CrowdStrike Blog:M&A におけるサイバーセキュリティの重要な役割「 1.デューデリジェンス」
M&Aのプロセスにおいて見落とされがちな重要な考慮事項の1つにサイバーセキュリティがあります。この3部構成のブログ・シリーズでは、M&Aにおけるサイバーセキュリティの重要な役割について説明します。今回は、最初のフェーズであるデューデリジェンスについてです。
国際
海外情報
M&A を控えるのか、それとも加速するのかというような戦略の如何に関わらず、前例のないレベルの市場の変動は、企業が取引における不確実性と複雑性を軽減する方法を検討すべきであることを意味しています。M&A のプロセスにおいて見落とされがちな重要な考慮事項の1つにサイバーセキュリティがあります。この 3 部構成のブログ・シリーズでは、M&A におけるサイバーセキュリティの重要な役割について説明します。今回は、最初のフェーズであるデューデリジェンスについてです。パート 2 とパート 3 は、クロージング前とクロージング後のフェーズについて説明します。
多くの場合、企業の評価は知的財産(IP)とデータに影響されます。万一、攻撃者がネットワーク内に侵入していれば、企業の価値や売却額に影響を与えかねない機密情報や資産などを流出させている可能性があります。さらに、過去のインシデントが、新しい親会社が引き継ぐことになる負債を生み、買収側の企業を将来顕在化するかもしれない重大なリスクにさらす可能性もあります。
これらの問題は、M&A におけるリスクの環境がどのように変化してきたかを表しています。また、買収対象の企業を正確に評価し、既知のリスクを特定して対処し、その企業の安全な統合を支援するための包括的な戦略を策定するうえで、買い手企業が売り手企業のサイバーセキュリティの履歴をなぜ評価しなければならないか、その理由を浮き彫りにしています。
M&A のデューデリジェンスのモダナイゼーション:侵害調査の効果
M&A のほとんどのケースでは、サイバーセキュリティにおけるデューデリジェンスは、買収側企業から被買収側への一連の基本的な質問によって成り立っています。たとえば、組織にセキュリティチームは存在しているか?ファイアウォールは設置されているか? アンチウイルスソフトウェアは使用されているか? などです。
このような質問への回答は、客観的な「はい」か「いいえ」のいずれかになるでしょう。しかし、そのような回答からは、買収対象企業の IT の健全性を正確に測定することはできません。
ほとんどの組織では、セキュリティツールやセキュリティシステムが導入されています。しかし、それらが正しく構成されているとは限りません。さらに、絶対確実なソリューションなどは存在しません。チェックリストで「はい」と答えたからといって、安全であることにはなりません。
また、ある程度の主観が入る場合もあります。たとえば、これまでに「何らかの問題」があったかという質問に対し、IT チームは、過去のイベントがいつ発生したか、ビジネスにどの程度の影響があったか、組織がそのイベントから何を学んだかなどを考慮して回顧および判断しがちです。
このような理由から、多くのコンサルティング会社が提供しているような、「従来型の質問形式によるリスク評価」の枠を超えることが重要です。
この潜在的な欠点に対処するために、買収側企業は、サイバーセキュリティ企業が提供する詳細な侵害調査の導入を検討することができます。侵害調査では、多くの質問をする代わりに、テレメトリー情報(ネットワーク全体のすべてのアクティビティおよび過去のアクティビティのアーチファクト)に着目します。このアセスメントでは、サイバーセキュリティの専門家が各エンドポイントにおける過去と現在のアクティビティを分析します。不審なアクティビティに注目し、タイムラインを作成してイベント間の関係性を割り出します。
それをベースラインとして、サイバーセキュリティ企業が IT チームに対して的確な質問をします。これらの質問は、具体的であると同時に比較的単純なものであり、セキュリティチームがデータから得られる情報に基づいた評価を継続するうえで役立ちます。たとえば、サイバーセキュリティ企業が、企業のネットワーク上でリモート・アクセス・アプリケーションが不審な動きをしているのを発見し、そのような特定のソフトウェアを使用しているかと尋ねることがあります。
買収側と被買収側の双方が、侵害調査を不動産の査定に相当するものと考えるべきでしょう。それは、取引を成功させるために必要かつ重要なステップなのです。住宅購入を検討している人が、物件にまつわる危険性や将来的に必要となる費用について話す不動産所有者の言葉を鵜呑みにはしないように、企業の M&A チームもそうすべきではありません。専門家チームが状況を評価し、そのプロパティ(物件/特性)が伝えているストーリーを証拠やデータに基づいて読み取る必要があります。
