CrowdStrike Blog：M&Aにおけるサイバーセキュリティの重要な役割「 3．クロージング後」

　M&A 案件のクロージング後のフェーズでは、ディールは完了しているかもしれませんが、統合に向けた作業はまだ始まったばかりです。システムの観点では、この作業とは、数百人、数千人のユーザーを統合するために、ネットワーク、アプリケーション、ディレクトリ、その他無数の資産をつなぎ合わせて、ネットワーク全体を集約した単一のビューを確立することを意味します。

　以前投稿した 2 つのブログ記事では、デューデリジェンスおよびクロージング前のフェーズにおけるサイバーセキュリティの重要性について述べ、これらの期間には、IT がないがしろにされる傾向があることを説明しました。このように、初期段階の計画が不十分である可能性があるため、クロージング後のフェーズでは、親会社がどのように統合を進めるべきかについて十分に検討することが重要になります。

　M&A におけるサイバーセキュリティについて解説する 3 回シリーズの最終回となる本記事では、統合時だけでなく、それ以降も、両者のネットワークが健全性を維持していくために、クロージング後の期間に組織が実行すべきステップと推奨するアクティビティについて解説します。パート 1 とパート 2 では、デューデリジェンスおよびクロージング前のフェーズを扱いました。

・パート 1：M&A 活動のデューデリジェンスにおけるサイバーセキュリティの重要な役割

・パート 2：M&A 活動のクロージング前フェーズにおけるサイバーセキュリティの重要な役割

クロージング後のフェーズで実行するステップとアクティビティ

1：信頼できるサイバーセキュリティパートナーと契約する

　クロージング後のフェーズでは、買収側企業は、ネットワークの安全性を維持する必要性と、統合を迅速に完了させたいという 2 つの相反する優先事項に取り組んでいると思われます。

　一方で、この期間中、買収側は被買収側企業のネットワークで何が起きているかを把握することができないため、統合が遅れればリスクが高まります。つまり、被買収側がデータの盗難や漏洩の被害を受けていたとしたら、統合時の資産価値が著しく低下するうえ、親企業をさまざまなリスクにさらすことになります。同時に、統合には慎重かつ徹底的な計画が必要であるため、時間がかかります。特に、M&A チームがクロージング前の期間にこのプロセスを開始していない場合はなおさらです。

　多くの企業にとっては、サイバーセキュリティ対策を有能なパートナーに任せることが正解なのでしょう。サイバーセキュリティ企業は、買収側と非買収側の企業が統合作業に集中している間に、エキスパートレベルのリソースを投入して、攻撃者らから組織を守ることができます。サイバーセキュリティパートナーは、エンドポイントの監視、検知、対応を行って双方のネットワークの安全性を確保するとともに、万一侵害が発生した際には、オンコールリソースとしての役割を果たすことができます。この事業移管の間に、サイバーセキュリティを維持しつつ、IT チームは統合そのものに集中することができます。それにより、安全性を損なうことなく統合スピードの向上が図れます。

2：デューデリジェンスとクロージング前のアクティビティを見直す。もしくは、遅れを取り戻す

　企業は、すべてのエンドポイントとサーバを含むネットワーク全体をチェックして、脆弱性が存在しないことを確認してから、統合フェーズに入るべきです。

　デューデリジェンスやクロージング前のフェーズでこれを行った組織は、その結果を評価し、新たな問題が発生していないことを確認する必要があります。これらのステップをまだ実行していない組織は、ただちに行わなければなりません。少なくとも、詳細な IT ハイジーン評価を実施して、ネットワーク上の未保護のデバイス、パッチ未適用のシステム、その他の脅威をもたらす可能性のある脆弱性などの問題を特定するとともに、脆弱性の優先順位付けと適切な対応の決定を支援すべきでしょう。

　クロージング後のフェーズにおいて、このセキュリティアセスメントは極めて重要です。なぜならば、2 つのネットワークを統合することにより、双方の企業が互いのリスクにさらされることになるからです。また、それらのリスクの多くは、数か月、あるいは数年間も発見されずにいます。CrowdStrike の調査では、攻撃者らの「ドエルタイム」が平均 95 日であることがわかっています。つまり、攻撃者は検知を逃れながらネットワーク上に潜み、平均 3 ヶ月以上にわたって攻撃計画を練ることができるのです。さらに問題なのは、このような攻撃者らがこの間により強力な対抗策を講じ、さらに長期間（時には数年間も）の潜伏を可能にしているということです。

　コンサルティング会社や経験の浅い第三者にリスク評価や IT ハイジーン評価を依頼して実施した企業では、このようなハッカーが潜伏し、将来にわたり衰えることなく活動を続ける可能性があります。さらに、多くの M&A 案件は広く公開されるため、興味をそそられた攻撃者らが、（非買収企業などの）第三者を侵害し、これを経由して（買収側企業などの）「大物」を攻撃しようとするケースもあります。

　ネットワークの統合を行おうとしている企業において、IT の健全性が保証されれば、ネットワークの接続プロセスの効率性も高まります。脅威アクターが存在しないことがわかっているため、統合に際して生じる複雑さが軽減されます。その結果、企業は複雑で時間のかかる再イメージングプロセスを省略し、業務やスタッフへの影響を最小限に抑えることができます。

