アドバイザリー

サイバー脅威の誘発要因:合併・買収

社内のITインフラやプロセスの変更を伴う企業の合併・買収は、企業の情報セキュリティシステム、方針、手続、安全措置にギャップを生み出す可能性があります。

また、合併・買収は人員削減を伴うことが多く、企業のシステムやプロセス、セキュリティ手段に精通している元従業員が不満を募らせ、セキュリティ侵犯に及ぶ可能性があります。

ある外国企業は最近、テクノロジー企業に買収提案を行いましたが、政府の調査を受け、計画の無期延期を余儀なくされました。この外国企業が利用していたあるソフトウェアが、買収対象の企業はもちろん、その企業が所在する国全体を許容しがたいサイバーリスクにさらす可能性があると判断されたためです。

確認すべき事項:

  • 取引に関するデータは、どのように保護されているか。、また、権限を持たない人物でも重要な情報にアクセスできるか。
  • 合併または買収は、既存の脅威の位置付けを変え、新たな脅威をもたらす可能性があるか。
  • 知的財産を取得することで、サイバー攻撃に対する脆弱性を持ち込んだり、新たに攻撃の標的となったりする可能性があるか。
  • 対象企業のサイバーセキュリティの有効性やサイバーリスクのプロファイルに関してデューデリジェンスを実施しているか。
  • 新しい従業員は会社のサイバーセキュリティに関するカルチャーを理解しているか。
  • サイバーセキュリティの観点から、政府が取引に懸念を抱く可能性はあるか。