CrowdStrike Blog:企業買収に伴うサイバーリスク回避方法 ~ 企業の「侵害」まで M&A してしまわない実務手順
変革を遂行するには、予算、計画、コミュニケーションなどが必要となります。しかし、リスクに関する注意喚起が無視され、後になって問題が発覚することがよくあります。最近のニュースでは、M&Aによって侵害が継承された例が頻繁に取り上げられています。
国際
海外情報
一部の企業は M&A を通じて成長します。買収側の企業は、さしずめ親のような存在です。買収側の企業(親)は、さまざまなデューデリジェンスを実施して買収対象の企業(赤ん坊)が自分たちにとって十分に好ましいか(可愛いか)を判断します。成長性は? 好ましい。収益性は? 好ましい。資本構成は? 好ましい。規模、流動性、企業価値は? すべて好ましい!買収が成立すると、可愛い赤ちゃんはあなたのものになります。
しかし、買収した企業が思っていたほど好ましいものではなかったらどうしますか?たとえば、その企業のネットワークが完全に侵害されていたとしたら?
私たち CrowdStrike は、あなたの赤ちゃんを不細工などと言うことは決してありません。買収側の企業が買収によって幸せになれるよう、お手伝いをしたいと思っています。基本的なセキュリティ、検知と防御、適切なインシデントレスポンス戦略、そしてクリーンな環境 - 理想的には、買収によってこれらすべてが実現されるべきです。
これについては、CrowdStrike の以前のブログでも論じています。そこでは、新たに手に入れた事業を急いで統合しようとするのは危険である理由を説明しています。しかし、企業のサイバーセキュリティにおいては、ソートリーダーシップと実際の行動の間にタイムラグが生じるのが一般的です。変革を遂行するには、予算、計画、コミュニケーションなどが必要となります。しかし、リスクに関する注意喚起が無視され、後になって問題が発覚することがよくあります。最近のニュースでは、M&Aによって侵害が継承された例が頻繁に取り上げられています。
最近、M&A を通じて積極的な成長戦略を推進する企業とやり取りする中で、買収側であるこの企業は、買収対象企業のサイバーセキュリティ体制を、その財務面と同じレベルでは評価していないことに気づきました。企業はそのために何が起きるかを把握しないままに、多大なリスクを受け入れていたことになります。我々は、今後買収を行う前にはどの案件においてもサイバーセキュリティに関する評価を行うことを勧めました。そして、この企業は私たちの助言を受け入れ、次の買収の際にその助言に従いました。
すると、どのような結果になったでしょうか。
初期のヘルスチェック(成熟度評価)
CrowdStrike は、買収側企業に対し、サイバーセキュリティ成熟度評価(CSMA:cybersecurity maturity assessment)を実施し、さまざまな推奨事項を伝えました。その中には、被買収企業のサイバーセキュリティに関する健全性分析を行うことが含まれています。
被買収企業のネットワークの侵害状況を調べるために、侵害調査(CA:compromise assessment)を実施し、すべてのシステムのアクティビティに対する完全な可視性を得る必要がありました。我々は、CrowdStrike Falcon プラットフォームと Falcon Forensic Collector(FFC)という 2 つのツールを各システムに展開しました。Falcon endpoint detection and response(EDR)テクノロジーによって、ほぼリアルタイムでシステムの可視性が得られ、攻撃の兆候(IOA)や侵害の兆候(IOC)、プロアクティブな脅威ハンティング機能をベースに、潜在的な攻撃者を検知することが可能になります。
FFC では、過去のデータを調査し、詳細かつ広範な過去のフォレンジックデータを確認できます。この CrowdStrike 独自のツールは、データ収集モジュールを実装し、さまざまなタイプのインシデントレスポンスに関するホストのアーティファクトを収集します。このツールは、収集したデータを分析用プラットフォームに配して、CrowdStrike のコンサルタントが幅広い調査を行えるようにします。CrowdStrike のアナリストは、プログラムの実行や、永続化メカニズム、稀にしか出現しないアイテム、その他の悪質な活動に関するアーティファクトなど、過去または現在のセキュリティ侵害の証拠がないかフォレンジックデータを調査しました。
ペアレンタルコンサルテーション(推奨事項)
新たな買収の際には、広範囲に及ぶデューデリジェンスが実施されますが、買収側の企業と被買収企業の間のやり取りは、ほぼ弁護士、役員、および各種ビジネスアナリストたちによって行われます。買収側企業の IT セキュリティ担当者は、被買収企業のサイバーセキュリティ体制について、何も知らないことがほとんどです。この買収案件においても同様の状況でした。非買収企業は、自社の IT インフラに関する文書を作成していませんでした。また、双方の IT スタッフが連絡を取り合ったことはありませんでした。
一般的な CSMA では、CrowdStrike のコンサルタントが、サイバーセキュリティとインシデントレスポンスに関する簡単な聞き取り調査計画をたてます。そして、インシデントレスポンス(IR)、インフラストラクチャー、法務、コミュニケーションなどの各リーダーと個別に話し合います。このケースでは、非買収企業は役割、手順、体制のいずれも定義していませんでした。
議論に集中し、買収側企業と非買収企業の間で話し合いやすい雰囲気を作れるように、CrowdStrike は従来のやり方から離れ、双方からの適切な人物が参加する円卓形式の話し合いの場を設けました。
この話し合いは実際に顔を合わせて行われ、その際に CrowdStrike のアナリストがフォレンジックデータを細かく調べました。アナリストが技術的な調査結果を提供すると、そこからまた新たな質問がいくつか提起されました。このようなやり方で、我々の疑問だけでなく、お客様の疑問に対する答えも明確にすることができました。その日の終わりには、買収側企業であるお客様は、被買収企業について理解を深め、両社の間で協力関係が築かれました。
ラボでの作業と診断(侵害調査)
