Posted: 16 Sep. 2022 4 min. read

第4回 M&Aにおけるサイバーセキュリティ

<連載>持続的な成長のためのリスクテイクに際して、企業はどうCyberと向き合うべきか

■ M&Aにおけるサイバーセキュリティ戦略の必要性

近年、サイバー攻撃による生産ラインの停止、上場企業における決算発表の遅延など、経営に重大なインパクトがあるサイバーインシデントが、ニュースや各種メディアを賑わせております。サイバー攻撃による大量の個人情報流出といった事案も今や珍しくなくなっており、サイバーリスクは最も注視すべき経営リスクの一つになっています。


M&Aに関連したサイバー攻撃による多額の損失事例も既にいくつか報道されています。米国企業の買収事案では、買収直後に30億件以上の個人情報流出が発覚し、400億円程度の買収金額の引き下げが行われたといわれています。また、米国ホテルチェーンによる買収事案では、買収から約2年後にサイバー攻撃により約5億件の個人情報流出のおそれがあることが発覚しました。また、調査の結果、買収の2年前から不正アクセスされていたことが判明しました。その後、英国の独立公益法人ICOが当該企業に対し、GDPR違反として巨額の罰金を科す方針を発表しました。


国内においても、ニュースとして取り上げられていないものの、買収した会社でサイバーインシデントが生じ損失を被っている企業、インシデントは発生していないものの、買収後にセキュリティレベルを自社と同等レベルに引き上げるために多額の追加投資を余儀なく迫られている企業が少なからずあることが、当社によるサイバーインシデント対応等の経験からも把握されております。


また、デジタルトランスフォーメーションを通じて新たな事業やビジネスモデルを生み出したり、既存事業を変革させたりする際にも、サイバーセキュリティは重要です。新規事業を立ち上げた直後に、サイバー攻撃により顧客に金銭的被害が多発していることが発覚し、企業のレピュテーションが大きく毀損し、事業が廃止に追い込まれてしまった事案等があることにも留意が必要です。


企業の攻守の両面において、サイバーセキュリティは重要な経営アジェンダとなっており、M&Aに際して、投資対象会社のサイバーリスクを評価し、統合後のサイバーセキュリティ戦略を検討することは、企業が当然に実施すべき注意義務を果たしていくうえでも重要な要素になっていると言っても過言ではありません。

■ M&Aのステージに応じたサイバーセキュリティ戦略

M&Aにおけるサイバーセキュリティ戦略の検討は、ディール実行前(Pre-deal)とディール実行後(Post-deal)のそれぞれについて、違った目的で実施する必要があります。ディール実行前には、想定どおりにシナジー効果を生み出せそうか、想定外の追加投資が生じるリスクがないか等を調査する必要があります。ディール実行後は、Day1に向けた足元のサイバーセキュリティ対策の検討やDay1後のシナジー効果の最大化に向けたサイバーセキュリティ戦略の立案等を検討する必要があります。

 

◆  Pre-dealで検討すべき主な事項
  • M&Aを通じてどのようなサイバーリスクが継承されるのか?
  •  サイバーリスクは投資対象会社の評価にどのように影響するのか?
  • 投資対象会社の情報資産は既にダークウェッブ等の闇市場で流出していないか?
  •  新規ビジネスや事業改革・再編等が推進しやすいサイバーリスク対策が講じられているか?

 

◆  Post-dealで検討すべき主な事項
  • Day1や合併後等、マイルストンまでに必要なサイバーセキュリティ対策の洗い出し、ロードマップは定義されているか?
  • 投資対象会社のコンプライアンス、セキュリティガバナンス組織・構造をどうするか?
  • 投資対象会社のセキュリティ業務設計、実運営をどのように行い、継続的に保持していくのか?
  • サイバーセキュリティの徹底を図るために必要なトレーニングを計画しているか?