3：インシデント対応手順書を準備して将来に備える

　どの企業にとっても、侵害は避け難い不幸です。サイバー攻撃を 100 ％防ぐ方法はないため、脅威を迅速に検知して無力化する効果的な方法を手に入れることが肝要です。

　サイバーセキュリティ対応チームの効率化を図る方法の 1 つに、インシデント対応手順書（インシデント・レスポンス・プレイブック）があります。サイバーセキュリティチームと共同で作成されたこの資産は、インシデント発生時に実行すべき手順をまとめたフィールドマニュアルとして活用できます。この手順書は、侵害発生時に実施するあらゆるセキュリティ活動の軸となるもので、基本的には、攻撃の種類、認識されている脅威、潜在的な影響に基づいて、組織がどのように対応すべきかを示しています。これに従うことで、セキュリティチームの貴重な時間を節約できるだけでなく、組織が一貫性をもってインシデントに対応できるようになります。

　CrowdStrike の手順には、サプライチェーン内での侵害に対する計画も含まれており、サードパーティにおける侵害発生に関し、企業が想定しなければならない、あらゆる種類の技術的、法的、政治的な考慮事項について説明しています。このような攻撃の多くでは、顧客に対して使用するものと同じタイプの悪質なファイルが使用されます。サプライヤーのネットワーク内でそのようなファイルが使用された場合、対応やレメディエーションへの取り組みを管理することができないため、組織のリスクは高まります。

4：攻撃者エミュレーションによってネットワーク境界をテストし、強化する

　ネットワークの統合後は、脆弱性を評価したり、新たに統合されたサイバーセキュリティチームが標的型攻撃に対応できるかをテストすることが重要です。レッドチーム/ブルーチーム演習（攻撃者エミュレーション）は、サイバーセキュリティの評価手法の 1 つです。この演習では、リスクの低い環境下で攻撃シミュレーションを行って、組織のセキュリティ能力の強さを測り、改善すべき点を特定します。

　この演習は、軍隊の訓練をモデルにしたもので、高度な訓練を受けたサイバーセキュリティの専門家からなる 2 つのチーム、すなわち、「実際のサイバー攻撃技術を用いて環境への侵害を試みる“レッドチーム”」と、「セキュリティユニット内で攻撃の特定・評価・対応を担当するインシデント対応要員からなる“ブルーチーム”」が対決します。

　レッドチーム/ブルーチームのシミュレーションは、さまざまなサイバー攻撃から組織を守るうえで重要な役割を果たします。これらの演習は、組織が脆弱性を特定して改善すべき領域を決定し、標的型攻撃を検知して無力化するという実体験を積み、環境を安全な状態に復帰させるための対応をドキュメントにまとめ、修復活動を実行するうえで役立ちます。

　演習後、両チームで意見交換を行い、レッドチームがネットワーク内の欠陥や脆弱性について説明し、両チームでそれらへの対処方法を特定します。このテストによって、最終的にはセキュリティレベルの向上とネットワーク境界の安全性強化が実現し、組織はより多くの攻撃を防ぐことができるようになります。

クロージング後のサイバーセキュリティとネットワーク統合への戦略的アプローチ

　M&Aのクロージング後のフェーズでは、アフターケアが重要になります。ディールが完了したということは、被買収側企業のネットワークに潜んでいたリスクや脅威が親企業にも影響する可能性があることを意味します。

　このフェーズにある組織は、強力なサイバーセキュリティの確保が急務であることを理解する必要があります。そのためには、経験豊富な専門家チームによるケア、見解、サポートそして、それらを支援するためのツール、テクノロジー、サービスが必要です。

クロージング後のフェーズが脆弱である理由：最悪のシナリオとは

　クロージング後のフェーズで何が問題になるかを知るために、あなたが買収側であるか被買収側であるかにかかわらず、最悪のシナリオについて考えてみましょう。

　たとえば、数十億ドル規模の企業が、小規模な一部門をベンチャーキャピタル（VC）に売却し、独立した会社としてスタートさせるとします。独立した会社の CEO と従業員にとってそれは、将来的に高い利益と成功が期待できる喜ばしい瞬間となるでしょう。しかし、クロージング後のフェーズになって、売り手側の大企業が大規模なランサムウェア攻撃を受けたとしたら、どうなるでしょう。独立への移行はまだ行われておらず、ネットワークはまだ接続されているため、両組織は被害を回避すべく早急に対策を講じなければなりません。たとえば、被害状況を確認するあいだに、資産や知的財産を保護することを目的に機械やシステムを停止させることも考えられます。この小規模企業が被る影響は甚大であり、明るい未来に突然暗雲が立ち込めたように感じられるでしょう。

　CrowdStrike Services のようなチームに要請があるのは、このようなケースが多いのです。M&A プロセスの最終段階となるこのフェーズで、Services チームは、攻撃と被害の範囲を迅速に判断して修復を行い、さらなる損害を最小限に抑えるための手順をただちに実行します。その最終的な目標は、できるだけ早く本番環境に復帰させることです。

