出典: pichetw via Alamy Stock Photo
解説
合併と買収(M&A)は高リスクのゲームであり、それは財務や市場戦略と同様に サイバーセキュリティに関するものでもあります。経営者が評価や文化的適合性にこだわる一方で、サイバーリスクはしばしば影に潜み、大きな成功を高価な混乱に変える機会を待っています。
ある企業が別の企業を買収するとき、それは資産や人材だけでなく、全体のデジタルフットプリントを引き継ぎます。つまり、エンドポイント、認証情報、レガシーシステム、そして多くの場合、潜在的なセキュリティ脆弱性も含まれます。セキュリティポリシーを効果的に統合できなければ、おめでとうございます — あなたはサイバーリスクの時限爆弾を購入したことになります。
サイバーセキュリティのデューデリジェンスのギャップ
M&Aのデューデリジェンスは通常、財務、法的リスク、運用効率に焦点を当てます。サイバーセキュリティ?しばしば後回しにされるか、考慮すらされません。しかし、サイバーセキュリティ監査をスキップすることは、エンジンをチェックせずに中古車を買うようなものです。問題がすぐには見えないかもしれませんが、確実に存在しています。
買収企業は、契約を結ぶ前にセキュリティポリシー、コンプライアンス履歴、全体的なリスク露出を精査する必要があります。アイデンティティはどのように管理されていますか?従業員は弱いパスワードを再利用していますか?過去に侵害の履歴はありますか?これらの質問を買収前にしないと、何かがうまくいかなくなったときに答えを探すことになります。
関連記事:アジアのAPTアクターが増加、グローバルに焦点を拡大
アクセス制御の悪夢
買収後、IT統合は後回しにされがちですが、アクセス制御は決して運任せにしてはいけません。買収された企業の従業員は、役割が変わった後も、さらには退職後もシステムアクセスを保持することがよくあります。さらに悪いことに、サイバー犯罪者はM&Aの混乱を好み、弱い認証ポリシーや古い認証情報を利用します。
ITチームは初日から明確なポリシーを確立する必要があります。つまり、最小特権アクセスを強制し、強力な認証手段を実施し(理想的にはパスワードを完全に廃止)、古い認証情報を迅速に無効にする必要があります。そして、第三者ベンダーについても忘れないでください — 古いパートナーが古い認証情報を持っている場合、不満を抱いた元従業員と同じくらい危険です。
レガシーシステムのジレンマ
合併はしばしば、全く異なるIT環境を持つ企業を結びつけます。ある企業は洗練されたクラウドファーストモデルを持っているかもしれませんが、もう一方は2005年のようにレガシーシステムにしがみついています。この技術的不一致は、サイバー犯罪者が喜んで利用するセキュリティギャップを生み出します。
古いセキュリティシステムは維持するのに高額で、適応が遅く、現代のセキュリティフレームワークと互換性がないことがよくあります。放置すると、不正アクセス、コンプライアンス違反、セキュリティの盲点の温床となります。レガシーインフラの包括的なセキュリティ評価が重要です。セキュリティポリシーを標準化し、可能な限りクラウドネイティブのセキュリティソリューションを活用することで、これらの危険なギャップを一面記事になる前に閉じることができます。
関連記事:Tenableがサードパーティコネクタをエクスポージャ管理プラットフォームに追加
人的要因: ソーシャルエンジニアリングと内部脅威
両社の従業員は、新しいリーダーシップ、HR部門、またはITサポートを装ったフィッシング詐欺の格好のターゲットです。従業員がこれらの戦術を認識する訓練を受けていない場合、誰かが最終的に間違ったリンクをクリックすることになります。
そして、内部脅威があります。合併は不確実性を生み出し、特に解雇を恐れる従業員は、退職時に機密データを持ち出すかもしれません。他の従業員は、新しいセキュリティポリシーに従わないことでシステムを誤って露出させるかもしれません。
企業はサイバーセキュリティ意識の訓練を優先し、フィッシング耐性のある認証を強制し、異常を検出するためにアクセスパターンを積極的に監視する必要があります。なぜなら、会計部のボブが「念のため」に機密ファイルを個人のメールに転送してデータ漏洩を引き起こすことほど避けたいことはありません。
規制とコンプライアンスの地雷原
関連記事:Valarianが政府向けに設計されたデータ管理プラットフォームを発表
合併はしばしば、業界、地域、規制フレームワークを超えて行われ、それぞれが独自のコンプライアンス要件を持っています。買収された企業がデータプライバシー法を軽視していた場合、それは一夜にして買収企業の問題になります。
コンプライアンス監査は交渉の余地があってはなりません。ヨーロッパの一般データ保護規則(GDPR)、カリフォルニア消費者プライバシー法(CCPA)、医療保険の携行性と責任に関する法律(HIPAA)、または支払いカード業界データセキュリティ基準(PCI DSS)であれ、企業は両組織の最も厳しい規制要件に合わせる必要があります。アクセス活動の監視と報告を集中化するアプローチにより、監査人が来たときに誰も不意を突かれることがないようにします。
結論: サイバーセキュリティはM&Aの優先事項であるべき
サイバーセキュリティはM&A統合チェックリストの単なる項目ではなく、取引の長期的な成功を左右するビジネスリスクです。アクセス制御、セキュリティの整合性、コンプライアンス義務を無視することは、侵害を招くだけでなく、信頼を損ない、評判を傷つけ、さらには株価を下げる可能性があります。
ITおよびセキュリティリーダーは、M&Aセキュリティに対して積極的なアプローチを取り、ポリシー、アクセス制御、脅威の監視が最初からシームレスに統合されるようにする必要があります。買収後にセキュリティ侵害を発見することよりも悪いのは、それに対して高額を支払ったことを知ることです。