Skip to main content

サイバー・デューデリジェンス(DD)について

M&Aに当たって買収対象企業のサイバーセキュリティ対策の調査・分析や、過去のインシデントを調べる「サイバー・デューデリジェンス(DD)」に関しての情報をまとめています

サイバー・デューデリジェンス(DD)について

サイバーDDは、M&Aに当たって買収対象企業のサイバーセキュリティ対策がどのように実行されているかを調査・分析するとともに、過去にどのようなインシデントが発生していたかなどを調べることである。

欧米では、過去の苦い経験からサイバーDDの実施は当然のこととなっている。よく知られるのは、2016年に大手ホテルチェーンM社が同業他社のS社を買収した案件だ。
2014年の時点でS社の顧客情報が侵害されていたことが買収後の2018年になって判明し、最終的にM社として最大5億件の個人情報漏洩が明らかになった。M社はGDPR(EU 一般データ保護規制)が要求するセキュリティ基準を満たしていなかったとして約1億2300万ドルの制裁金が課され、株価は7%以上下落し、時価総額の減少は27億ドル以上にも及んだ。

また、2017年には米通信大手企業による同業他社の買収金額が、買収対象の10億人の情報漏洩の判明によって、48億3000万ドルから44億8000万ドルへ、3億5000万ドルもの減額となった。

このように、サイバーDDを怠るとディールの中止や買収金額の見直しが発生するばかりでなく、買収企業は法的および経済的な責任までも引き受けることとなってしまう。日本においても2〜3年前から同種の事例が発生しているが、サイバーDDは根付いていないのが実状だ。

日本でサイバーDDが定着しない要因として、次の3つ挙げられる。
1つはセキュリティのプロであるCISO(Chief Information Security Officer:最高情報セキュリティ責任者)が不足していること
2つ目は情報セキュリティポリシーの形骸化。
3つ目はDD予算の中にサイバーDDが十分に盛り込まれていないことである。

現状、サイバーDDに割く金額は、DD予算の10分1ないし20分の1程度と考えられている。加えて、米国とは異なり、日本においてサイバーDDを提供できる人材が極めて限定的である。セキュリティツールを販売する企業は多いが、国内のサイバーセキュリティの専門家は驚くほど少ないのが現状だ。

また、ファイアウォールなどのセキュリティツールは数多く実装されているにもかかわらず、適切な運用ができていない場合も多い。堅牢なセキュリティツールは高額であるのは言うまでもない。そのため、大手企業でも安価で入手可能だが脆弱性の否めないセキュリティツールが採用される場合も散見され、常にサイバー攻撃の高いリスクに晒されているのが実状である。
その上、DDは短期間に仕上げる必要があるため、海外で一般的に行われているアプローチを導入するとなると、時間軸や精査すべき事項のフレームを決めるだけで、もはや時間切れになってしまうこともある。

以下の図はサイバーDDを進める際の手順の一例である。

理想的なサイバーDDは、ターゲットとの対話を通じてセキュリティプログラムの成熟度評価等を行った上で、総合的なリスク評価まで行うことである。その際に検討すべきところは2点ある。

  1. 一般的なベストプラクティスに近いものか、あるいは大きく乖離しているものか
  2. CISOや経営層も含めて、万一のインシデントの際に正しくレスポンスチームや外部の専門家の発動ができるような運用となっているか。またそのことが社内コミッティ等で継続的に確認できていたか。

その上で、セキュリティパッチや社員教育等についての運用の改善が求められる。すでに情報が抜き取られダークウェブに晒されているにも関わらず、そのことが買収対象企業に認識されていない場合がある。そうした事態に備え、調査も必要となる。さらに、具体的に何をするべきなのかの所見や、それを導入する際のコストや期間等まで示していくことが望ましい。

しかしながら、DDコストの問題や、対応できる人材が限定的であることから、PMI(M&A後の経営統合プロセス)の際に先延ばしされてしまうことも多い。その対策としては、いわばかかりつけ医のようにサイバーセキュリティに高い知見を持つ特定の外部専門家と、日頃から関係を繫いでおくことである。
サイバーDDのコストの制約からも、外部のスキャニングツールを活用しての既知の脆弱性を洗い出すことや、ダークウェブを確認して、買収対象企業の情報が漏洩していないか、機密情報やパスワード等が売買されてないかの確認からスタートするほうが現実的かもしれない。

このような現実を鑑みると、案件によっては売却価格の減額が今後ありうるものと思われる。サイバーDDの早急なスタンダード化が望まれる。

 

 

※サイバーリスクマネジメントについての関連書籍として「サイバーリスクマネジメントの強化書」がございます。以下のリンクより詳細をご確認ください。