このプロセスでは、買収対象企業のプライバシーが完全に保持されることに注意が必要です。有能なサイバーセキュリティ企業は、対象企業のメタデータのみを参照し、機密情報が完全に保護されるようにします。
背景情報:コンサルタントがもたらす価値
M&A におけるデューデリジェンス実施期間に、サイバーセキュリティ企業の協力を得ることのもう一つの重要な利点は、サイバーセキュリティの専門家が状況に応じた背景情報を提供してくれることです。これらの専門家は、あらゆるセキュリティ上の問題に関する完全なレポートを提供し、どの項目が取引上重要な要素であるかを組織が理解できるよう支援します。
ほとんどすべての組織ネットワークには、ウイルス、マルウェア、アドウェア、およびトロイの木馬が存在することがあるため、そのような支援は重要です。サイバー攻撃の多くは、Web サイトにアクセスしたりファイルをダウンロードする際に感染させるオポチュニスティック型です。しかし、標的型の攻撃も存在します。標的型攻撃では、特定の組織を対象にコードが開発されます。これらは意図された攻撃であり、オポチュニスティック型の攻撃よりもはるかに深刻です。
サイバーセキュリティの専門家たちは、その経験に基づき、攻撃の首謀者に関する深い知識を持っています。また、どの攻撃者グループがどのようなツール、戦術、手口を使うかを知っています。それらの情報から、攻撃の発生元を見極め、最適な攻略方法を割り出します。
すべての関係者にとってのデューデリジェンス
攻撃者らは、侵入のハードルが低い攻撃方法を常に探しています。ビッグゲーム・ハンティング型攻撃の首謀者たちが使う手口として、「第三者を攻撃する」方法があります。企業買収の可能性を嗅ぎつけた攻撃者にとって、被買収企業という第三者以上に好ましい攻撃対象はないでしょう。どのような形であれ、M&A に関与する組織(買収側、被買収側、M&A サポート企業、あるいは関連サービスの提供企業など)は、ハッカーにとっての魅力的な攻撃対象となり得ます。
デューデリジェンス・フェーズでは、企業全体およびパートナーネットワークを介した過去の侵害を発見することに焦点が当てられます。買収側の企業は、「どのようなリスクが想定されているか」あるいは「自分たちが評価してきた知的財産が攻撃者による侵害を受けたことがあるか」といったことを問うべきです。侵害はどこでも発生する可能性があるため、侵害調査も包括的である必要があります。
M&A のライフサイクル全体をとおして、このような疑問に対し完全かつ正確な解を見い出し、不確実性を低減するために、それぞれの関係者が果たすべき役割は次のとおりです。
・買収側企業は、サイバーセキュリティを意思決定プロセスにおいて極めて重要な要素と捉え、デューデリジェンス・プロセスの早い段階から、そのサイクルをとおして IT チームを一貫性のある形で関与させるべきである。
・IT リーダーは、ITチームがM&A活動に関与することを支持し、侵害調査を含む包括的なセキュリティ戦略を策定すべきである。
・法律事務所、投資銀行、保険会社などのサードパーティは、適切なリソースを提供するようにクライアントに積極的に働きかけるべきである。
侵害調査には、時間と費用の投資が必要となるかもしれません。しかし、その価値は十分にあります。米国では、盗まれた知的財産によって年間 6,000 億ドルもの損失が発生しています。もちろん、ビジネスの中断やランサムウェアによる損失は言うまでもありません。包括的かつ効果的なサイバーセキュリティ戦略によって、この数を縮小または排除することは、すべての買収側、被買収側、およびパートナー企業にとって共通の優先事項であるべきです。
CrowdStrike Services が提供する侵害調査(COMPROMISE ASSESSMENT)
強力な CrowdStrike Falcon プラットフォームをベースに、複雑かつ高度な攻撃に対する長年の経験を持つ調査チームが実施する CrowdStrike Services の侵害調査は、お客様の組織に次のような利益をもたらします。
・ドエルタイムの最小化:サイバー攻撃者が防御を突破し、ネットワーク環境内で密かに活動していないかを知ることができます。
・リスクの低減:サイバー攻撃者が金融資産、顧客データ、または知的財産を盗むリスクを低減するために、徹底的な分析を行います。
・セキュリティの向上:組織を大きなリスクにさらしている、効果のないセキュリティプラクティスを積極的に特定します。
このシリーズのパート 2 とパート 3 では、M&A プロセスのクロージング前とクロージング後のフェーズについて説明します。
追加のリソース