 

■ Pre-dealにおけるサイバー対応

Pre-dealにおいては、Cyber Due Diligence(以降、「Cyber DD」)という手続きにて、投資対象会社に情報開示請求を行い調査するのが一般的です。そこから得られた情報をもとに、想定どおりにシナジー効果を生み出せそうか、想定外の追加投資が生じる等のリスクがないか等の検討がなされ、最終的な投資判断が行われます。Cyber DDの期間は数週間程度であることが多く、限られた時間の中で、いかに有効な情報を投資対象会社から引き出し、投資判断に有用な調査が行えるかが重要ポイントになります。


一般的なCyber DDで得られる情報に加え、投資対象会社の事業に係る各国の法規制、インターネットやダークウェッブ等に投資対象会社に係る機密情報が流出していることを示す痕跡の有無、インターネットからアクセス可能なシステムに係る脆弱性の有無など、投資対象会社以外から得られる情報も有効活用し、より高度な調査を実施することも検討ポイントの一つとしてあげられます。


Cyber DDでは主に下記のような分析・診断を行っていきます。

◆ サイバー法規制と事業ポートフォリオ分析
◆ インテリジェンスによるサイバーリスク診断
◆ サイバーセキュリティ管理態勢アセスメント
◆ 侵害診断・侵入テスト

なお、Cyber DDもIT DDも、デジタルリソースを対象としたDDであり、また、IT DDでもセキュリティ面のチェックを実施することはあるかと思います。その違いはどこにあるのでしょうか。


IT DDでは対象会社のITガバナンスやシステムの整備状況といった体制面を中心に、質問や提供を受けた資料の分析を中心にデスクトップベースでのチェックを行っていくのが一般的です。一方で、Cyber DDではサイバー攻撃に対し予防・発見・回復という観点でITガバナンスだけでなく技術的な観点でも調査を行い、セキュリティが破られるリスク、あるいは破られてしまった場合にどういった対応がとられているか、まで把握することができる点が大きく異なる点といえます。

 

 

 

■  Post-dealにおけるサイバー対応

Post-dealにおいては、Post-Merger Cyber Integrationという手続きにて、Day1に向けた足元のサイバーセキュリティ対策、およびDay1後のシナジー効果の最大化に向けたサイバーセキュリティ戦略の立案等を検討していきます。具体的には以下のようなポイントを進めることが望まれます。

◆ 新サイバーセキュリティ戦略の立案
◆ X Day サイバーセキュリティ・インテグレーション
◆ インシデント対応体制の再整備

 

 
 
 

■ まとめ

サイバーリスクは、いまや重要な経営アジェンダの一つとなっており、守りを意識した取り組みだけでなく、DXによる業務改革等の攻めの戦略を見据えた取り組みも必要になっています。Pre段階、Post段階のそれぞれで、投資対象会社のセキュリティリスクを把握した上で、リスクを低減し、かつシナジー効果を発揮できるサイバーセキュリティ戦略を打ち立てていくことが、M&Aの成功要因の一つとなっています。

 

本連載のバックナンバー

第1回 Cyber Everywhereの時代に求められる対応(GREAT RESET IN Cyber Security)

第2回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察(投資家等外部ステークホルダーからの要請)】

第3回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会(米国SEC)のサイバーセキュリティ開示の規則案への対応準備について】

第5回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】

第6回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】

第7回  情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは?】

第8回  クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】

第9回  転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】

第10回  サイバーリスクの高まりに対する内部監査の役割【DXに伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】

第11回  デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】

第12回  断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜

第13回  地方公共団体DXに伴うサイバーリスクの高まり~地方公共団体におけるセキュリティ対策~

第14回  地方公共団体のGovCloudの移行後の必要なセキュリティ対策【基幹業務のクラウド化に伴う必要なセキュリティ対策に関する考察】

第15回  スマートシティ推進における個人データの保護・活用

プロフェッショナル

井上 健一/Inoue Kenichi

井上 健一/Inoue Kenichi

デロイト トーマツ サイバー合同会社 マネージングディレクター

標的型攻撃、Webサイトへの不正アクセス、内部行為者による情報漏えい、コンピュータウイルス感染等、様々な情報セキュリティ事故に関して、調査、復旧、再発防止等を支援するプロジェクトを数多くリードしている。事故対応にて得られた知識・経験を活かし、金融機関、製薬業、商社、ECビジネスなどに対するサイバーセキュリティ管理態勢診断を提供している。