M&Aおよび事業売却中のアタックサーフェスの最小化
商業デューデリジェンスはリスクを最小限に抑え、事業の一部の買収または売却に関する交渉を進めるために必要な自信を組織の取締役会に提供します。しかし、評価プロセスの中でサイバーセキュリティがますます重要になるにつれて、 ITチームは、企業を望ましくないレベルのリスクにさらすことなく、新しいオーナーシップへの移行を実際に完了できるのでしょうか。
最近では フォアスカウトレポート、テクノロジー買収はM&A戦略の最優先事項であることに同意し、回答者の3分の2は、サイバーセキュリティへの懸念がM&A取引を行う際に社内で後悔につながったと回答しました。
こうした企業の動きや政府の仕組みの変化には、多くの場合、経営陣が積極的な時間枠内で完了しなければならないというインセンティブが伴います。明らかな目標は、単純に「3」を導入することです。赤 当事者のシステムを分割したり、売却されるシステムを分離したりすることは、紙の上では素晴らしいことのように思えますが、キーボードに指が当たると、ITセキュリティ、ネットワーク、およびインフラストラクチャの各チームが、この活動を実現するという困難なタスクを担います。
サイバーリスクの買収はM&Aのマイナス面と見なすこともできますが、正しく実施されれば、サイバーセキュリティプログラムはM&Aの資産となり、売却側にとっては重要な要素となります。
商業構成やIT運用の変化は蔓延しており、悪意のある攻撃者が通常の業務の中断から利益を得る絶好の標的となっています。ゼロトラストなしでは、すでに交渉の両側でセキュリティ対策が講じられ、既存のセキュリティ上の欠陥の悪用や増加も増加しています。 アタックサーフェス 所有権の変更は「トロイの木馬」の役割を果たす可能性があることを意味する可能性があり、取引終了後の処理はすべてトロイの木馬の役割を果たす可能性があります ランサムウェア、マルウェア、標的型攻撃、または既存の高度持続的脅威(APT)は、購入者のビジネス内および企業全体に広がります。
同じ調査から、回答者の半数以上が、M&A取引中に重大なサイバーセキュリティ問題または事件に遭遇し、取引が危険にさらされたと報告しました。
買収時のセキュリティに関する考慮事項
買収したアプリケーションやハイブリッドクラウドデータセンター内のデータセンターのセキュリティ衛生に関するリスクを判断することは、契約の締結前でも後でも特に重要です。 オーストラリアのサイバーセキュリティセンター は、このような活動に参加する組織が、データやシステムを保護する運用環境とセキュリティ管理を理解し、新しい運用環境でも同等以上の保護が確実に得られるようにするよう助言します。また、規制順守やプライバシー法に関連して、関係者に財務上の影響が及ぶ可能性もあります。
買収によって引き継いだアプリケーションをほとんどまたはまったく制御できないため、ITチームは「今受け継いだのは何か」という疑問を抱くことがほとんどです。彼らは Kubernetes や代替パブリッククラウドなど、私たちとは異なるインフラストラクチャ技術を利用しているのでしょうか?どのようなデータ保護、アプリケーション、 エンドポイントセキュリティ そして脆弱性管理慣行は守られていますか?そして、これらのワークロードを取り込むことは、現在のアタックサーフェスにとってどのような意味があるのでしょうか。
購入者のセキュリティチームは、購入するデータセンターの資産を可視化できず、機密データの水平移動や漏洩を可能にする既存の欠陥を特定する機会がないため、どのような評価も妨げられることがよくあります。アプリケーションとワークロードがどのように接続され、通信されているかを理解していないと、買収した企業は移行中または取得したアプリケーションを一度受け取り後に保護している間に、アプリケーションを破壊してサービスを中断するリスクがあります。また、買収には必ずしも完全に補完的なアプリケーションの購入が含まれるわけではないため、受信システムを段階的に導入してデータセンターに導入し、冗長性と廃止措置の重複を特定し、M&Aが目指したシステム間の付加価値を導き出すためには、その理解も同様に重要です。
ダイベストチャー・セキュリティに関する考慮事項
