CrowdStrike Blog:M&A におけるサイバーセキュリティの重要な役割「 1.デューデリジェンス」
M&Aのプロセスにおいて見落とされがちな重要な考慮事項の1つにサイバーセキュリティがあります。この3部構成のブログ・シリーズでは、M&Aにおけるサイバーセキュリティの重要な役割について説明します。今回は、最初のフェーズであるデューデリジェンスについてです。
国際
海外情報
M&A を控えるのか、それとも加速するのかというような戦略の如何に関わらず、前例のないレベルの市場の変動は、企業が取引における不確実性と複雑性を軽減する方法を検討すべきであることを意味しています。M&A のプロセスにおいて見落とされがちな重要な考慮事項の1つにサイバーセキュリティがあります。この 3 部構成のブログ・シリーズでは、M&A におけるサイバーセキュリティの重要な役割について説明します。今回は、最初のフェーズであるデューデリジェンスについてです。パート 2 とパート 3 は、クロージング前とクロージング後のフェーズについて説明します。
多くの場合、企業の評価は知的財産(IP)とデータに影響されます。万一、攻撃者がネットワーク内に侵入していれば、企業の価値や売却額に影響を与えかねない機密情報や資産などを流出させている可能性があります。さらに、過去のインシデントが、新しい親会社が引き継ぐことになる負債を生み、買収側の企業を将来顕在化するかもしれない重大なリスクにさらす可能性もあります。
これらの問題は、M&A におけるリスクの環境がどのように変化してきたかを表しています。また、買収対象の企業を正確に評価し、既知のリスクを特定して対処し、その企業の安全な統合を支援するための包括的な戦略を策定するうえで、買い手企業が売り手企業のサイバーセキュリティの履歴をなぜ評価しなければならないか、その理由を浮き彫りにしています。
M&A のデューデリジェンスのモダナイゼーション:侵害調査の効果
M&A のほとんどのケースでは、サイバーセキュリティにおけるデューデリジェンスは、買収側企業から被買収側への一連の基本的な質問によって成り立っています。たとえば、組織にセキュリティチームは存在しているか?ファイアウォールは設置されているか? アンチウイルスソフトウェアは使用されているか? などです。
このような質問への回答は、客観的な「はい」か「いいえ」のいずれかになるでしょう。しかし、そのような回答からは、買収対象企業の IT の健全性を正確に測定することはできません。
ほとんどの組織では、セキュリティツールやセキュリティシステムが導入されています。しかし、それらが正しく構成されているとは限りません。さらに、絶対確実なソリューションなどは存在しません。チェックリストで「はい」と答えたからといって、安全であることにはなりません。
また、ある程度の主観が入る場合もあります。たとえば、これまでに「何らかの問題」があったかという質問に対し、IT チームは、過去のイベントがいつ発生したか、ビジネスにどの程度の影響があったか、組織がそのイベントから何を学んだかなどを考慮して回顧および判断しがちです。
このような理由から、多くのコンサルティング会社が提供しているような、「従来型の質問形式によるリスク評価」の枠を超えることが重要です。
この潜在的な欠点に対処するために、買収側企業は、サイバーセキュリティ企業が提供する詳細な侵害調査の導入を検討することができます。侵害調査では、多くの質問をする代わりに、テレメトリー情報(ネットワーク全体のすべてのアクティビティおよび過去のアクティビティのアーチファクト)に着目します。このアセスメントでは、サイバーセキュリティの専門家が各エンドポイントにおける過去と現在のアクティビティを分析します。不審なアクティビティに注目し、タイムラインを作成してイベント間の関係性を割り出します。
それをベースラインとして、サイバーセキュリティ企業が IT チームに対して的確な質問をします。これらの質問は、具体的であると同時に比較的単純なものであり、セキュリティチームがデータから得られる情報に基づいた評価を継続するうえで役立ちます。たとえば、サイバーセキュリティ企業が、企業のネットワーク上でリモート・アクセス・アプリケーションが不審な動きをしているのを発見し、そのような特定のソフトウェアを使用しているかと尋ねることがあります。
買収側と被買収側の双方が、侵害調査を不動産の査定に相当するものと考えるべきでしょう。それは、取引を成功させるために必要かつ重要なステップなのです。住宅購入を検討している人が、物件にまつわる危険性や将来的に必要となる費用について話す不動産所有者の言葉を鵜呑みにはしないように、企業の M&A チームもそうすべきではありません。専門家チームが状況を評価し、そのプロパティ(物件/特性)が伝えているストーリーを証拠やデータに基づいて読み取る必要があります。
このプロセスでは、買収対象企業のプライバシーが完全に保持されることに注意が必要です。有能なサイバーセキュリティ企業は、対象企業のメタデータのみを参照し、機密情報が完全に保護されるようにします。
背景情報:コンサルタントがもたらす価値
M&A におけるデューデリジェンス実施期間に、サイバーセキュリティ企業の協力を得ることのもう一つの重要な利点は、サイバーセキュリティの専門家が状況に応じた背景情報を提供してくれることです。これらの専門家は、あらゆるセキュリティ上の問題に関する完全なレポートを提供し、どの項目が取引上重要な要素であるかを組織が理解できるよう支援します。
ほとんどすべての組織ネットワークには、ウイルス、マルウェア、アドウェア、およびトロイの木馬が存在することがあるため、そのような支援は重要です。サイバー攻撃の多くは、Web サイトにアクセスしたりファイルをダウンロードする際に感染させるオポチュニスティック型です。しかし、標的型の攻撃も存在します。標的型攻撃では、特定の組織を対象にコードが開発されます。これらは意図された攻撃であり、オポチュニスティック型の攻撃よりもはるかに深刻です。
