M&Aプロセスのデューデリジェンスにおいて、対象企業のサイバーセキュリティに関する管理体制や潜在的リスクを簡易的に診断します。
インターネットを活用したビジネス(例えば、ECサイト運営や情報提供サービス等)を展開する企業を対象とするケースでは、サイバーセキュリティリスクは、ディールブレイクの要因となる、あるいはセキュリティ対策の強化の必要性から企業価値評価への考慮が必要となるケースが想定されます。
しかしながら、デューデリジェンスという局面の性質上、対象企業の協力が十分に得られない状況も想定されます。KPMGでは、そのような場合に備え、状況に応じて実施可能な2つのアプローチを用意しています。
対象企業へのセキュリティに関する調査協力依頼が難しい場合は、以下に示したオプション1の「サイバーインテリジェンス調査」だけでも実施することを推奨します。その後、対象企業の協力が得られる状況となった場合は、オプション2についても実施することを推奨します。
オプション1:サイバーインテリジェンス調査
対象企業にコンタクトすることなく、任意のタイミングで外部情報をベースにサイバーリスクの簡易診断を実施するアプローチです。
オプション2:サイバーセキュリティ管理体制の簡易アセスメント
対象企業へインタビューや資料開示を要請し、内部情報へのアクセスを実施するアプローチです。対象企業の協力を得る必要があります。
「サイバーインテリジェンス調査」
本サービスは、対象企業の情報セキュリティ対策について初期的調査を実施することを目的としています。インターネット等の公開情報をもとにサイバーリスクの調査を実施するため、対象企業への協力要請を必要としないことが、最大の特徴になります。基本メニューとしては、以下の9つの領域について調査を実施します。
| 調査項目 | 対象リスク | |
|---|---|---|
| 1 | 「ダークウェブ」における対象企業関連情報の交換・売買 対象企業の情報(例:営業機密、顧客情報、従業員のID/パスワード、ネットワークの脆弱性情報等)が、ダークウェブ(暗号化された通信でのみアクセス可能なアングラなネットワーク)において交換・売買等されていないかを調査。 | 交換・売買されている場合には、サイバー攻撃がすでに行われていたり、攻撃が差し迫っていたりすることが推察される。 |
| 2 | 「ペーストビン」への対象企業関連情報の流出 対象企業の情報(例:営業機密、顧客情報、従業員のID/パスワード、ネットワークの脆弱性情報等)が、ペーストビン(様々な技術情報等の共有が可能なインターネット上のウェブサービス)に流出していないかを調査。 | 流出している場合には、それらの情報がすでに悪用されたり売買されていたり、これから悪用されたり売買されたりする可能性があることが推察される。 |
| 3 | 対象企業のネットワーク構成情報の外部からの把握 対象企業のネットワークの構成情報やインターフェースあるいは脆弱性等が、外部から容易に把握可能かを調査。 | 外部から容易に把握可能な場合には、すでにサイバー攻撃を受けて侵入されていたり、今後侵入されたりする可能性が高いことが推察される。 |
| 4 | 対象企業の従業員のユーザーIDおよびパスワードの漏洩 対象企業の従業員が社外のSNSや会員サービス(例:LinkedIn、Facebook等)の利用のために登録した「会社メールアドレスとパスワード」が、これまでに発生した各種の情報漏洩事故・事件において実際に流出しているかを調査。 | 流出している場合には、それらの「会社メールアドレスとパスワード」を使ったサイバー攻撃に悪用される可能性が高いことが推察される。 |
| 5 | 対象企業のITシステム関連情報の外部からの把握しやすさ 対象企業が現在利用しているサーバやネットワーク機器あるいはアプリケーションソフトや セキュリティソフトの種類やバージョン情報等が、外部から容易に把握可能かを調査。 | 外部から容易に把握可能な場合には、それらの情報をヒントにしてITシステムの脆弱性を突いたサイバー攻撃により侵入される可能性があることが推察される。 |
| 6 | 対象企業が公開している電子ファイルの「メタデータ」での悪用可能な情報の残存 対象企業がインターネット上で公開しているPDF、Word、Excel等の電子ファイルのメタデータ(「ファイルのプロパティ」として表示される情報)に、ファイル作成者のユーザーIDや氏名・所属部署名、当該ファイルを作成したディレクトリ等の情報が残ったままとなっていないかを調査。 | メタデータにファイル作成者のユーザーIDや氏名・所属部署名、当該ファイルを作成したディレクトリ等の情報が残ったままの場合、それらの情報が悪用され、今後サイバー攻撃による侵入や情報の社外流出等が行われる可能性があることが推察される。 |
| 7 | 対象企業のベンダーのネットワーク構成情報の外部からの把握しやすさ 対象企業が利用しているベンダーのネットワークの構成情報やインターフェースあるいは脆弱性等が、外部から容易に把握可能かを調査。 | 外部から容易に把握可能な場合には、今後ベンダーを経由して対象企業への侵入等(サプライチェーン攻撃)が行われる可能性があることが推察される。 |
| 8 | 類似ドメインの存在 対象会社のドメインと類似したドメインを調査。 | 類似ドメインが存在する場合には、それらのドメインが対象企業の顧客や取引先をターゲットとしたフィッシング詐欺に悪用される可能性があることが推察される。 |
| 9 | 対象企業の役員の個人情報等のインターネット上での公開 対象企業の役員の個人情報等(住所、家族構成・氏名、メールアドレス、サイン等)や対象企業に関するネガティブな情報がインターネット上で公開されているかを調査。 | 対象企業の役員の個人情報等がインターネット上で公開されている場合には、それらの情報がビジネスEメール詐欺(”BEC”)やソーシャルエンジニアリングによる情報窃取等に悪用される可能性があることが推察される。 |
サイバーセキュリティ管理体制の簡易アセスメント
本サービスは、対象企業より内部管理資料の開示やインタビュー等を実施することで、セキュリティ管理体制について簡易的なアセスメントを実施します。対象企業の業種や業態、および調査への協力体制とアセスメントにかけることができる時間との兼ね合いを考慮して、個別にアセスメントのフレームワークの選定・カスタマイズを行います。
以下に、経済産業省の「サイバーセキュリティ経営ガイドライン2.0」を活用して質問票やインタビュー等を実施するケースを紹介します。
| 目的 | 対象企業のサイバーセキュリティ対策の状況の確認 |
| 手続き | チェックリストを活用し、対象企業の担当者へインタビューを実施 |
| 確認事項 | 1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定 2. サイバーセキュリティリスク管理体制の構築 3. サイバーセキュリティ対策のための資源(予算、人材等)確保 4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 5. サイバーセキュリティリスクに対応するための仕組みの構築 6. サイバーセキュリティ対策におけるPDCAサイクルの実施 7. インシデント発生時の緊急対応体制の設備 8. インシデントによる被害に備えた復旧体制の整備 9. サプライチェーン全体の対策および状況把握 10. 攻撃情報の入手とその有効活用および提供 |
なお、質問票のテンプレートでは、39の質問事項を設定しています。
また、受領した回答をベースにしたフォローアップ・インタビューの実施や、問題点等の深堀りについても対応可能です。
※本文中に記載されている会社名・製品名は各社の登録商標または商標です。