サイバーリスクの買収はM&Aのマイナス面と見なすこともできますが、正しく実施されれば、サイバーセキュリティプログラムはM&Aの資産となり、売却側にとっては重要な要素となります。では ISC2が実施した調査、調査対象となったM&A専門家の95%が、サイバーセキュリティはアプリケーションまたはサービスの技術的スタックによって支えられているが、より広範なセキュリティおよびリスク管理プログラムにも及ぶ有形資産であると考えています。強力なサイバーセキュリティプログラムは、M&A プロセスにおける差別化要因および付加価値として活用できます。これに投資すると、売却の魅力が高まるだけでなく、より高額な売却価格を求められることもあります。
「売り出し中」の側にいることでプロセスが簡単になるはずだと感じる人もいるかもしれませんが(自分の環境についてもっと知っている必要があるため)、技術的な負債と自社のデータセンター内のシステムの相互接続性により、売却する資産を特定して解きほぐして切り離すには課題があります。どのようなワークロードがアプリケーションや販売対象事業の一部を実行しているのか、それらのシステムが何に接続され、現在誰がアクセスしているのかなど、お客様自身の質問に答えるのは難しいかもしれません。
また、既存の統制によって、買収企業が必要とするレベルまでセキュリティを強化したり、交渉中に有利なバランスが取れるように制限されたりする場合もあります。また、売却の契約上の義務により、お使いの環境内でこれらのシステムを長期間稼働させ続ける必要があることもよくあるため、完全に削除せずにシステムを解きほぐして分離するための効率的なメカニズムが必要です。
要するに、買収とダイベストの両方に共通する課題には以下が含まれます。
- アプリケーションの依存関係を把握して移行し、新規の資産/ワークロードを統合したり、販売範囲内の資産/ワークロードを分離したりするための可視性が欠如している。
- 既存のセキュリティポリシーは、ほとんどの場合、静的であり、インフラストラクチャとデータセンターのセキュリティ実装に結びついているため、エンティティ間で引き継がれるワークロードに合わせて適応的に移行することはできません。
- 現代のアプリケーションは相互に依存していて脆弱である可能性があるため、セキュリティを損なったりサービスを中断させたりせずに未知のアプリケーションを移行することは困難です。
- 移行プロセスの完了中にソフトウェアを壊さないことは、ビジネスを可能な限り通常どおりに維持するために不可欠です。
- エッジファイアウォールが開かれていると、移行中に顧客や会社のデータが危険にさらされるリスクがあります。
イルミオがどのように役立つか
セキュリティを犠牲にすることなくアプリケーションを移行することが成功の鍵であり、Illumio 適応型セキュリティプラットフォーム (ASP) は、世界で最も買収意欲の高い企業のM&A戦略の基盤となっています。Illumio ASPは以下のことを可能にすることで、最も一般的な課題を解決します。
- 自社の環境(事業売却)またはターゲット(買収)環境内のアプリケーションの依存関係をマッピングします。イルミオ ASP の アプリケーション依存関係マップ 移行前に、企業が買収または売却したアプリケーションとそのワークロードをすべての環境にわたって視覚化するのに役立つリアルタイムの洞察を提供します。アプリケーションの依存関係を理解することで、チームは移行が効率的になり、アプリケーションの動作が中断されないようにすることができます。
- アプリケーション依存関係マップを活用して、重要な IT インフラストラクチャを分離するためのセグメンテーションポリシーを構築します。イルミオの ポリシージェネレーター 最適化されたマイクロセグメンテーションポリシーを使用してセグメンテーションポリシーの作成を自動化します。これにより、買収または売却されたシステムをリングフェンシングして侵害を封じ込めることで、時間を節約し、セキュリティワークフローを加速し、人為的ミスのリスクを軽減します。
- 対象企業のサーバーやアプリケーションからインフラストラクチャを保護します。適応型のマイクロセグメンテーションポリシーは、アプリケーション環境の変化に合わせて調整されます。アプリケーションが移動すると、セキュリティも変化します。これにより、移行前にアプリケーションを保護し、移行後にポリシーを自動的に調整して、移行プロセス中も一貫した継続的な保護を維持できます。
Illumio ASPは、安全な方法で買収してそのための信頼を得る必要がある場合でも、売却してそれらの資産を遮断する労力を減らしながら価格を引き上げることができる場合でも、商業的取り組みのリスクを軽減します。
ストーリーを読む あるフォーチュン500企業が、買収した企業の700台のサーバにIllumio ASPを導入し、注目度の高い買収をシームレスに完了しました。