前2回では、テクノロジー時代のサイバーセキュリティ問題やサイバー国家戦略の動向を垣間見ながらサイバーセキュリティを組み込んだ経営戦略の在り方に触れました。そこでは、脅威シナリオの共有による全員野球を目指すことを戦略仮説として提示しました。今回から2、3回は、経営環境やデジタルリスクの諸相も揺れ動く中で、どのような判断や行動をしていけば良いのか、国際的なセキュリティ実務の最前線をご紹介しつつ議論したいと思います。サイバーセキュリティの戦術展開力をいかに高めて、企業経営に価値貢献するか、という視点で論を進めます。

シリーズの1回目は、M&Aにおけるサイバーセキュリティ術です。ある意味では、自ら経営環境を変える意思決定をしている訳ですから、セキュリティ対策も既定路線の延長線上でつつがなくできるはず、という経営陣やリスク担当幹部も多いのではないでしょうか?ところが、サイバーセキュリティ実務はそう生易しいものではありません。

さっそく、国際的なM&Aの数々を経験したCISOたちの経験の粋を集めた内容をSteveに纏めてもらうことにしましょう。

(ここから引用)

サイバーセキュリティの責任者がM&Aの価値を高めるためにできること

May 4, 2022
SOURCE: Forbs
By Steve Durbin
ISF Chief Executive/Forbes Councils Member

企業の合併・買収(M&A)はビジネスを飛躍的に成長させることで知られていますが、M&Aにはさまざまな不確定要素があり、買い手と売り手双方に多くのリスクが伴います。その中で、しばしば無視されたり過小評価されたりするリスクのひとつが、サイバーリスクです。昨年は5兆ドルものM&Aが行われましたが、M&Aプロセスのデューデリジェンスの中でサイバーセキュリティを考慮した取引は10%未満であったと報道されています。

 

売り手にとっては、顧客情報や財務情報、知的財産などの機密情報の漏洩は、信用や企業評価、競争優位の喪失につながりかねません。一方、買い手にとっては、買収した企業のセキュリティ管理体制をほとんど、あるいは全く理解しないまま、サイバーリスクをそっくりそのまま受け継いでしまう恐れがあります。その結果として、株価は大幅に下落し、時価総額が毀損し、企業は、集団訴訟、あるいは連邦政府や規制当局の捜査など多くの問題に巻き込まれる可能性も出てきます。 

情報セキュリティ責任者は、どのように貢献できるのか。

セキュリティ責任者は、次に述べる手法を駆使することで、M&Aのプロセスにおけるサイバーリスクを軽減し、情報セキュリティが企業にもたらす大きな価値を経営陣に印象付けることができます。

1. 早い段階からの参画

M&Aの交渉では、セキュリティチームが蚊帳の外に置かれるのはよくあることです。実際のところ、ほとんどの場合、後始末係の役割を務めることになります。会社が買収されると、それに伴って引き起こされるすべてのリスクに対処しなければならないというわけです。

この状況を変えるために、セキュリティ責任者が最初にしなくてはならないことは、ビジネスのコトバを学ぶことです。セキュリティ部門のリーダーといえども、純粋に技術的な問題だけに目を向けていると、経営陣から誤解されたり無視されたりしがちです。だからこそ、経営陣と有益な関係を築くために、特別な努力をする必要があるのです。

ビジネスにとって「良き理解者」となることで、話し合いの初期段階から参加し、取引の価値を高めるための洞察を提供することができるのです。この考え方は、自分自身の主張を押し通したり、サイバーに関する議論を強要したりするのではなく、セキュリティの脆弱性が取引の妨げになる可能性があるシナリオに対して、不可欠な介入をすることでもあります。

2. 案件形成における早い段階での情報提供

ディールの初期段階における情報漏えいや不確かな情報に基づく憶測は、深刻な影響を及ぼすことがあります。そのために、株主や従業員を動揺させ、戦略的計画を狂わせ、競争相手に対して警戒心を与え、取引条件を不利にすることも考えられます。

この段階では、通常、情報リスクは許容できるもの、あるいは、後になってから対処できるものと認識されがちです。とはいえ、セキュリティ責任者に戦略的な意見を求められた場合は、取引の初期段階に直面しうる問題の概要を示し、状況に応じた分析も提供することが望まれます。

この時点では、想定されるセキュリティ被害の範囲、潜在的なインパクト、必要なセキュリティ対策を追加するために必要な投資額などを、簡単に見積もるだけで十分な場合もあります。それでも、セキュリティに対する懸念が高まっているようであれば、セキュリティ監査を実施し、対象企業のセキュリティ体制と成熟度を十分に評価することが賢明かもしれません。

3. デューデリジェンスのための助言提供

デューデリジェンスの手続きが始まると、セキュリティ責任者は、買収対象組織のITインフラに適したセキュリティ関連のハイレベルな短めの質問集をM&Aチームに提供する必要があります。これらの質問への回答からは、買収企業のセキュリティ体制について踏み込んだ理解は得られないかもしれませんが、少なくともセキュリティ上の不備を知るための最初の一歩を踏み出すことができます。

例えば、回答に否定的な点があったり、回答がなかったり、あるいは根拠がなかったりする場合は、さらなる調査が必要な領域として、直ちにフラグを立てることができます。買い手は売り手の文書をより詳細に検証する必要があるため、両者は、文書がセキュリティで保護された環境外で共有されないようにするデータルームやプラットフォームを使用して、そうした情報が安全に共有され、取引が決裂した場合にすべてのデータが確実に消去されるようにする必要があります。