CrowdStrike Blog:企業買収に伴うサイバーリスク回避方法 ~ 企業の「侵害」まで M&A してしまわない実務手順 | ScanNetSecurity
2024.04.20(土)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

CrowdStrike Blog:企業買収に伴うサイバーリスク回避方法 ~ 企業の「侵害」まで M&A してしまわない実務手順

変革を遂行するには、予算、計画、コミュニケーションなどが必要となります。しかし、リスクに関する注意喚起が無視され、後になって問題が発覚することがよくあります。最近のニュースでは、M&Aによって侵害が継承された例が頻繁に取り上げられています。

国際 海外情報
 親というものは、自分の子供が絶対的に可愛いと信じこむ先天的な性質を持っています。自分の子供が、食べて、寝て、泣いているだけの小さな物体でしかない頃から、自分の子供がこれまで見たことのないほど可愛らしい赤ん坊だと断言するものです。

 一部の企業は M&A を通じて成長します。買収側の企業は、さしずめ親のような存在です。買収側の企業(親)は、さまざまなデューデリジェンスを実施して買収対象の企業(赤ん坊)が自分たちにとって十分に好ましいか(可愛いか)を判断します。成長性は? 好ましい。収益性は? 好ましい。資本構成は? 好ましい。規模、流動性、企業価値は? すべて好ましい!買収が成立すると、可愛い赤ちゃんはあなたのものになります。

 しかし、買収した企業が思っていたほど好ましいものではなかったらどうしますか?たとえば、その企業のネットワークが完全に侵害されていたとしたら?

 私たち CrowdStrike は、あなたの赤ちゃんを不細工などと言うことは決してありません。買収側の企業が買収によって幸せになれるよう、お手伝いをしたいと思っています。基本的なセキュリティ、検知と防御、適切なインシデントレスポンス戦略、そしてクリーンな環境 - 理想的には、買収によってこれらすべてが実現されるべきです。

 これについては、CrowdStrike の以前のブログでも論じています。そこでは、新たに手に入れた事業を急いで統合しようとするのは危険である理由を説明しています。しかし、企業のサイバーセキュリティにおいては、ソートリーダーシップと実際の行動の間にタイムラグが生じるのが一般的です。変革を遂行するには、予算、計画、コミュニケーションなどが必要となります。しかし、リスクに関する注意喚起が無視され、後になって問題が発覚することがよくあります。最近のニュースでは、M&Aによって侵害が継承された例が頻繁に取り上げられています。

 最近、M&A を通じて積極的な成長戦略を推進する企業とやり取りする中で、買収側であるこの企業は、買収対象企業のサイバーセキュリティ体制を、その財務面と同じレベルでは評価していないことに気づきました。企業はそのために何が起きるかを把握しないままに、多大なリスクを受け入れていたことになります。我々は、今後買収を行う前にはどの案件においてもサイバーセキュリティに関する評価を行うことを勧めました。そして、この企業は私たちの助言を受け入れ、次の買収の際にその助言に従いました。

 すると、どのような結果になったでしょうか。

初期のヘルスチェック(成熟度評価)

 CrowdStrike は、買収側企業に対し、サイバーセキュリティ成熟度評価(CSMA:cybersecurity maturity assessment)を実施し、さまざまな推奨事項を伝えました。その中には、被買収企業のサイバーセキュリティに関する健全性分析を行うことが含まれています。

 被買収企業のネットワークの侵害状況を調べるために、侵害調査(CA:compromise assessment)を実施し、すべてのシステムのアクティビティに対する完全な可視性を得る必要がありました。我々は、CrowdStrike Falcon プラットフォームと Falcon Forensic Collector(FFC)という 2 つのツールを各システムに展開しました。Falcon endpoint detection and response(EDR)テクノロジーによって、ほぼリアルタイムでシステムの可視性が得られ、攻撃の兆候(IOA)や侵害の兆候(IOC)、プロアクティブな脅威ハンティング機能をベースに、潜在的な攻撃者を検知することが可能になります。

 FFC では、過去のデータを調査し、詳細かつ広範な過去のフォレンジックデータを確認できます。この CrowdStrike 独自のツールは、データ収集モジュールを実装し、さまざまなタイプのインシデントレスポンスに関するホストのアーティファクトを収集します。このツールは、収集したデータを分析用プラットフォームに配して、CrowdStrike のコンサルタントが幅広い調査を行えるようにします。CrowdStrike のアナリストは、プログラムの実行や、永続化メカニズム、稀にしか出現しないアイテム、その他の悪質な活動に関するアーティファクトなど、過去または現在のセキュリティ侵害の証拠がないかフォレンジックデータを調査しました。

ペアレンタルコンサルテーション(推奨事項)

