サービス

M&Aサイバーサービス

M&Aにおけるサイバーセキュリティ戦略の必要性

M&A検討時にサイバーリスクに適切に対応していない場合、投資判断を見誤り、思いがけない甚大な対応コスト、キャッシュアウトが発生する可能性があります。デロイト トーマツでは、サイバーDD(デュー・ディリジェンス)から買収後のサイバーセキュリティ体制構築まで一貫で支援します。

目次

なぜM&A時にサイバーセキュリティの検討が必要なのか

従来からM&A検討時には財務、税務、法務といった領域のデュー・ディリジェンス(以下、DDといいます)を行い、投資対象企業の状況を把握することは広く行われています。これらの領域の他にITガバナンスやインフラの状況をチェックするために、IT DDを実施することも少なくありません。

近年では、それに加え、高まるサイバー攻撃リスクへの対応の必要性から、サイバー攻撃に対し予防・発見・回復という観点から対象会社のサイバーリスクを入念に調査する企業が増えています。サイバーインシデントによって、M&A取引自体が白紙になってしまう可能性があるだけではなく、情報流出や生産の停止、規制当局からの罰金、それらによる企業イメージの棄損等、その影響は無視できないほどに大きくなってきているからです。

 

M&Aサイバーの検討が必要となるケース

M&Aサイバーは、「ビジネス環境」「法規制環境」「脅威環境」の3つのドライバーにて検討する必要があります。

・ビジネス環境

対象会社の事業が、大量の個人情報や機微情報を保有している事業(金融、Eコマース、ヘルスケア・医療など)、他社の重要な機密情報を取り扱う事業(研究、製造など)、ITが停止・遅滞した場合の業務影響が大きい事業(社会インフラ、金融、建設など)、データが利用不可になったり改ざんされたりした場合の業務影響が大きい事業(クラウドサービス事業など)等の場合、サイバー攻撃リスクが高いためM&Aサイバーについての検討が望まれます。

経営のサイバーセキュリティ投資が不十分な場合で、IT予算に比して十分なセキュリティ予算が確保されていない、セキュリティに対応する専任の組織や担当者いない場合には注意が必要です。

・法規制環境

対象会社が、サイバー関連法規制が厳しい国(欧州、中国など)にある、業界規制が厳しい事業(金融、医療など)であるといった場合、サイバー攻撃リスクが高いためM&Aサイバーについての検討が望まれます。

適用される法規制への対応が不十分な場合で、対象会社の事業に適用される国や地域ごとのサイバーセキュリティやプライバシー法規制が特定できていない場合等が考えられます。

・脅威環境

対象会社の事業が、政治的目的でサイバー攻撃に狙われやすい事業(社会インフラ、製造、研究など)や、金銭的目的でサイバー攻撃により狙われやすい事業(金融など)である場合、サイバー攻撃リスクが高いためM&Aサイバーについての検討が望まれます。

対象会社を取り巻くサイバー脅威への対策が不十分な場合で、過去にサイバーセキュリティに関するインシデントが継続的に発生している、サイバーセキュリティにかかるアセスメントを実施していないといった場合等が当てはまります。

 

M&Aサイバーサービスの全体像

サイバー脅威によるM&A価値の毀損から組織を守るためには、M&Aのステージに応じたサイバーセキュリティ戦略が必要です。ディール実行前(Pre-deal)とディール実行後(Post-deal)の両局面を通じて、セキュリティ施策を実行するための戦略が必要となります。

デロイト トーマツでは、それぞれのステージに応じた目的に適合する、多様なサイバーセキュリティサービスを提供しています。

Pre-dealで検討すべき主な事項

  • M&Aを通じてどのようなサイバーリスクが継承されるのか?
  • サイバーリスクは投資対象会社の評価にどのように影響するのか?
  • 投資対象会社の情報資産は既にダークウェブ等の闇市場で流出していないか?
  • 新規ビジネスや事業改革・再編等が推進しやすいサイバーリスク対策が講じられているか?

