CrowdStrike Blog:企業買収に伴うサイバーリスク回避方法 ~ 企業の「侵害」まで M&A してしまわない実務手順
変革を遂行するには、予算、計画、コミュニケーションなどが必要となります。しかし、リスクに関する注意喚起が無視され、後になって問題が発覚することがよくあります。最近のニュースでは、M&Aによって侵害が継承された例が頻繁に取り上げられています。
国際
海外情報
一部の企業は M&A を通じて成長します。買収側の企業は、さしずめ親のような存在です。買収側の企業(親)は、さまざまなデューデリジェンスを実施して買収対象の企業(赤ん坊)が自分たちにとって十分に好ましいか(可愛いか)を判断します。成長性は? 好ましい。収益性は? 好ましい。資本構成は? 好ましい。規模、流動性、企業価値は? すべて好ましい!買収が成立すると、可愛い赤ちゃんはあなたのものになります。
しかし、買収した企業が思っていたほど好ましいものではなかったらどうしますか?たとえば、その企業のネットワークが完全に侵害されていたとしたら?
私たち CrowdStrike は、あなたの赤ちゃんを不細工などと言うことは決してありません。買収側の企業が買収によって幸せになれるよう、お手伝いをしたいと思っています。基本的なセキュリティ、検知と防御、適切なインシデントレスポンス戦略、そしてクリーンな環境 - 理想的には、買収によってこれらすべてが実現されるべきです。
これについては、CrowdStrike の以前のブログでも論じています。そこでは、新たに手に入れた事業を急いで統合しようとするのは危険である理由を説明しています。しかし、企業のサイバーセキュリティにおいては、ソートリーダーシップと実際の行動の間にタイムラグが生じるのが一般的です。変革を遂行するには、予算、計画、コミュニケーションなどが必要となります。しかし、リスクに関する注意喚起が無視され、後になって問題が発覚することがよくあります。最近のニュースでは、M&Aによって侵害が継承された例が頻繁に取り上げられています。
最近、M&A を通じて積極的な成長戦略を推進する企業とやり取りする中で、買収側であるこの企業は、買収対象企業のサイバーセキュリティ体制を、その財務面と同じレベルでは評価していないことに気づきました。企業はそのために何が起きるかを把握しないままに、多大なリスクを受け入れていたことになります。我々は、今後買収を行う前にはどの案件においてもサイバーセキュリティに関する評価を行うことを勧めました。そして、この企業は私たちの助言を受け入れ、次の買収の際にその助言に従いました。
すると、どのような結果になったでしょうか。
初期のヘルスチェック(成熟度評価)
CrowdStrike は、買収側企業に対し、サイバーセキュリティ成熟度評価(CSMA:cybersecurity maturity assessment)を実施し、さまざまな推奨事項を伝えました。その中には、被買収企業のサイバーセキュリティに関する健全性分析を行うことが含まれています。
被買収企業のネットワークの侵害状況を調べるために、侵害調査(CA:compromise assessment)を実施し、すべてのシステムのアクティビティに対する完全な可視性を得る必要がありました。我々は、CrowdStrike Falcon プラットフォームと Falcon Forensic Collector(FFC)という 2 つのツールを各システムに展開しました。Falcon endpoint detection and response(EDR)テクノロジーによって、ほぼリアルタイムでシステムの可視性が得られ、攻撃の兆候(IOA)や侵害の兆候(IOC)、プロアクティブな脅威ハンティング機能をベースに、潜在的な攻撃者を検知することが可能になります。
FFC では、過去のデータを調査し、詳細かつ広範な過去のフォレンジックデータを確認できます。この CrowdStrike 独自のツールは、データ収集モジュールを実装し、さまざまなタイプのインシデントレスポンスに関するホストのアーティファクトを収集します。このツールは、収集したデータを分析用プラットフォームに配して、CrowdStrike のコンサルタントが幅広い調査を行えるようにします。CrowdStrike のアナリストは、プログラムの実行や、永続化メカニズム、稀にしか出現しないアイテム、その他の悪質な活動に関するアーティファクトなど、過去または現在のセキュリティ侵害の証拠がないかフォレンジックデータを調査しました。
ペアレンタルコンサルテーション(推奨事項)
新たな買収の際には、広範囲に及ぶデューデリジェンスが実施されますが、買収側の企業と被買収企業の間のやり取りは、ほぼ弁護士、役員、および各種ビジネスアナリストたちによって行われます。買収側企業の IT セキュリティ担当者は、被買収企業のサイバーセキュリティ体制について、何も知らないことがほとんどです。この買収案件においても同様の状況でした。非買収企業は、自社の IT インフラに関する文書を作成していませんでした。また、双方の IT スタッフが連絡を取り合ったことはありませんでした。
一般的な CSMA では、CrowdStrike のコンサルタントが、サイバーセキュリティとインシデントレスポンスに関する簡単な聞き取り調査計画をたてます。そして、インシデントレスポンス(IR)、インフラストラクチャー、法務、コミュニケーションなどの各リーダーと個別に話し合います。このケースでは、非買収企業は役割、手順、体制のいずれも定義していませんでした。
議論に集中し、買収側企業と非買収企業の間で話し合いやすい雰囲気を作れるように、CrowdStrike は従来のやり方から離れ、双方からの適切な人物が参加する円卓形式の話し合いの場を設けました。
この話し合いは実際に顔を合わせて行われ、その際に CrowdStrike のアナリストがフォレンジックデータを細かく調べました。アナリストが技術的な調査結果を提供すると、そこからまた新たな質問がいくつか提起されました。このようなやり方で、我々の疑問だけでなく、お客様の疑問に対する答えも明確にすることができました。その日の終わりには、買収側企業であるお客様は、被買収企業について理解を深め、両社の間で協力関係が築かれました。
ラボでの作業と診断(侵害調査)
侵害調査(CA)のワークフローでは、CrowdStrike のアナリストが被買収企業のセキュリティ上の健全性についてプラス面とマイナス面を特定しました。その中には既に認識されているものもありました。我々は、被買収企業が最近侵害を受けた可能性を示唆する証拠を見つけました。この事をただちに伝えると、この企業はインシデント対応を開始しました。