 新たな買収の際には、広範囲に及ぶデューデリジェンスが実施されますが、買収側の企業と被買収企業の間のやり取りは、ほぼ弁護士、役員、および各種ビジネスアナリストたちによって行われます。買収側企業の IT セキュリティ担当者は、被買収企業のサイバーセキュリティ体制について、何も知らないことがほとんどです。この買収案件においても同様の状況でした。非買収企業は、自社の IT インフラに関する文書を作成していませんでした。また、双方の IT スタッフが連絡を取り合ったことはありませんでした。

 一般的な CSMA では、CrowdStrike のコンサルタントが、サイバーセキュリティとインシデントレスポンスに関する簡単な聞き取り調査計画をたてます。そして、インシデントレスポンス(IR)、インフラストラクチャー、法務、コミュニケーションなどの各リーダーと個別に話し合います。このケースでは、非買収企業は役割、手順、体制のいずれも定義していませんでした。

 議論に集中し、買収側企業と非買収企業の間で話し合いやすい雰囲気を作れるように、CrowdStrike は従来のやり方から離れ、双方からの適切な人物が参加する円卓形式の話し合いの場を設けました。

 この話し合いは実際に顔を合わせて行われ、その際に CrowdStrike のアナリストがフォレンジックデータを細かく調べました。アナリストが技術的な調査結果を提供すると、そこからまた新たな質問がいくつか提起されました。このようなやり方で、我々の疑問だけでなく、お客様の疑問に対する答えも明確にすることができました。その日の終わりには、買収側企業であるお客様は、被買収企業について理解を深め、両社の間で協力関係が築かれました。

ラボでの作業と診断(侵害調査)

 侵害調査(CA)のワークフローでは、CrowdStrike のアナリストが被買収企業のセキュリティ上の健全性についてプラス面とマイナス面を特定しました。その中には既に認識されているものもありました。我々は、被買収企業が最近侵害を受けた可能性を示唆する証拠を見つけました。この事をただちに伝えると、この企業はインシデント対応を開始しました。

遂行(従来のやり方からの脱却)

 成熟度の観点では、この被買収企業における諸々のセキュリティ対策は、断片的であるか、存在すらしていませんでした。買収側企業の統合戦略において取り組むべきは、買収した企業のシステムを自社のネットワークに安全に取り込めるかという問題だけではありませんでした。

 たとえば、報告体制や階層における個人判断もその1つです。既存のコントロールで生産システムを動かすには、慎重な検討とテストが必要でした。実際、新しく買収した組織をセキュリティ第一の思考に変えることは決して簡単なことではありません。

 CrowdStrike は、攻撃者の活動を特定し、買収側の企業と協力して侵害後のレメディエーションを行うことにより、新しい親会社が望まない状況を回避できるよう支援しました。買収側企業の人材、プロセス、利用ツールに関する深い知識を持つ当社は、短気、中期、長期の目標を達成するための推奨事項を提案しました。我々はこの会社をはじめとする多くの買収側企業と手を携えて取り組み、買収が安全に遂行され、成功を収めることを期待しています。

追加のリソース

・CrowdStrikeが提供するインシデント対応、侵害アセスメント、および脅威ハンティングの詳細については、CrowdStrike Servicesのページをご覧になるか、Services@crowdstrike.comまでお問い合わせください。

CrowdStrikeの2019年グローバル脅威レポートをダウンロードできます。

CrowdStrike Servicesサイバーセキュリティ侵害調査報告書 2018をダウンロードして、実世界における攻撃およびインシデントレスポンスに関する調査結果をご覧ください。御社の対策に役立てていただける推奨事項が記載されています。

・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をすぐに試してみましょう。

*原文はCrowdStrike Blog サイト掲載:https://www.crowdstrike.com/blog/make-ugly-babies-cute-again-an-ma-crisis-aversion-story/
《Jason Barnes (CrowdStrike)》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性 画像

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性
Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ 画像

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ
Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理 画像

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理
Windows DNS の脆弱性情報が公開 画像

Windows DNS の脆弱性情報が公開
バッファロー製無線 LAN ルータに複数の脆弱性 画像

バッファロー製無線 LAN ルータに複数の脆弱性
Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性 画像

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

インシデント・事故 記事一覧へ

東京高速道路のメールアカウントを不正利用、大量のメールを送信 画像

東京高速道路のメールアカウントを不正利用、大量のメールを送信
組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に 画像

組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に
インフォマート 公式 Facebook ページに不正ログイン 画像

インフォマート 公式 Facebook ページに不正ログイン
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず 画像

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し 画像

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性 画像

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査
プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査
初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応 画像

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応
復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査 画像

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート 画像

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置
脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応 画像

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応
ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供 画像

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×