Post-dealで検討すべき主な事項

  • Day1や合併後等、マイルストンまでに必要なサイバーセキュリティ対策の洗い出し、ロードマップは定義されているか?
  • 投資対象会社のコンプライアンス、セキュリティガバナンス組織・構造をどうするか?
  • 投資対象会社のセキュリティ業務設計、実運営をどのように行い、継続的に保持していくのか?
  • サイバーセキュリティの徹底を図るために必要なトレーニングを計画しているか?

M&Aサイバーサービスの全体像
※画像をクリックすると拡大表示します

Pre-dealにおけるサイバー対応

Pre-dealにおいては、サイバー デュー・ディリジェンス(以降、「サイバーDD」)という手続きにて、投資対象会社に情報開示請求を行い調査するのが一般的です。そこから得られた情報をもとに、想定どおりにシナジー効果を生み出せそうか、想定外の追加投資が生じる等のリスクがないか等の検討がなされ、最終的な投資判断が行われます。サイバーDDの期間は数週間程度であることが多く、限られた時間の中で、いかに有効な情報を投資対象会社から引き出し、投資判断に有用な調査が行えるかが重要ポイントになります。

一般的なサイバーDDで得られる情報に加え、投資対象会社の事業に係る各国の法規制、インターネットやダークウェブ等に投資対象会社に係る機密情報が流出していることを示す痕跡の有無、インターネットからアクセス可能なシステムに係る脆弱性の有無など、投資対象会社以外から得られる情報も有効活用し、より高度な調査を実施することも検討ポイントの一つとしてあげられます。
 

サイバー法規制と事業ポートフォリオ分析

  • 投資対象会社の事業ポートフォリオを分析し、事業特性上のサイバーリスクを明らかにします。
  • 各国の主要ビジネスに係るサイバー・プライバシー関連法規制リスクを明らかにします。

インテリジェンスによるサイバーリスク診断

  • インターネットからアクセス可能な投資対象会社のシステムを探索し、それぞれのシステムのセキュリティ対策状況をもとに、投資対象会社のセキュリティレベルを調査します。
  • インターネットやダークウェブ上で得られる情報にて、投資対象会社の機密情報が流出しているような痕跡がないかを調査します。
  • 投資対象会社が過去に暗号通貨を利用した不審な支払いをした痕跡がないかを調査します。

サイバーセキュリティ管理態勢アセスメント

  • サイバーリスクを低減するために投資対象会社が実施しているサイバーセキュリティ管理態勢に係る取り組みについて成熟度を調査します。
  • 各国のプライバシーデータ保護に係るコンプライアンスへの取り組み状況を確認し、プライバシーリスクを調査します。

侵害診断・侵入テスト

  • 投資対象会社との事前合意を前提に、投資対象会社の外部・内部システムが既に侵害されている痕跡がないかを調査する侵害診断、ホワイトハッカーが対象会社に侵入可能かを調査する侵入テストを実施し、技術的なセキュリティ上のリスクをより詳細に調査します。

Pre-dealのステージの事例

Pre-dealのステージの事例
※画像をクリックすると拡大表示します

Post-dealにおけるサイバー対応

Post-dealにおいては、Post-Merger Cyber Integrationという手続きにて、Day1に向けた足元のサイバーセキュリティ対策、およびDay1後のシナジー効果の最大化に向けたサイバーセキュリティ戦略の立案等を検討していきます。具体的には以下のようなポイントを進めることが望まれます。

新サイバーセキュリティ戦略

  • 投資対象会社の包括的なサイバーセキュリティ管理態勢とその成熟度を評価し、改善に向けて必要となるセキュリティ運用モデルと施策(管理・技術の両面)を可視化します。
  • 各種法規制とベストプラクティスに基づき、セキュリティ組織の主要なアクションと必要リソース、役割と責任を定義します。
  • M&A期間を通じてセキュリティを確保するための目標レベルをマイルストン毎に設定します。
  • 買収先から切り離されるセキュリティ機能・組織を補完・強化するため、既存の人員と機能を組み合わせ、相乗効果を考慮し、新たな組織の構造・セキュリティロール・業務フロー、役割・責任等を再編成します。
  • サイバーセキュリティ組織の能力を拡大するために必要なスキルセットおよび採用ロードマップを定義しますBuy/Sellの両組織のセキュリティテクノロジーを評価し、コストを分析し、意思決定を可能にするための技術統合方針を提言します。
  • IT Integration Management Office(IMO)におけるセキュリティチームを推進します(適切なツール選定、予算、プロジェクト計画活動など)。

