CrowdStrike Blog:M&Aにおけるサイバーセキュリティの重要な役割「 2.クロージング前」 | ScanNetSecurity
2023.12.10(日)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

CrowdStrike Blog:M&Aにおけるサイバーセキュリティの重要な役割「 2.クロージング前」

本記事は、M&A におけるサイバーセキュリティの重要性に関する 3 部作のブログシリーズのパート 2 です。今回のブログではクロージング前のフェーズについて説明します。

国際 海外情報
 本記事は、M&A におけるサイバーセキュリティの重要性に関する 3 部作のブログシリーズのパート 2 です。パート 1 ではデューデリジェンスを扱いました。今回のブログではクロージング前のフェーズについて説明します。

 M&A案件のクロージング前の期間は、通常わずか 30 日です。クロージングに至るまでにやらなければならない膨大な手続きの量を考えると、これは極めて短い時間です。
この期間、IT 部門は統合、売却、維持管理に関連する重大な問題を検討するために、サイバーセキュリティが無視されたり、完全に見過ごされることがあります。そして、それに起因する致命的な問題も生じかねません。なぜならば、クロージング前の期間中に発生した侵害は、買収側と非買収側の双方にとって、運用上、財務上、および評判上の重大な問題につながる可能性があるからです。同時に、この期間に準備を整えておくことが、クロージング後の統合の成否を左右することに間違いはありません。

クロージング前における考慮事項

 ここでは、ネットワークセキュリティを維持し、クロージング後の成功に向けた組織の準備を支援するために、各組織がクロージング前の期間に対処すべき 3 つのサイバーセキュリティ上の考慮事項について説明します。

1.TSA によるセキュリティに関する問題の責任の明確化

 2020 年には、M&A活動が世界的に激減しました。その一方で、サイバー攻撃は増加しています。
たとえば、APJ(アジア太平洋・日本)地域を対象とした最近の調査で、CrowdStrike は、2020 年上半期の eCrime の活動が 2019 年の同時期に比べて 330 %増加したことを報告しています。したがって、非買収企業の健全性とセキュリティを保護することが重要となります。問題は、誰がこの攻撃活動の責任を担うかということです。
クロージング前のフェーズにまず行うべきサイバーセキュリティアジェンダの 1 つは、TSA(Transition Services Agreement:移行期間中のサービス提供に係る契約)の作成です。この契約書では、被買収企業のデジタルセキュリティ計画におけるすべての側面をどの組織が担当および管理するかの概略を示します。これには、予防および監視サービスなどのプロアクティブな対策と、インシデントが発生した場合の対応が含まれます。この契約の一環として、組織は、デューデリジェンスのフェーズで特定された派生的なリスクの概要を示し、そのギャップを埋める方法、あるいは防御強化の方法を決定する必要があります。

 買収側は、明確で包括的な TSA が必要であることに特に留意する必要があります。なぜならば、クロージング前のフェーズにおいて発生したインシデントを解決するための金銭的および運用上のコストを、最終的には買収側が負担することになるからです。また、取引の条件はすでに交渉され合意されているため、データの流出や盗難など、買収対象企業への評価が変わるようなイベントが発生すれば、投資の価値に重大な影響を及ぼす可能性があります。

 最後に、企業の保険契約のコンテキストにおいて TSA を検証することが重要です。残念ながら、M&A 活動に影響を与える可能性のあるサイバーセキュリティの問題は、多くの場合、表明保証保険(W&I 保険)、会社役員賠償責任保険(D&O 保険)、さらにはサイバーセキュリティポリシーによってもカバーされません。デューデリジェンス・フェーズにおいてサイバーリスクの評価が行われず、そのようなポリシーから除外されたり、明示的に言及されなかったことが原因であるケースが大半です。完全な評価が完了していない場合には、この段階で発生した侵害のコストを買収側が負担しなければならない可能性があります。

