
道路などの境界確認申請書の記載データ、提供時に市が個人情報混入(名古屋市)
学生がUSBメモリ紛失、実習で作成した個人情報を保存(天使大学)
調査・レポート・白書 記事一覧へ
6割が過去に入手した認証情報で侵入、OTへの攻撃は前年の20倍に(日本IBM)
Webサイトで検知されるスキミング用ファイルが急増(カスペルスキー)
Telnetへの攻撃がわずかに増加、引き続きIoT機器を狙う攻撃が顕著(NICT)
不正アクセス原因「設定不備」と並び「不明」もトップ、究明の難しさ反映(IPA)
サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)
サイバー救急センター年間レポート、クラウドのインシデントが増加(ラック)
研修・セミナー・カンファレンス 記事一覧へ
安心・安全なインターネット利用に関する2つの講座を無料提供(ドコモgacco)
厳格化するサイバー規制とダークウェブ活動、そこに相関は?
自販機のキャッシュレス決済の未来、専門セミナーに瀬田氏登壇(fjコンサルティング)
さらに高くなったハードルを超えてきた?~ 学生らの素晴らしいポテンシャルが垣間見えた MBSD Cybersecurity Challanges 2019
今年も10月29,30日 渋谷開催(CODE BLUE 実行委員会)
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
