このブログシリーズのパート 1 では、M&A 活動のデューデリジェンスにおけるサイバーセキュリティの重要な役割を扱い、包括的なアセスメントを実施して、買収対象企業に関する既知のリスクを特定することの重要性について説明しました。アセスメントでは、過去あるいは現在の脅威の活動を特定します。このとき、「当社が買収しようとしている企業は侵害を受けたことがあるか?」という問いに答えることに焦点が当てられます。侵害調査の実施に加え、組織が良好な IT ハイジーンを保っているかについても判断する必要があります。
一般的に、健全なネットワークを維持するための最初のステップが IT ハイジーンアセスメントです。侵害調査と同様に、IT ハイジーンアセスメントでは、ネットワーク上の保護されていないデバイス、パッチ未適用のシステム、攻撃者に悪用される可能性のあるその他の脆弱性などの問題点を特定します。それにとどまらず、組織が状況の分析やデータの解釈を行い、脆弱性に優先順位を付け、適切な対応策を決定できるようにします。
侵害調査中に、過去に脅威活動が行われたことが複数件見つかった組織や、ハイジーンアセスメントで IT ハイジーンの不備が露呈した組織は、リスクプロファイルが高くなっています。このようなことは、M&A 取引が成立し、ネットワークが統合される前に明確に把握しておく必要があります。
M&A ライフサイクルのクロージング前のフェーズでは、多くの場合、コストが意思決定の大きな要因となります。この時期、サイバーセキュリティは、価値ある投資とはみなされず見過ごされる傾向にあるものの、この問題を無視することによるリスクは明白かつ甚大です。たとえば、Ponemon Institute によるレポート『Cost of a Data Breach 2020』によると、侵害の 80 %では顧客の PII(個人情報)が関係しており、1 件の侵害がもたらすコストの平均は 386 万ドルを超えています。さらに、クロージング前に講じた対策は、クロージング後の統合の成功に向けた準備として組織の役に立つことになります。買収側、非買収側のどちらの企業も、この 30 日間を賢く使い、今は健全な投資を維持して、将来に向けたより安全な投資を行うことをお勧めします。