2.ハイジーンアセスメントの実施によるIT環境の健全性の確認

 このブログシリーズのパート 1 では、M&A 活動のデューデリジェンスにおけるサイバーセキュリティの重要な役割を扱い、包括的なアセスメントを実施して、買収対象企業に関する既知のリスクを特定することの重要性について説明しました。アセスメントでは、過去あるいは現在の脅威の活動を特定します。このとき、「当社が買収しようとしている企業は侵害を受けたことがあるか?」という問いに答えることに焦点が当てられます。侵害調査の実施に加え、組織が良好な IT ハイジーンを保っているかについても判断する必要があります。

 一般的に、健全なネットワークを維持するための最初のステップが IT ハイジーンアセスメントです。侵害調査と同様に、IT ハイジーンアセスメントでは、ネットワーク上の保護されていないデバイス、パッチ未適用のシステム、攻撃者に悪用される可能性のあるその他の脆弱性などの問題点を特定します。それにとどまらず、組織が状況の分析やデータの解釈を行い、脆弱性に優先順位を付け、適切な対応策を決定できるようにします。

 侵害調査中に、過去に脅威活動が行われたことが複数件見つかった組織や、ハイジーンアセスメントで IT ハイジーンの不備が露呈した組織は、リスクプロファイルが高くなっています。このようなことは、M&A 取引が成立し、ネットワークが統合される前に明確に把握しておく必要があります。

 たとえば、サイバーセキュリティの専門家であれば、IT 部門が複数ベンダーのアンチウイルスを使用していることに気づくかもしれません。買収側の企業は、それは単なる所見であり、ささいなことであると考えるかもしれません。ハイジーンアセスメントでは、ここから一歩進めて、それがビジネスにどのような影響を与え、いかに重大な問題であるかを組織が理解できるようにします。

 たとえばこのケースでは、複数のベンダー製品を使用することがセキュリティの強化に寄与しているか、逆にセキュリティ機能の管理や検知が複雑化されて効果が低下していないかといったことが問題になります。サイバーセキュリティ評価チームは、この問題が組織の優先事項であると見なし、その対処および解決のために必要な措置を講じます。

3.包括的なモニタリング、対応、レメディエーションのためのツールやサービスを使用したネットワークの健全性維持

 サイバーセキュリティは、普遍的かつ継続的な懸念事項です。すべての組織が侵害のリスクに直面しており、ネットワークにおける健全性の状態は日々変化します。M&A によるネットワークの統合により、当事者の企業は、互いの組織から発生する脅威にもさらされることになるため、実質的に、リスクが一夜にして 2 倍になると考えることができます。

 企業は、さまざまなエンドポイントの監視、脅威の検知、および対応機能を組み込んだ包括的なセキュリティ戦略を採用し、ネットワークの安全を確保する必要があります。M&A 活動では、ハイジーンアセスメントと同様に、分析とそれが何を意味するのかという解釈が大きな役割を果たします。組織は常にリスクに直面しています。重要なのは、ビジネスの中断を最小限に抑えながら、どの脅威に優先順位を付け、どのように脅威に対処すべきかを把握することです。そのため、包括的なサイバーセキュリティツール群に加え、イベントの分析と対応を支援する、緊急時に連絡の取れる状態にあるリソースも併せて活用する必要があります。

 成熟したセキュリティをすぐに実現する手段の 1 つとして、CrowdStrike Falcon Complete のようなマネージドサービスを利用する方法もあります。Falcon Complete は、CrowdStrike のエンドポイント保護ソリューションのマネージド型の脅威検知・対応サービスです。CrowdStrike Services の脅威ハンターたちの専門知識と、CrowdStrike Falcon プラットフォームの機能の両方を活用して、顧客の環境内に存在する脅威を検知し対応します。

 Falcon Complete は、エンドポイントセキュリティ環境の実践的な管理および最適化機能を 24 時間 365 日提供し、クロージング前の期間を通して、サイバーセキュリティの問題が専門的に処理されるようにします。セキュリティの専門家で構成される Falcon Complete チームは、悪質な攻撃活動を自動的に検知し、合理的に優先順位付けを行います。また、侵害を受けたシステムの封じ込め、調査、修復といった対応を組織が迅速に行えるように支援します。当社のサービスは、MITRE ATT&CK フレームワークに対応しており、非常に複雑な検知結果も一目で理解していただけるようにしています。

