CrowdStrike Blog：M&A におけるサイバーセキュリティの重要な役割「 1．デューデリジェンス」

　COVID-19 は、ビジネスのあらゆる側面を混乱させています。もちろん、M&A も例外ではありません。2020 年 6 月 30 日の時点で M&A の活動全体は、前年比で 55 %以上減少していますが、その一方で M&A リーダーシップ協議会による調査によれば、経営幹部のほぼ 4 人に 1 人（23%）が、「2020 年の M&A 取引量予測に（COVID-19 による）影響はない」、あるいは、2020 年の残りの期間には「M&A 取引量を増加させるつもりである」と報告していました。

　M&A を控えるのか、それとも加速するのかというような戦略の如何に関わらず、前例のないレベルの市場の変動は、企業が取引における不確実性と複雑性を軽減する方法を検討すべきであることを意味しています。M&A のプロセスにおいて見落とされがちな重要な考慮事項の1つにサイバーセキュリティがあります。この 3 部構成のブログ・シリーズでは、M&A におけるサイバーセキュリティの重要な役割について説明します。今回は、最初のフェーズであるデューデリジェンスについてです。パート 2 とパート 3 は、クロージング前とクロージング後のフェーズについて説明します。

　多くの場合、企業の評価は知的財産（IP）とデータに影響されます。万一、攻撃者がネットワーク内に侵入していれば、企業の価値や売却額に影響を与えかねない機密情報や資産などを流出させている可能性があります。さらに、過去のインシデントが、新しい親会社が引き継ぐことになる負債を生み、買収側の企業を将来顕在化するかもしれない重大なリスクにさらす可能性もあります。

　これらの問題は、M&A におけるリスクの環境がどのように変化してきたかを表しています。また、買収対象の企業を正確に評価し、既知のリスクを特定して対処し、その企業の安全な統合を支援するための包括的な戦略を策定するうえで、買い手企業が売り手企業のサイバーセキュリティの履歴をなぜ評価しなければならないか、その理由を浮き彫りにしています。

M&A のデューデリジェンスのモダナイゼーション：侵害調査の効果

　M&A のほとんどのケースでは、サイバーセキュリティにおけるデューデリジェンスは、買収側企業から被買収側への一連の基本的な質問によって成り立っています。たとえば、組織にセキュリティチームは存在しているか？ファイアウォールは設置されているか？アンチウイルスソフトウェアは使用されているか？などです。

　このような質問への回答は、客観的な「はい」か「いいえ」のいずれかになるでしょう。しかし、そのような回答からは、買収対象企業の IT の健全性を正確に測定することはできません。

　ほとんどの組織では、セキュリティツールやセキュリティシステムが導入されています。しかし、それらが正しく構成されているとは限りません。さらに、絶対確実なソリューションなどは存在しません。チェックリストで「はい」と答えたからといって、安全であることにはなりません。

　また、ある程度の主観が入る場合もあります。たとえば、これまでに「何らかの問題」があったかという質問に対し、IT チームは、過去のイベントがいつ発生したか、ビジネスにどの程度の影響があったか、組織がそのイベントから何を学んだかなどを考慮して回顧および判断しがちです。

　このような理由から、多くのコンサルティング会社が提供しているような、「従来型の質問形式によるリスク評価」の枠を超えることが重要です。

　この潜在的な欠点に対処するために、買収側企業は、サイバーセキュリティ企業が提供する詳細な侵害調査の導入を検討することができます。侵害調査では、多くの質問をする代わりに、テレメトリー情報（ネットワーク全体のすべてのアクティビティおよび過去のアクティビティのアーチファクト）に着目します。このアセスメントでは、サイバーセキュリティの専門家が各エンドポイントにおける過去と現在のアクティビティを分析します。不審なアクティビティに注目し、タイムラインを作成してイベント間の関係性を割り出します。

　それをベースラインとして、サイバーセキュリティ企業が IT チームに対して的確な質問をします。これらの質問は、具体的であると同時に比較的単純なものであり、セキュリティチームがデータから得られる情報に基づいた評価を継続するうえで役立ちます。たとえば、サイバーセキュリティ企業が、企業のネットワーク上でリモート・アクセス・アプリケーションが不審な動きをしているのを発見し、そのような特定のソフトウェアを使用しているかと尋ねることがあります。

　買収側と被買収側の双方が、侵害調査を不動産の査定に相当するものと考えるべきでしょう。それは、取引を成功させるために必要かつ重要なステップなのです。住宅購入を検討している人が、物件にまつわる危険性や将来的に必要となる費用について話す不動産所有者の言葉を鵜呑みにはしないように、企業の M&A チームもそうすべきではありません。専門家チームが状況を評価し、そのプロパティ（物件/特性）が伝えているストーリーを証拠やデータに基づいて読み取る必要があります。

　このプロセスでは、買収対象企業のプライバシーが完全に保持されることに注意が必要です。有能なサイバーセキュリティ企業は、対象企業のメタデータのみを参照し、機密情報が完全に保護されるようにします。