サイバーセキュリティの専門家たちは、その経験に基づき、攻撃の首謀者に関する深い知識を持っています。また、どの攻撃者グループがどのようなツール、戦術、手口を使うかを知っています。それらの情報から、攻撃の発生元を見極め、最適な攻略方法を割り出します。
すべての関係者にとってのデューデリジェンス
攻撃者らは、侵入のハードルが低い攻撃方法を常に探しています。ビッグゲーム・ハンティング型攻撃の首謀者たちが使う手口として、「第三者を攻撃する」方法があります。企業買収の可能性を嗅ぎつけた攻撃者にとって、被買収企業という第三者以上に好ましい攻撃対象はないでしょう。どのような形であれ、M&A に関与する組織(買収側、被買収側、M&A サポート企業、あるいは関連サービスの提供企業など)は、ハッカーにとっての魅力的な攻撃対象となり得ます。
デューデリジェンス・フェーズでは、企業全体およびパートナーネットワークを介した過去の侵害を発見することに焦点が当てられます。買収側の企業は、「どのようなリスクが想定されているか」あるいは「自分たちが評価してきた知的財産が攻撃者による侵害を受けたことがあるか」といったことを問うべきです。侵害はどこでも発生する可能性があるため、侵害調査も包括的である必要があります。
M&A のライフサイクル全体をとおして、このような疑問に対し完全かつ正確な解を見い出し、不確実性を低減するために、それぞれの関係者が果たすべき役割は次のとおりです。
・買収側企業は、サイバーセキュリティを意思決定プロセスにおいて極めて重要な要素と捉え、デューデリジェンス・プロセスの早い段階から、そのサイクルをとおして IT チームを一貫性のある形で関与させるべきである。
・IT リーダーは、ITチームがM&A活動に関与することを支持し、侵害調査を含む包括的なセキュリティ戦略を策定すべきである。
・法律事務所、投資銀行、保険会社などのサードパーティは、適切なリソースを提供するようにクライアントに積極的に働きかけるべきである。
侵害調査には、時間と費用の投資が必要となるかもしれません。しかし、その価値は十分にあります。米国では、盗まれた知的財産によって年間 6,000 億ドルもの損失が発生しています。もちろん、ビジネスの中断やランサムウェアによる損失は言うまでもありません。包括的かつ効果的なサイバーセキュリティ戦略によって、この数を縮小または排除することは、すべての買収側、被買収側、およびパートナー企業にとって共通の優先事項であるべきです。
CrowdStrike Services が提供する侵害調査(COMPROMISE ASSESSMENT)
強力な CrowdStrike Falcon プラットフォームをベースに、複雑かつ高度な攻撃に対する長年の経験を持つ調査チームが実施する CrowdStrike Services の侵害調査は、お客様の組織に次のような利益をもたらします。
・ドエルタイムの最小化:サイバー攻撃者が防御を突破し、ネットワーク環境内で密かに活動していないかを知ることができます。
・リスクの低減:サイバー攻撃者が金融資産、顧客データ、または知的財産を盗むリスクを低減するために、徹底的な分析を行います。
・セキュリティの向上:組織を大きなリスクにさらしている、効果のないセキュリティプラクティスを積極的に特定します。
このシリーズのパート 2 とパート 3 では、M&A プロセスのクロージング前とクロージング後のフェーズについて説明します。
追加のリソース
・CrowdStrike COMPROMISE ASSESSMENT の Web ページをご覧になり、御社がどのようにリスクを低減し、セキュリティを強化できるかを確認してください。
・CrowdStrike COMPROMISE ASSESSMENT のデータシートをダウンロードしてください。
・御社のサイバーセキュリティ体制の強化を CrowdStrike がどのように支援できるかについては、CrowdStrike Services の Web ページをご覧ください。
・Web ページでは、強力な CrowdStrike Falcon プラットフォームの詳細についても説明しています。
・CrowdStrike の次世代型 AV をお試しください。Falcon Prevent の無料トライアル版をすぐに試してみましょう。
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/role-of-cybersecurity-in-mergers-and-acquisitions-part-1/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
研修・セミナー・カンファレンス
楽天ウォレット CIO が語る暗号資産保護のポイント
暗号資産の流出事件の原因や、その対策ポイントについて、楽天ウォレット CIO 執行役員 佐々木康宏氏が「Security Days Fall 2021」で語った。
-
政府がセキュリティ事故当事者に課す報告期限の最短記録 インドで更新
インドの CERT-Inは国内の多くの IT企業に対して、ランサムウェア攻撃やソーシャルメディアアカウントの漏洩など、20 種類の情報セキリュティインシデントを検出後 6 時間以内に報告するよう義務付ける新たな規則の遵守を、喫緊の重大な課題として課した。
-
世界最大の歯科医師会もセキュリティは頭痛のタネ ~ ランサムウェアの脅威と Gmail の問い合わせ先
犯罪組織「Black Basta(ブラック バスタ)」は、米国歯科医師会にランサムウェアを感染させたと表明している。
-
強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論
サイバー攻撃の調査に国家が介入するより、民間企業や専門家が担当するほうが民主的であり何倍もマシであることは確かかもしれない。しかし、インシデントの調査委員は「第三者委員」と言われてはいるものの、当事者による人選で委託されるケースは多い。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性