クロージング前の期間を最大限に活用

 M&A ライフサイクルのクロージング前のフェーズでは、多くの場合、コストが意思決定の大きな要因となります。この時期、サイバーセキュリティは、価値ある投資とはみなされず見過ごされる傾向にあるものの、この問題を無視することによるリスクは明白かつ甚大です。たとえば、Ponemon Institute によるレポート『Cost of a Data Breach 2020』によると、侵害の 80 %では顧客の PII(個人情報)が関係しており、1 件の侵害がもたらすコストの平均は 386 万ドルを超えています。さらに、クロージング前に講じた対策は、クロージング後の統合の成功に向けた準備として組織の役に立つことになります。買収側、非買収側のどちらの企業も、この 30 日間を賢く使い、今は健全な投資を維持して、将来に向けたより安全な投資を行うことをお勧めします。

追加のリソース

M&A のデューデリジェンス・フェーズにおけるサイバーセキュリティの重要性を説明する記事をご一読ください。

CrowdStrike プロアクティブサービスの Web ページをご覧になり、御社がどのようにリスクを低減し、セキュリティを強化できるかを確認してください。

CrowdStrike Compromise Assessment(侵害調査)のデータシートをダウンロードしてください。

CrowdStrike IT Hygiene Assessment の Web ページをご覧になり、御社の環境内の脆弱性をどのように低減できるかを確認してください。

CrowdStrike IT Hygiene Assessment のデータシートをダウンロードしてください。

・御社のサイバーセキュリティ体制の強化を CrowdStrike がどのように支援できるかについては、CrowdStrike Services の Web ページをご覧ください。

Webページでは、強力な CrowdStrike Falcon プラットフォームの詳細について説明しています。

・CrowdStrike の次世代型AVをお試しください。Falcon Prevent の無料トライアル版をすぐに試してみましょう。

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/the-critical-role-of-cybersecurity-in-ma-part-2-pre-close/
《Stuart Davis and Marko Polunic (CrowdStrike)》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

不審メール確認、年金積立金管理運用独立行政法人を装い給付金等 案内 画像

不審メール確認、年金積立金管理運用独立行政法人を装い給付金等 案内
オランダ半導体製造企業 侵害/doda 転職活動バレ/港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度] 画像

オランダ半導体製造企業 侵害/doda 転職活動バレ/港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]
「楽々Document Plus」にディレクトリトラバーサルの脆弱性 画像

「楽々Document Plus」にディレクトリトラバーサルの脆弱性
トレンドマイクロ、2023年サイバーセキュリティ動向ふりかえり 画像

トレンドマイクロ、2023年サイバーセキュリティ動向ふりかえり
Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性(Scan Tech Report) 画像

Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性(Scan Tech Report)
Ruckus Access Point に XSS の脆弱性 画像

Ruckus Access Point に XSS の脆弱性

インシデント・事故 記事一覧へ

シグマの Instagram 公式アカウント乗っ取り被害 画像

シグマの Instagram 公式アカウント乗っ取り被害
京都教育大学附属桃山中学校の公用パソコン、サポート詐欺の被害に 画像

京都教育大学附属桃山中学校の公用パソコン、サポート詐欺の被害に
ファイルサーバに脅迫文、大西グループに不正アクセス 画像

ファイルサーバに脅迫文、大西グループに不正アクセス
ECC学習支援システムへの不正アクセス、名古屋芸術大学の在籍学生586人の個人情報漏えいの可能性 画像

ECC学習支援システムへの不正アクセス、名古屋芸術大学の在籍学生586人の個人情報漏えいの可能性
積水ハウスのシステム開発用クラウドサーバから顧客情報漏えい、委託先のBIPROGYのセキュリティ設定不備 画像

積水ハウスのシステム開発用クラウドサーバから顧客情報漏えい、委託先のBIPROGYのセキュリティ設定不備
マツダへの不正アクセス、再発防止策は ASM 導入や多要素認証の実装加速 画像

