CrowdStrike Blog：M&Aにおけるサイバーセキュリティの重要な役割「 2．クロージング前」

　本記事は、M&A におけるサイバーセキュリティの重要性に関する 3 部作のブログシリーズのパート 2 です。パート 1 ではデューデリジェンスを扱いました。今回のブログではクロージング前のフェーズについて説明します。

　M&A案件のクロージング前の期間は、通常わずか 30 日です。クロージングに至るまでにやらなければならない膨大な手続きの量を考えると、これは極めて短い時間です。
この期間、IT 部門は統合、売却、維持管理に関連する重大な問題を検討するために、サイバーセキュリティが無視されたり、完全に見過ごされることがあります。そして、それに起因する致命的な問題も生じかねません。なぜならば、クロージング前の期間中に発生した侵害は、買収側と非買収側の双方にとって、運用上、財務上、および評判上の重大な問題につながる可能性があるからです。同時に、この期間に準備を整えておくことが、クロージング後の統合の成否を左右することに間違いはありません。

クロージング前における考慮事項

　ここでは、ネットワークセキュリティを維持し、クロージング後の成功に向けた組織の準備を支援するために、各組織がクロージング前の期間に対処すべき 3 つのサイバーセキュリティ上の考慮事項について説明します。

1.TSA によるセキュリティに関する問題の責任の明確化

　2020 年には、M&A活動が世界的に激減しました。その一方で、サイバー攻撃は増加しています。
たとえば、APJ（アジア太平洋・日本）地域を対象とした最近の調査で、CrowdStrike は、2020 年上半期の eCrime の活動が 2019 年の同時期に比べて 330 %増加したことを報告しています。したがって、非買収企業の健全性とセキュリティを保護することが重要となります。問題は、誰がこの攻撃活動の責任を担うかということです。
クロージング前のフェーズにまず行うべきサイバーセキュリティアジェンダの 1 つは、TSA（Transition Services Agreement：移行期間中のサービス提供に係る契約）の作成です。この契約書では、被買収企業のデジタルセキュリティ計画におけるすべての側面をどの組織が担当および管理するかの概略を示します。これには、予防および監視サービスなどのプロアクティブな対策と、インシデントが発生した場合の対応が含まれます。この契約の一環として、組織は、デューデリジェンスのフェーズで特定された派生的なリスクの概要を示し、そのギャップを埋める方法、あるいは防御強化の方法を決定する必要があります。

　買収側は、明確で包括的な TSA が必要であることに特に留意する必要があります。なぜならば、クロージング前のフェーズにおいて発生したインシデントを解決するための金銭的および運用上のコストを、最終的には買収側が負担することになるからです。また、取引の条件はすでに交渉され合意されているため、データの流出や盗難など、買収対象企業への評価が変わるようなイベントが発生すれば、投資の価値に重大な影響を及ぼす可能性があります。

　最後に、企業の保険契約のコンテキストにおいて TSA を検証することが重要です。残念ながら、M&A 活動に影響を与える可能性のあるサイバーセキュリティの問題は、多くの場合、表明保証保険（W&I 保険）、会社役員賠償責任保険（D&O 保険）、さらにはサイバーセキュリティポリシーによってもカバーされません。デューデリジェンス・フェーズにおいてサイバーリスクの評価が行われず、そのようなポリシーから除外されたり、明示的に言及されなかったことが原因であるケースが大半です。完全な評価が完了していない場合には、この段階で発生した侵害のコストを買収側が負担しなければならない可能性があります。

2.ハイジーンアセスメントの実施によるIT環境の健全性の確認

　このブログシリーズのパート 1 では、M&A 活動のデューデリジェンスにおけるサイバーセキュリティの重要な役割を扱い、包括的なアセスメントを実施して、買収対象企業に関する既知のリスクを特定することの重要性について説明しました。アセスメントでは、過去あるいは現在の脅威の活動を特定します。このとき、「当社が買収しようとしている企業は侵害を受けたことがあるか？」という問いに答えることに焦点が当てられます。侵害調査の実施に加え、組織が良好な IT ハイジーンを保っているかについても判断する必要があります。

　一般的に、健全なネットワークを維持するための最初のステップが IT ハイジーンアセスメントです。侵害調査と同様に、IT ハイジーンアセスメントでは、ネットワーク上の保護されていないデバイス、パッチ未適用のシステム、攻撃者に悪用される可能性のあるその他の脆弱性などの問題点を特定します。それにとどまらず、組織が状況の分析やデータの解釈を行い、脆弱性に優先順位を付け、適切な対応策を決定できるようにします。

　侵害調査中に、過去に脅威活動が行われたことが複数件見つかった組織や、ハイジーンアセスメントで IT ハイジーンの不備が露呈した組織は、リスクプロファイルが高くなっています。このようなことは、M&A 取引が成立し、ネットワークが統合される前に明確に把握しておく必要があります。

