M&Aおよび売却中の攻撃対象領域の最小化

商業デューデリジェンスはリスクを最小限に抑え、事業の一部の買収または売却に関する交渉を進めるために必要な自信を組織の取締役会に与えます。しかし、サイバーセキュリティが評価プロセスの重要な部分になるにつれて、 ITチームは、企業を望ましくないレベルのリスクにさらすことなく、新しい所有権への移行を実際に完了できるでしょうか?

最近の Forescoutのレポートでは、技術買収がM&A戦略の最優先事項であることが合意され、回答者の3分の2が、サイバーセキュリティへの懸念がM&A取引を行う際に社内で後悔につながったと回答しています。

これらの企業の動きや政府機構の変更には、多くの場合、経営陣が積極的な時間枠内に完了するためのインセンティブが伴います。単に^第三者 のシステムを折りたたむか、売却されるシステムを分離するという明白な目標は、紙の上では素晴らしいように聞こえますが、キーボードを指で叩くと、ITセキュリティ、ネットワーキング、インフラストラクチャのチームが、この活動を実現するという困難な作業を負っています。

サイバーリスクの獲得は、M&Aのマイナス面と捉えることができます。ただし、正しく実装されていれば、サイバーセキュリティ プログラムは M&A の資産となり、売り手側の場合には重要な要素となります。

商業構成とIT運用の変更は、悪意のある攻撃者が通常通りのビジネスの中断から利益を得るための好機の標的です。交渉のテーブルの両側でゼロトラストセキュリティがすでに取り組んでいなければ、既存のセキュリティ上の欠陥を悪用し、 攻撃対象領域 が拡大すると、所有権の変更が「トロイの木馬」として機能し、クロージング後の ランサムウェア、マルウェア、標的型攻撃、または既存のAPT(Advanced Persistent Threat)が購入者のビジネスに伝播する可能性があります。

同じ調査によると、回答者の半数以上が、M&A取引中に重大なサイバーセキュリティの問題やインシデントに遭遇し、取引を危険にさらしたと報告しています。

取得セキュリティに関する考慮事項

契約締結の前でも後でも、買収したアプリケーションやハイブリッドクラウドデータセンター内のデータセンターのセキュリティ衛生に関連するリスクを判断することが特に重要です。オーストラリアのサイバーセキュリティセンターは 、このような活動に参加する組織に対し、データとシステムを保護する運用環境とセキュリティ制御を理解し、新しい運用環境で同等以上の保護が提供されるようにするようアドバイスしています。また、規制遵守やプライバシー法に関連して、関係者に潜在的な経済的影響が生じます。

買収によって引き継がれたアプリケーションをほとんどまたはまったく制御できないため、ITチームはほとんどの場合、「何を継承したのか?」という疑問を抱くことになります。Kubernetesや代替パブリッククラウドなど、私たちとは異なるインフラストラクチャテクノロジーを利用していますか?どのようなデータ保護、アプリケーション、 エンドポイントセキュリティ 、脆弱性管理の実践が行われていますか?また、これらのワークロードを取り込むことは、現在の攻撃対象領域にとって何を意味するのでしょうか?

購入者のセキュリティチームは、購入するデータセンター資産の可視性の欠如と、機密データのラテラルムーブメントや漏洩を可能にする既存の欠陥を特定する機会の欠如により、評価が妨げられることがよくあります。アプリケーションとワークロードがどのように接続され、通信されているかを理解していないと、買収企業は、移行中や、取得したアプリケーションを受信したセキュリティで保護する際に、アプリケーションが破損し、サービスが中断されるリスクがあります。また、買収には必ずしも完全に補完的なアプリケーションの購入が含まれるわけではないため、その理解は、システムをデータセンターに受け取り、データセンターに導入する段階的な導入、冗長性と廃止措置の重複を特定し、M&Aが達成するように設計されたシステム間の付加価値につながる場合も同様に重要です。

