第４回 M&Aにおけるサイバーセキュリティ

■ M&Aのステージに応じたサイバーセキュリティ戦略

M&Aにおけるサイバーセキュリティ戦略の検討は、ディール実行前（Pre-deal）とディール実行後（Post-deal）のそれぞれについて、違った目的で実施する必要があります。ディール実行前には、想定どおりにシナジー効果を生み出せそうか、想定外の追加投資が生じるリスクがないか等を調査する必要があります。ディール実行後は、Day1に向けた足元のサイバーセキュリティ対策の検討やDay1後のシナジー効果の最大化に向けたサイバーセキュリティ戦略の立案等を検討する必要があります。

◆  Pre-dealで検討すべき主な事項

• M&Aを通じてどのようなサイバーリスクが継承されるのか？
•  サイバーリスクは投資対象会社の評価にどのように影響するのか？
• 投資対象会社の情報資産は既にダークウェッブ等の闇市場で流出していないか？
•  新規ビジネスや事業改革・再編等が推進しやすいサイバーリスク対策が講じられているか？

◆  Post-dealで検討すべき主な事項

• Day1や合併後等、マイルストンまでに必要なサイバーセキュリティ対策の洗い出し、ロードマップは定義されているか？
• 投資対象会社のコンプライアンス、セキュリティガバナンス組織・構造をどうするか？
• 投資対象会社のセキュリティ業務設計、実運営をどのように行い、継続的に保持していくのか？
• サイバーセキュリティの徹底を図るために必要なトレーニングを計画しているか？

■ Pre-dealにおけるサイバー対応

Pre-dealにおいては、Cyber Due Diligence(以降、「Cyber DD」)という手続きにて、投資対象会社に情報開示請求を行い調査するのが一般的です。そこから得られた情報をもとに、想定どおりにシナジー効果を生み出せそうか、想定外の追加投資が生じる等のリスクがないか等の検討がなされ、最終的な投資判断が行われます。Cyber DDの期間は数週間程度であることが多く、限られた時間の中で、いかに有効な情報を投資対象会社から引き出し、投資判断に有用な調査が行えるかが重要ポイントになります。

一般的なCyber DDで得られる情報に加え、投資対象会社の事業に係る各国の法規制、インターネットやダークウェッブ等に投資対象会社に係る機密情報が流出していることを示す痕跡の有無、インターネットからアクセス可能なシステムに係る脆弱性の有無など、投資対象会社以外から得られる情報も有効活用し、より高度な調査を実施することも検討ポイントの一つとしてあげられます。

Cyber DDでは主に下記のような分析・診断を行っていきます。

◆ サイバー法規制と事業ポートフォリオ分析
◆ インテリジェンスによるサイバーリスク診断
◆ サイバーセキュリティ管理態勢アセスメント
◆ 侵害診断・侵入テスト

なお、Cyber DDもIT DDも、デジタルリソースを対象としたDDであり、また、IT DDでもセキュリティ面のチェックを実施することはあるかと思います。その違いはどこにあるのでしょうか。

IT DDでは対象会社のITガバナンスやシステムの整備状況といった体制面を中心に、質問や提供を受けた資料の分析を中心にデスクトップベースでのチェックを行っていくのが一般的です。一方で、Cyber DDではサイバー攻撃に対し予防・発見・回復という観点でITガバナンスだけでなく技術的な観点でも調査を行い、セキュリティが破られるリスク、あるいは破られてしまった場合にどういった対応がとられているか、まで把握することができる点が大きく異なる点といえます。

■  Post-dealにおけるサイバー対応

Post-dealにおいては、Post-Merger Cyber Integrationという手続きにて、Day1に向けた足元のサイバーセキュリティ対策、およびDay1後のシナジー効果の最大化に向けたサイバーセキュリティ戦略の立案等を検討していきます。具体的には以下のようなポイントを進めることが望まれます。

◆ 新サイバーセキュリティ戦略の立案
◆ X Day サイバーセキュリティ・インテグレーション
◆ インシデント対応体制の再整備

■ まとめ

サイバーリスクは、いまや重要な経営アジェンダの一つとなっており、守りを意識した取り組みだけでなく、DXによる業務改革等の攻めの戦略を見据えた取り組みも必要になっています。Pre段階、Post段階のそれぞれで、投資対象会社のセキュリティリスクを把握した上で、リスクを低減し、かつシナジー効果を発揮できるサイバーセキュリティ戦略を打ち立てていくことが、M&Aの成功要因の一つとなっています。

関連ページ

・デロイト トーマツ グループのサイバートップページ

・M&Aサイバーサービス

本連載のバックナンバー

・第１回 Cyber Everywhereの時代に求められる対応（GREAT RESET IN Cyber Security）

・第２回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察（投資家等外部ステークホルダーからの要請）】

・第３回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会（米国SEC）のサイバーセキュリティ開示の規則案への対応準備について】

・第５回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】

・第６回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】

・第７回  情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは？】

・第８回  クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】

・第９回  転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】

・第10回  サイバーリスクの高まりに対する内部監査の役割【DXに伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】

・第11回  デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】

・第12回  断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜

・第13回  地方公共団体DXに伴うサイバーリスクの高まり～地方公共団体におけるセキュリティ対策～

・第14回  地方公共団体のGovCloudの移行後の必要なセキュリティ対策【基幹業務のクラウド化に伴う必要なセキュリティ対策に関する考察】

・第15回  スマートシティ推進における個人データの保護・活用