　このような場合、CrowdStrike Services チームはまず、CrowdStrike Falcon プラットフォームをネットワーク全体に展開してランサムウェア攻撃を特定、封じ込め、分析するための可視性を即座に確保し、修復プロセスを開始します。しかし、双方のネットワークがまだ接続されている場合には、それぞれの企業がこのアプローチに同意しなければならいため、調査と対応が非常に難しくなることがあります。

　売り手側企業が、データのプライバシーに関する懸念や IT/ポリシーに関する制約などのさまざまな理由で、Falcon プラットフォームの導入に難色を示すかもしれません。TSA（Transition Services Agreement：移行期間中のサービス提供に係る契約）に、サイバー攻撃を受けた場合の売り手側企業の責任に関する記載がない場合には、インシデント対応チームによる作業が最大限の効果を発揮できなくなる可能性があります。

　その結果、売り手側への影響はさほどなくとも、買い手側企業では買収した会社のネットワークやシステムを一から構築し直したり、何週間も生産が停止するために多大なコストがかかり、甚大な影響が及ぶことになります。しかも、このような状況が今発生したとしたら、世界的なパンデミックの影響も加わって買収側企業の損失はさらに拡大し、完全な回復は困難を極めることとなるでしょう。ベンチャーキャピタルの投資家と新しく設立された会社は、相当な、もしくは壊滅的な損失を被ることになるでしょう。一方、十分な資金のある売り手側の大企業にとっては、その影響ははるかに小さいでしょう。

このようなシナリオを回避するには

　この記事では、M&A プロセスのあらゆるステージで起こり得るさまざまな問題について説明していますが、それらの問題は、クロージング後のフェーズで特に厄介な事態を引き起こします。しかし、このような最悪のシナリオは、適切な準備によって回避することができます。以下は、組織がM&Aの結果として生じるこのような無用なトラブルを回避するのに役立つ推奨事項です。

　TSA の対象範囲が適切であることを確認する：典型的な TSA には、IT に関する考慮事項が含まれます。昨年の The Wall Street Journal に掲載されたある記事は、重要な TSA 契約の交渉を行う際には、買い手側と売り手側の両方が注意を払うべきだと警告しています。同記事には、「売り手側は買い手側企業の継続的な成功にあまり関心がなく、意図的であるか否かにかかわらず、サイバーセキュリティ、レポーティング、外部顧客サポートなどの重要な分野で互換性のない、あるいは不十分なサービスを展開し、契約書の文言に違反しないまでも、その精神に反する可能性がある」と書かれています。

　また、「買い手側企業が範囲の曖昧な IT 移行サービスや不十分な継続運用サポートに不用意に同意してしまい、そのためにディール実行時に当事者間で意見の相違が生じ、分離プロセス全体の遅れにつながる恐れがある」とも警告しています。上記のシナリオでは、小規模企業がランサムウェア攻撃の調査と修復に必要な協力を得られることを TSA で保証していませんでした。さらに、小規模企業を買収したベンチャーキャピタルは、M&A プロセスのどの段階においても、もちろん TSA の交渉時にも、サイバーセキュリティに払うべき注意を怠っていました。そのため、クロージング後の重要なフェーズにもかかわらず、無防備な状態になったのです。

　IT ハイジーンのベストプラクティスが守られていることを検証する：M&A のすべての当事者は、M&A プロセスの開始時から、売り手側企業のネットワークに関する標準プロトコルに適切な IT ハイジーンが含まれるよう確約を得る必要があります。以前の記事でも述べたように、IT ハイジーンアセスメントを実施して、その結果をすべての関係者で共有するのが理想です。

　実行したサイバーセキュリティを評価する：組織は、IT ハイジーンが適切な状態にあることを主張するだけでなく、サイバーセキュリティの成熟度を正確に判断することも重要です。もし、売り手側企業が効果的なサイバーセキュリティを実施し、すべてのエンドポイントを確実に管理していたならば、売却対象の会社のものを含む他のマシンにランサムウェアが水平移動する前に、ランサムウェアを検知して封じ込めることができた可能性が高いのは明らかです。また、サイバーセキュリティの成熟度を評価していれば、ランサムウェア攻撃が発生する前、あるいはディールの完了前に、セキュリティ上のギャップを解消することができたはずです。

　詳細な侵害調査を実施して問題点を明らかにする：少なくとも、小規模企業を買収したベンチャーキャピタルは、移行期間が始まる前に侵害調査の実施を要求するべきでした。本連載のパート 1 で述べたように、詳細なアセスメントを実施していれば、すでにランサムウェア攻撃が発生していたとしても、それを発見することができたでしょう。また、攻撃が発生していなかった場合にも、リスクや脆弱性を発見し、事前に対処して攻撃を回避することができたでしょう。

追加のリソース

・御社のサイバーセキュリティ体制の強化を CrowdStrike がどのように支援できるかについては、CrowdStrike Services の Web ページをご覧ください。

＊原文はCrowdStrike Blog サイト掲載：https://www.crowdstrike.com/blog/role-of-cybersecurity-in-mergers-and-acquisitions-part-3/