売却セキュリティに関する考慮事項

サイバーリスクの獲得は、M&Aのマイナス面と捉えることができます。ただし、正しく実装されていれば、サイバーセキュリティ プログラムは M&A の資産となり、売り手側の場合には重要な要素となります。ISC2が実施した調査では、調査対象となったM&A専門家の95%が、サイバーセキュリティは、アプリケーションやサービスの技術スタックに支えられながらも、より広範なセキュリティおよびリスク管理プログラムにまで及ぶ有形資産であると考えています。強力なサイバーセキュリティプログラムは、M&Aプロセスにおける差別化要因および付加価値として活用できます。これへの投資は、販売をより魅力的にするだけでなく、より高い価格を要求する可能性があります。

フェンスの「販売」側にいることでプロセスが簡単になるはずだと感じる人もいるかもしれませんが(自分の環境についてもっと知っておく必要があるため)、自社のデータセンター内のシステムの技術的負債と相互接続された性質により、売却する資産を特定し、もつれを解きほぐして切り離すことが困難になります。アプリケーションや販売されるビジネスの一部を実行するワークロードや、それらのシステムが何に接続され、現在誰がアクセスしているかなど、自分自身の質問に答えるのは難しいかもしれません。

また、既存の統制によって、アクワイアラーが要求するレベルまでセキュリティを引き上げたり、交渉中にバランスを有利に比較検討したりするという制約を受ける場合もあります。また、売却の契約上の義務により、これらのシステムを環境内で長期間実行し続ける必要があることもよくあるため、完全に削除せずにそれらを解きほぐして分離するための効率的なメカニズムが必要です。

つまり、買収と売却の両方に共通する課題は次のとおりです。

• アプリケーションの依存関係を可視化して、新しい資産/ワークロードを把握、移行、統合したり、販売範囲内の資産/ワークロードを分離したりできない。
• 既存のセキュリティポリシーはほとんどの場合静的であり、インフラストラクチャとデータセンターのセキュリティ実装に関連付けられているため、エンティティ間で渡されるワークロードとともに適応的に移行することはできません。
• 最新のアプリケーションは相互に依存しており、脆弱である可能性があるため、セキュリティを損なったりサービスを中断したりすることなく未知のアプリケーションを移行することは困難です。
• 移行プロセスの完了中にソフトウェアを壊さないことは、できるだけ多くのビジネスを通常どおり維持するために不可欠です。
• エッジファイアウォールが開かれた移行中に顧客や企業のデータが侵害されるリスク。

イルミオがどのように役立つか

セキュリティを損なうことなくアプリケーションを移行することは、成功の本質であり、イルミオ アダプティブセキュリティプラットフォーム (ASP)は、世界で最も買収的な組織のM&A戦略の基礎です。イルミオASPは、次のことを可能にすることで、最も一般的な課題を解決します。

1. 独自の環境(売却)またはターゲットの環境(買収)内でアプリケーションの依存関係をマッピングします。イルミオの アプリケーション依存関係マップ は、企業が移行前にすべての環境にわたって買収または売却されたアプリケーションとそのワークロードを視覚化するのに役立つリアルタイムの洞察を提供します。アプリケーションの依存関係を理解することで、チームは移行が効率的に行われ、アプリケーションの動作が中断されないようにすることができます。
2. アプリケーション依存関係マップを活用して、重要なITインフラストラクチャを分離するセグメンテーションポリシーを構築します。イルミオのポリシージェネレーターは、最適化されたマイクロセグメンテーションポリシーを使用してセグメンテーションポリシーの作成を自動化し、時間を節約し、セキュリティワークフローを加速し、買収または売却したシステムをリングフェンシングして侵害を封じ込めることで人的エラーのリスクを軽減します。
3. ターゲット企業のサーバーやアプリケーションからインフラストラクチャを保護します。適応型マイクロセグメンテーションポリシーは、アプリケーション環境の変化に合わせて調整され、アプリケーションが移動するとセキュリティも変化します。これにより、移行前にアプリケーションを保護し、移行後にポリシーを自動的に調整できるため、移行プロセス中に一貫性のある継続的な保護が維持されます。

安全な方法で取得して自信が必要な場合でも、売却して資産を切り捨てる労力を減らしながら価格を強化できる場合でも、イルミオは商業的イニシアチブのリスクを軽減します。

注目を集める買収をシームレスに完了させ、買収した会社の700台のサーバーにイルミオを展開したフォーチュン500企業のストーリーをお読みください。