X Day サイバーセキュリティ・インテグレーション

  • PMIの期間のDay1、Day2と段階的に進むインフラ統合において、各マイルストンを設定し、それまでに必要な個々のセキュリティ機能を詳細定義します。
  • リスク分析を行い、設計したセキュリティ機能が正しくリスクを低減できるか検証・評価します。
  • TSAに盛り込むべき最低限のセキュリティ要件の合意事項を関係者と協議のうえ定義するとともに、Sellサイドのセキュリティ担当との交渉を支援します。
  • GRC、インシデントレスポンス、脆弱性管理、インサイダー脅威プログラムなど、コアとなるセキュリティ機能の再編・プロセス統合を立案し、投資対象会社のオペレーション開始に備え、必要なセキュリティ業務フローや規程類を整備します。
  • 投資対象会社のコンプライアンス部門と連携した、各国におけるサイバーセキュリティ法規制の義務事項への準拠状況の評価、リスク低減状況に関する当局説明の支援(ex.米国NIST、欧州GDPR、中国サイバー法など)します。
  • レギュレーション要件を満たすセキュリティ一ポリシー、 手順等のドキュメントを整備(IT/Physical)します。

インシデント対応体制の再整備

  • Buyサイド、Sellサイド、投資対象会社間における有事対応体制を再定義します。
  • Day1、Day2・・に向けた段階的なインフラ統合において、マイルストンまでに必要な有事対応機能の全体像を定義します。
  • インソース/アウトソースの方針策定、アウトソース先を評価・選定します。

Post-dealのステージの事例

Post-dealのステージの事例
※画像をクリックすると拡大表示します

プロフェッショナル

岩本 高明/Takaaki Iwamoto

岩本 高明/Takaaki Iwamoto

デロイト トーマツ サイバー合同会社 執行役員

大手インテグレーター、戦略系コンサルファームを経て現職。企業に対するサイバーセキュリティ戦略立案、リスク分析・対応方針立案等の業務を歴任。CISO等の経営アジェンダを広くカバーする一方、技術対策までサイバー全体に一貫整合した経験を有する。... さらに見る

井上 健一/Inoue Kenichi

井上 健一/Inoue Kenichi

デロイト トーマツ サイバー合同会社 マネージングディレクター

標的型攻撃、Webサイトへの不正アクセス、内部行為者による情報漏えい、コンピュータウイルス感染等、様々な情報セキュリティ事故に関して、調査、復旧、再発防止等を支援するプロジェクトを数多くリードしている。事故対応にて得られた知識・経験を活かし、金融機関、製薬業、商社、ECビジネスなどに対するサイバーセキュリティ管理態勢診断を提供している。... さらに見る

川島 悦朗/Etsuro Kawashima

川島 悦朗/Etsuro Kawashima

デロイト トーマツ リスクアドバイザリー パートナー

公認会計士。2004年監査法人トーマツ(現 有限責任監査法人トーマツ)入社後、上場企業の監査業務、IPO支援業務、財務DD等の業務に従事した後、英国Deloitte ロンドン事務所への出向を経験。 帰国後は、投資基準策定・投資時のリスク管理体制構築支援、PMI支援、売却時におけるセパレーション・事業カーブアウト支援に至るまで、ワンストップサービスで業務を提供している。 また、近年ではベンチャー投資... さらに見る

目次

第4回 M&Aにおけるサイバーセキュリティ

近年、サイバー攻撃による生産ラインの停止、上場企業における決算発表の遅延など、経営に重大なインパクトがあるサイバーインシデントが、ニュースや各種メディアを賑わせております。サイバー攻撃による大量の個人情報流出といった事案も今や珍しくなくなっており、サイバーリスクは最も注視すべき経営リスクの一つになっています。