・CrowdStrike COMPROMISE ASSESSMENT の Web ページをご覧になり、御社がどのようにリスクを低減し、セキュリティを強化できるかを確認してください。
・CrowdStrike COMPROMISE ASSESSMENT のデータシートをダウンロードしてください。
・御社のサイバーセキュリティ体制の強化を CrowdStrike がどのように支援できるかについては、CrowdStrike Services の Web ページをご覧ください。
・Web ページでは、強力な CrowdStrike Falcon プラットフォームの詳細についても説明しています。
・CrowdStrike の次世代型 AV をお試しください。Falcon Prevent の無料トライアル版をすぐに試してみましょう。
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/role-of-cybersecurity-in-mergers-and-acquisitions-part-1/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
特集今日もどこかで情報漏えい 第16回「2023年8月の情報漏えい」クレディセゾン 誰一人取り残さない対応
今日もどこかで情報漏えいは起きている。
-
豪規制当局が警告「サイバーセキュリティは完全に経営陣の責務」
これは重大な宣告である。オーストラリアでは、経営陣が職務を遂行しなかった場合、取締会メンバーが損失の責任を負ったり、民事罰や刑事罰の対象となる可能性があるのだ。
-
systemd において sudo 権限の付与により管理者権限での任意のコード実行が可能となる脆弱性(Scan Tech Report)
2023 年 8 月に、Linux OS で標準のサービス管理ツールである systemd において、権限昇格が可能となる脆弱性が公開されています。
-
国連サイバー犯罪条約が「グローバル監視協定」になる危険性
人権派弁護士キャリー・シェンクマン氏によれば、草案のあいまいな文言により、国家がサイバー犯罪関連法を利用して LGBTQ+ の人々、特にトランスジェンダーの若者を犯罪者に仕立てることが容易になっているという。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
WordPress 用プラグイン「Welcart e-Commerce」に複数の脆弱性
Sansan、不正ログインに注意呼びかけ ~ 無償提供の二要素認証等促進
安全神話は本当か トレンドマイクロ「Linux 脅威レポート」
ISC BINDに複数の脆弱性、アップデートを呼びかけ
複数のBGP実装に不正なBGP UPDATEメッセージ取り扱いの問題
systemd において sudo 権限の付与により管理者権限での任意のコード実行が可能となる脆弱性(Scan Tech Report)
インシデント・事故 記事一覧へ
JR西日本グループの山陽SC開発のメールアカウントに不正アクセス、迷惑メール送信踏み台に
NICTの業務委託先 TBSグロウディアでノートPC紛失
仕事旅⾏社のサーバに不正アクセス「日本警察が要求に従わない場合データ公開」
「アミ姫 WEB キャンペーン」応募者の個人情報管理サーバに不正アクセス
メガネスーパー運営企業の個人情報、法律上無効の可能性がある契約に基づき譲渡された店舗の POS 端末で検索した形跡
南海電鉄運営のシェアオフィス「Lieffice」公式サイトへの不正アクセス、顧客情報DBへ到達は不可能なため漏えいはないと判断
調査・レポート・白書・ガイドライン 記事一覧へ
ランサムウェア さらに投資対効果追求「フォーティネット グローバル脅威レポート 2023年上半期版」
攻撃者の Active Directory 到達まで平均 16 時間 ~ ソフォス調査
ランサムウェア対応 法執行機関を関与させた方がコストも期間も減少 ~ IBM 調査
フォーティネット「2023年ゼロトラストに関する現状レポート」公表
GMOイエラエ 登壇「セキュリティ・キャンプ全国大会2023」講義資料公開
TwoFive「フィッシングトレンド 2023年1月~6月 調査結果」公表
研修・セミナー・カンファレンス 記事一覧へ
医療 ISAC ほか講演「JAIPA Cloud Conference 2023」9月21日 ハイブリッド開催
公安調査庁がサイバー攻撃ほかについて講演「法の日フェスタin赤レンガ2023」
デロイト直伝:バグバウンティハンターのなり方
診断内製化 まだ年度末に間に合う ~ エーアイセキュリティラボ 執行役員 関根鉄平氏 解説
RSA 主催セミナーに ISOG-J 副代表の阿部氏登壇