侵害調査(CA)のワークフローでは、CrowdStrike のアナリストが被買収企業のセキュリティ上の健全性についてプラス面とマイナス面を特定しました。その中には既に認識されているものもありました。我々は、被買収企業が最近侵害を受けた可能性を示唆する証拠を見つけました。この事をただちに伝えると、この企業はインシデント対応を開始しました。
遂行(従来のやり方からの脱却)
成熟度の観点では、この被買収企業における諸々のセキュリティ対策は、断片的であるか、存在すらしていませんでした。買収側企業の統合戦略において取り組むべきは、買収した企業のシステムを自社のネットワークに安全に取り込めるかという問題だけではありませんでした。
たとえば、報告体制や階層における個人判断もその1つです。既存のコントロールで生産システムを動かすには、慎重な検討とテストが必要でした。実際、新しく買収した組織をセキュリティ第一の思考に変えることは決して簡単なことではありません。
CrowdStrike は、攻撃者の活動を特定し、買収側の企業と協力して侵害後のレメディエーションを行うことにより、新しい親会社が望まない状況を回避できるよう支援しました。買収側企業の人材、プロセス、利用ツールに関する深い知識を持つ当社は、短気、中期、長期の目標を達成するための推奨事項を提案しました。我々はこの会社をはじめとする多くの買収側企業と手を携えて取り組み、買収が安全に遂行され、成功を収めることを期待しています。
追加のリソース
・CrowdStrikeが提供するインシデント対応、侵害アセスメント、および脅威ハンティングの詳細については、CrowdStrike Servicesのページをご覧になるか、Services@crowdstrike.comまでお問い合わせください。
・CrowdStrikeの2019年グローバル脅威レポートをダウンロードできます。
・CrowdStrike Servicesサイバーセキュリティ侵害調査報告書 2018をダウンロードして、実世界における攻撃およびインシデントレスポンスに関する調査結果をご覧ください。御社の対策に役立てていただける推奨事項が記載されています。
・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をすぐに試してみましょう。
*原文はCrowdStrike Blog サイト掲載:https://www.crowdstrike.com/blog/make-ugly-babies-cute-again-an-ma-crisis-aversion-story/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威macOS 向け VMware ソフトウェアにおける SUID 設定の不備により管理者権限が奪取可能となる脆弱性(Scan Tech Report)
2020 年 3 月に、macOS 向けの複数の VMware 製品に、権限昇格の脆弱性が報告されています。アップデートにより対策してください。
-
? ランサムウェアの犯人「新型コロナ危機の間は医療機関を標的にしないことを俺たちは誓う」(The Register)
マルウェアの DoppelPaymer と Maze を操るランサムウェアの犯人たちが、現在のパンデミックが終息するまでは医療機関を標的にしないと表明した。
-
サプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ
サプライチェーン攻撃が問題になっている。正規サーバーやシステムを利用する攻撃のため、検知が困難なことも被害を広げている。対策には発想の転換が必要なようだ。
-
ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実
ロシアによる国家支援型サイバー攻撃は1996年の「Moonlight Maze」が最初といわれている。米国の兵器に関する情報を狙ったサイバーエスピオナージで、現在のAPT攻撃の源流といってもいいかもしれない。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
自動投薬システムに、機微な情報を閲覧・改ざんされる脆弱性(JVN)
産業用ルータOS「HiOS」「HiSecOS」に任意コード実行の脆弱性(JVN)
複数のヤマハ製ネットワーク機器にDoSの脆弱性(JVN)
Vertiv製システム管理アプライアンス製品に複数の脆弱性(JVN)
海上コンテナターミナル向けWebアプリにスクリプト実行の脆弱性(JVN)
macOS 向け VMware ソフトウェアにおける SUID 設定の不備により管理者権限が奪取可能となる脆弱性(Scan Tech Report)
インシデント・事故 記事一覧へ
オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)
セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)
iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)
全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)
放射線技師が電子カルテ閲覧、20名の電話番号抜き出し懲戒処分に(大阪市、大阪市民病院機構)
同じ社名だが別法人、廃棄物処理に関する文書誤送付(大阪市)
調査・レポート・白書 記事一覧へ
日本国内のサイバー犯罪被害者数は年間2,460万人、2019年調査(ノートンライフロック)
「2019年度情報セキュリティに対する意識調査」公開(IPA)
JPドメインが1年で約2万5千件増加、約7割が汎用(JPRS)
BEC実態調査公開、もっとも多い攻撃アプローチは(JPCERT/CC)
脆弱性情報の取り扱いに関する研究会、活動成果を報告(IPA)
CISO に求める役割ベスト3とこれから求める役割(IPA)
研修・セミナー・カンファレンス 記事一覧へ
サプライチェーン攻撃対策に必要な発想の転換 ~ 海外攻撃事例に学ぶ
サイバーセキュリティの新鋭集結、アジア各国の若者が互いの国を知る ~ GCC Tokyo 2020
工場へのサイバー攻撃の実態、240日のおとりシステム運用でわかったこと(トレンドマイクロ)
ロシアのアクターは独立型? 「ロシアAPT地図」から見えてきた事実
動画コンテスト「snsによるネット炎上」が優勝(トレンドマイクロ)
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