マツダへの不正アクセス、再発防止策は ASM 導入や多要素認証の実装加速

調査・レポート・白書・ガイドライン 記事一覧へ

ほんとにクラッカーに負けない?「OSS の六つの神話」を検証 画像

ほんとにクラッカーに負けない?「OSS の六つの神話」を検証
不正注文被害のEC事業者は34.4%、年間被害金額は25~50万円が最多 画像

不正注文被害のEC事業者は34.4%、年間被害金額は25~50万円が最多
ボットが一般家庭の IP アドレス使用し防御回避、ユーザーは「CAPTCHA地獄」に 画像

ボットが一般家庭の IP アドレス使用し防御回避、ユーザーは「CAPTCHA地獄」に
代表的な偽アップデートマルウェア配信フレームワーク「SocGholish」分析 画像

代表的な偽アップデートマルウェア配信フレームワーク「SocGholish」分析
EPSS と CVSS を組み合わせた脆弱性ハンドリングを検証 画像

EPSS と CVSS を組み合わせた脆弱性ハンドリングを検証
ソースコード診断における ChatGPT の 3 つの長所 ~ MBSD 寺田氏検証 画像

ソースコード診断における ChatGPT の 3 つの長所 ~ MBSD 寺田氏検証

研修・セミナー・カンファレンス 記事一覧へ

AeyeScanによるテスト環境の診断方法 ~ エーアイセキュリティラボ 執行役員 関根氏解説 画像

AeyeScanによるテスト環境の診断方法 ~ エーアイセキュリティラボ 執行役員 関根氏解説
GMOイエラエ、「外部 IT 資産可視化」「継続的脆弱性対策」への ASM 活用セミナー 12/11 開催 画像

GMOイエラエ、「外部 IT 資産可視化」「継続的脆弱性対策」への ASM 活用セミナー 12/11 開催
GMOイエラエ社長 牧田誠 講演「エンジニアの楽園のつくりかた」~ 12 / 5, 6「GMO Developers Day 2023」オンライン開催 画像

GMOイエラエ社長 牧田誠 講演「エンジニアの楽園のつくりかた」~ 12 / 5, 6「GMO Developers Day 2023」オンライン開催
受け身ではなく先回り:CISO はサイバー脅威インテリジェンスをどう読むべきか 画像

受け身ではなく先回り:CISO はサイバー脅威インテリジェンスをどう読むべきか
「サイボウズ バグハンター合宿 2023」脆弱性 36 件認定 画像

「サイボウズ バグハンター合宿 2023」脆弱性 36 件認定
サイバー脅威インテリジェンスの未来 5つの傾向 画像

サイバー脅威インテリジェンスの未来 5つの傾向

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」アップデート、スキャンルールおよび脆弱性説明のカスタム機能を追加 画像

脆弱性診断自動化ツール「AeyeScan」アップデート、スキャンルールおよび脆弱性説明のカスタム機能を追加
社会や環境に配慮した公益性の高い企業としてクラフを「B Corporation」に認証、国内セキュリティ企業初 画像

社会や環境に配慮した公益性の高い企業としてクラフを「B Corporation」に認証、国内セキュリティ企業初
宮崎県のサイバーセキュリティベンチャー企業が国際企業認証 B Corp 認定を受けるまで ~ 株式会社クラフ エバンジェリスト村上瑛美インタビュー 画像

宮崎県のサイバーセキュリティベンチャー企業が国際企業認証 B Corp 認定を受けるまで ~ 株式会社クラフ エバンジェリスト村上瑛美インタビュー
不正アクセス禁止法に基づくアクセス制御技術の募集を開始 画像

不正アクセス禁止法に基づくアクセス制御技術の募集を開始
心の中で思い描いたイメージの脳信号からの復元に成功 画像

心の中で思い描いたイメージの脳信号からの復元に成功
「脆弱性のない製品を」NECプラットフォームズ、製品セキュリティポリシー策定 画像

「脆弱性のない製品を」NECプラットフォームズ、製品セキュリティポリシー策定

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×