　たとえば、サイバーセキュリティの専門家であれば、IT 部門が複数ベンダーのアンチウイルスを使用していることに気づくかもしれません。買収側の企業は、それは単なる所見であり、ささいなことであると考えるかもしれません。ハイジーンアセスメントでは、ここから一歩進めて、それがビジネスにどのような影響を与え、いかに重大な問題であるかを組織が理解できるようにします。

　たとえばこのケースでは、複数のベンダー製品を使用することがセキュリティの強化に寄与しているか、逆にセキュリティ機能の管理や検知が複雑化されて効果が低下していないかといったことが問題になります。サイバーセキュリティ評価チームは、この問題が組織の優先事項であると見なし、その対処および解決のために必要な措置を講じます。

3.包括的なモニタリング、対応、レメディエーションのためのツールやサービスを使用したネットワークの健全性維持

　サイバーセキュリティは、普遍的かつ継続的な懸念事項です。すべての組織が侵害のリスクに直面しており、ネットワークにおける健全性の状態は日々変化します。M&A によるネットワークの統合により、当事者の企業は、互いの組織から発生する脅威にもさらされることになるため、実質的に、リスクが一夜にして 2 倍になると考えることができます。

　企業は、さまざまなエンドポイントの監視、脅威の検知、および対応機能を組み込んだ包括的なセキュリティ戦略を採用し、ネットワークの安全を確保する必要があります。M&A 活動では、ハイジーンアセスメントと同様に、分析とそれが何を意味するのかという解釈が大きな役割を果たします。組織は常にリスクに直面しています。重要なのは、ビジネスの中断を最小限に抑えながら、どの脅威に優先順位を付け、どのように脅威に対処すべきかを把握することです。そのため、包括的なサイバーセキュリティツール群に加え、イベントの分析と対応を支援する、緊急時に連絡の取れる状態にあるリソースも併せて活用する必要があります。

　成熟したセキュリティをすぐに実現する手段の 1 つとして、CrowdStrike Falcon Complete のようなマネージドサービスを利用する方法もあります。Falcon Complete は、CrowdStrike のエンドポイント保護ソリューションのマネージド型の脅威検知・対応サービスです。CrowdStrike Services の脅威ハンターたちの専門知識と、CrowdStrike Falcon プラットフォームの機能の両方を活用して、顧客の環境内に存在する脅威を検知し対応します。

　Falcon Complete は、エンドポイントセキュリティ環境の実践的な管理および最適化機能を 24 時間 365 日提供し、クロージング前の期間を通して、サイバーセキュリティの問題が専門的に処理されるようにします。セキュリティの専門家で構成される Falcon Complete チームは、悪質な攻撃活動を自動的に検知し、合理的に優先順位付けを行います。また、侵害を受けたシステムの封じ込め、調査、修復といった対応を組織が迅速に行えるように支援します。当社のサービスは、MITRE ATT＆CK フレームワークに対応しており、非常に複雑な検知結果も一目で理解していただけるようにしています。

クロージング前の期間を最大限に活用

　M&A ライフサイクルのクロージング前のフェーズでは、多くの場合、コストが意思決定の大きな要因となります。この時期、サイバーセキュリティは、価値ある投資とはみなされず見過ごされる傾向にあるものの、この問題を無視することによるリスクは明白かつ甚大です。たとえば、Ponemon Institute によるレポート『Cost of a Data Breach 2020』によると、侵害の 80 %では顧客の PII（個人情報)が関係しており、1 件の侵害がもたらすコストの平均は 386 万ドルを超えています。さらに、クロージング前に講じた対策は、クロージング後の統合の成功に向けた準備として組織の役に立つことになります。買収側、非買収側のどちらの企業も、この 30 日間を賢く使い、今は健全な投資を維持して、将来に向けたより安全な投資を行うことをお勧めします。

追加のリソース

・M&A のデューデリジェンス・フェーズにおけるサイバーセキュリティの重要性を説明する記事をご一読ください。

・CrowdStrike プロアクティブサービスの Web ページをご覧になり、御社がどのようにリスクを低減し、セキュリティを強化できるかを確認してください。

・CrowdStrike Compromise Assessment（侵害調査）のデータシートをダウンロードしてください。

・CrowdStrike IT Hygiene Assessment の Web ページをご覧になり、御社の環境内の脆弱性をどのように低減できるかを確認してください。

・CrowdStrike IT Hygiene Assessment のデータシートをダウンロードしてください。

・御社のサイバーセキュリティ体制の強化を CrowdStrike がどのように支援できるかについては、CrowdStrike Services の Web ページをご覧ください。

・Webページでは、強力な CrowdStrike Falcon プラットフォームの詳細について説明しています。

・CrowdStrike の次世代型AVをお試しください。Falcon Prevent の無料トライアル版をすぐに試してみましょう。

＊原文はCrowdStrike Blog サイト掲載：https://www.crowdstrike.com/blog/the-critical-role-of-cybersecurity-in-ma-part-2-pre-close/