遂行(従来のやり方からの脱却)
成熟度の観点では、この被買収企業における諸々のセキュリティ対策は、断片的であるか、存在すらしていませんでした。買収側企業の統合戦略において取り組むべきは、買収した企業のシステムを自社のネットワークに安全に取り込めるかという問題だけではありませんでした。
たとえば、報告体制や階層における個人判断もその1つです。既存のコントロールで生産システムを動かすには、慎重な検討とテストが必要でした。実際、新しく買収した組織をセキュリティ第一の思考に変えることは決して簡単なことではありません。
CrowdStrike は、攻撃者の活動を特定し、買収側の企業と協力して侵害後のレメディエーションを行うことにより、新しい親会社が望まない状況を回避できるよう支援しました。買収側企業の人材、プロセス、利用ツールに関する深い知識を持つ当社は、短気、中期、長期の目標を達成するための推奨事項を提案しました。我々はこの会社をはじめとする多くの買収側企業と手を携えて取り組み、買収が安全に遂行され、成功を収めることを期待しています。
追加のリソース
・CrowdStrikeが提供するインシデント対応、侵害アセスメント、および脅威ハンティングの詳細については、CrowdStrike Servicesのページをご覧になるか、Services@crowdstrike.comまでお問い合わせください。
・CrowdStrikeの2019年グローバル脅威レポートをダウンロードできます。
・CrowdStrike Servicesサイバーセキュリティ侵害調査報告書 2018をダウンロードして、実世界における攻撃およびインシデントレスポンスに関する調査結果をご覧ください。御社の対策に役立てていただける推奨事項が記載されています。
・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をすぐに試してみましょう。
*原文はCrowdStrike Blog サイト掲載:https://www.crowdstrike.com/blog/make-ugly-babies-cute-again-an-ma-crisis-aversion-story/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
インシデント・事故なぜハードディスクは消えたのか、これからもまた消えるのか
関東の自治体のサーバで使用されていた、ハードディスクの処分を請け負った企業の従業員が、私益のためにハードディスクを持ち出しネットで不正に転売していたことが 2019 年 12 月に明らかになった。
-
NTTコミュニケーションズのインシデント、想起されるグループほか [Scan PREMIUM Monthly Executive Summary]
6 月初旬は、5 月末に発表された NTTコミュニケーションズのインシデントの話題で持ちきりでした。
-
コロナ前のデータで訓練された機械学習モデル、現在完全に破綻
ガートナー社によると、新型コロナのパンデミック以前にビジネスを行うために構築された機械学習モデルは、経済がロックダウンから立ち直るにつれもはや有効ではなくなり、企業は機械学習と企業データ管理において新たな課題に直面することになるという。
-
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
ScanNetSecurity編集部は7月17日、同誌編集長上野宣の編集長就任10周年記念オンライン飲み会を開催する。7月13日(月)までWebフォームで参加申込を受け付けている。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
セブン銀行をかたるフィッシングに対する注意喚起(フィッシング対策協議会)
SHIRASAGIにオープンリダイレクトの脆弱性(JVN)
複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC)
フィッシングは増加傾向、スマホのみを狙うケースも確認(フィッシング対策協議会)
LinuxKI の kivis.php における OS コマンドインジェクションの脆弱性(Scan Tech Report)
クラウド侵害の半数近くがホストアプリを経由(日本IBM)
インシデント・事故 記事一覧へ
石川県と兵庫県の一部エリアで電話・FAXの誤着信が発生(NTT西日本)
なぜハードディスクは消えたのか、これからもまた消えるのか
インターネットFAXで門真市ふるさと納税のデータを誤送信、今後はファイル名の変更を徹底(フューチャーリンクネットワーク)
情報漏えいにつながる危険な PDF 利用 - Microsoft Word 網掛け機能誤解、情報公開し注意喚起(大船渡市)
新たにBYOD端末からの不正アクセスが判明(NTT Com)
生かき販売「かきのクニヒロ」に不正アクセス、約1年分のカード決済情報が流出(クニヒロ)
調査・レポート・白書 記事一覧へ
最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA)
金融機関でのセキュリティ対策やシステム障害など3つのレポートを公開(金融庁)
家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について(ICT-ISAC)
マルウェアの3分の2が暗号化、四半期レポート(ウォッチガード)
新型コロナ関連攻撃の約8割がフィッシング--四半期動向(NTTデータ)
サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)
研修・セミナー・カンファレンス 記事一覧へ
スマート工場に複数の攻撃経路、トレンドマイクロとミラノ工科大学の共同実証実験考察
製品レビュー:北朝鮮 国産アンチウイルスソフト4種
CODE BLUE 2020、参加費無料でオンライン開催(CODE BLUE 実行委員会)
ネットを楽しく利用するための注意点をテーマに動画コンテスト開催(トレンドマイクロ)
ひとつのエージェントで多機能を実現、解説セミナー(CrowdStrike)
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