サイボウズ Garoon に複数の脆弱性

マイクロソフトが5月のセキュリティ情報公開、Windows LSA のなりすましの脆弱性は悪用の事実を確認済み

Intel製品に複数の脆弱性

さくらインターネットを騙るフィッシングメールに注意喚起

Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report)
インシデント・事故 記事一覧へ

国産パブリッククラウド「ニフクラ」に不正アクセス、公表されたロードバランサーの脆弱性を悪用

PayPayカードで指定信用情報機関への信用情報を誤登録、与信判断に影響

京都で不動産業を行う長栄のサーバに不正アクセス、現時点で顧客関連情報の流出は確認されず

「MACHATT ONLINE STORE」に不正アクセス、16,093名のカード情報が漏えい

二重チェックでも気付けず、会員専用サイト「レジナビ」内のメッセージに個人情報含むCSVファイル添付

アート専門EC「TRiCERA.NET」のFacebookアカウント連携で7名の顧客情報が閲覧可能に
調査・レポート・白書 記事一覧へ

産業化するランサムウェア ~ 被害インパクトは攻撃者のスキル高低と関係がない

OSSのセキュリティ確保事例、トヨタやソニー、デンソー、サイボウズ、ヤフー他

CrowdStrike 、Dockerを標的にしたクリプトマイニングオペレーション「LemonDuck」を解説

トレンドマイクロ「国内標的型攻撃分析レポート2022年版」公開、4つのグループの特徴を整理

97%の組織が「Kubernetes」のセキュリティに懸念、VMware調査

米国はじめ5ヶ国のサイバーセキュリティ当局、攻撃者が悪用する脆弱性トップ15を公表
研修・セミナー・カンファレンス 記事一覧へ

実践的サイバー防御演習「CYDER」の2022年度の申込み受付を開始

楽天ウォレット CIO が語る暗号資産保護のポイント

GMOサイバーセキュリティ byイエラエ、CODE BLUE 2022のトップスポンサーに

2022年度の「実践サイバー演習 RPCI」の受付開始

強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論