背景情報：コンサルタントがもたらす価値

　M&A におけるデューデリジェンス実施期間に、サイバーセキュリティ企業の協力を得ることのもう一つの重要な利点は、サイバーセキュリティの専門家が状況に応じた背景情報を提供してくれることです。これらの専門家は、あらゆるセキュリティ上の問題に関する完全なレポートを提供し、どの項目が取引上重要な要素であるかを組織が理解できるよう支援します。

　ほとんどすべての組織ネットワークには、ウイルス、マルウェア、アドウェア、およびトロイの木馬が存在することがあるため、そのような支援は重要です。サイバー攻撃の多くは、Web サイトにアクセスしたりファイルをダウンロードする際に感染させるオポチュニスティック型です。しかし、標的型の攻撃も存在します。標的型攻撃では、特定の組織を対象にコードが開発されます。これらは意図された攻撃であり、オポチュニスティック型の攻撃よりもはるかに深刻です。

　サイバーセキュリティの専門家たちは、その経験に基づき、攻撃の首謀者に関する深い知識を持っています。また、どの攻撃者グループがどのようなツール、戦術、手口を使うかを知っています。それらの情報から、攻撃の発生元を見極め、最適な攻略方法を割り出します。

すべての関係者にとってのデューデリジェンス

　攻撃者らは、侵入のハードルが低い攻撃方法を常に探しています。ビッグゲーム・ハンティング型攻撃の首謀者たちが使う手口として、「第三者を攻撃する」方法があります。企業買収の可能性を嗅ぎつけた攻撃者にとって、被買収企業という第三者以上に好ましい攻撃対象はないでしょう。どのような形であれ、M&A に関与する組織（買収側、被買収側、M&A サポート企業、あるいは関連サービスの提供企業など）は、ハッカーにとっての魅力的な攻撃対象となり得ます。

　デューデリジェンス・フェーズでは、企業全体およびパートナーネットワークを介した過去の侵害を発見することに焦点が当てられます。買収側の企業は、「どのようなリスクが想定されているか」あるいは「自分たちが評価してきた知的財産が攻撃者による侵害を受けたことがあるか」といったことを問うべきです。侵害はどこでも発生する可能性があるため、侵害調査も包括的である必要があります。

　M&A のライフサイクル全体をとおして、このような疑問に対し完全かつ正確な解を見い出し、不確実性を低減するために、それぞれの関係者が果たすべき役割は次のとおりです。

・買収側企業は、サイバーセキュリティを意思決定プロセスにおいて極めて重要な要素と捉え、デューデリジェンス・プロセスの早い段階から、そのサイクルをとおして IT チームを一貫性のある形で関与させるべきである。

・IT リーダーは、ITチームがM&A活動に関与することを支持し、侵害調査を含む包括的なセキュリティ戦略を策定すべきである。

・法律事務所、投資銀行、保険会社などのサードパーティは、適切なリソースを提供するようにクライアントに積極的に働きかけるべきである。

　侵害調査には、時間と費用の投資が必要となるかもしれません。しかし、その価値は十分にあります。米国では、盗まれた知的財産によって年間 6,000 億ドルもの損失が発生しています。もちろん、ビジネスの中断やランサムウェアによる損失は言うまでもありません。包括的かつ効果的なサイバーセキュリティ戦略によって、この数を縮小または排除することは、すべての買収側、被買収側、およびパートナー企業にとって共通の優先事項であるべきです。

CrowdStrike Services が提供する侵害調査（COMPROMISE ASSESSMENT）

　強力な CrowdStrike Falcon プラットフォームをベースに、複雑かつ高度な攻撃に対する長年の経験を持つ調査チームが実施する CrowdStrike Services の侵害調査は、お客様の組織に次のような利益をもたらします。

・ドエルタイムの最小化：サイバー攻撃者が防御を突破し、ネットワーク環境内で密かに活動していないかを知ることができます。

・リスクの低減：サイバー攻撃者が金融資産、顧客データ、または知的財産を盗むリスクを低減するために、徹底的な分析を行います。

・セキュリティの向上：組織を大きなリスクにさらしている、効果のないセキュリティプラクティスを積極的に特定します。

　このシリーズのパート 2 とパート 3 では、M&A プロセスのクロージング前とクロージング後のフェーズについて説明します。

追加のリソース

・CrowdStrike COMPROMISE ASSESSMENT の Web ページをご覧になり、御社がどのようにリスクを低減し、セキュリティを強化できるかを確認してください。

・CrowdStrike COMPROMISE ASSESSMENT のデータシートをダウンロードしてください。

・御社のサイバーセキュリティ体制の強化を CrowdStrike がどのように支援できるかについては、CrowdStrike Services の Web ページをご覧ください。

・Web ページでは、強力な CrowdStrike Falcon プラットフォームの詳細についても説明しています。

・CrowdStrike の次世代型 AV をお試しください。Falcon Prevent の無料トライアル版をすぐに試してみましょう。

＊原文はCrowdStrike Blog サイト掲載：https://www.crowdstrike.com/blog/role-of-cybersecurity-in-mergers-and-acquisitions-part-1/