• 知見・論考​
  • 投融資におけるサイバー・デュー・デリジェンスの重要性

投融資におけるサイバー・デュー・デリジェンスの重要性

投融資におけるサイバー・デュー・デリジェンスの重要性

【本記事のサマリ】

  • 徹底したサイバー・デュー・デリジェンスは、非テクノロジーセクターに投資するプライベートエクイティやファンドにとっても必要不可欠。
  • サイバー・デュー・デリジェンスの基本的な目的は、投資に対するリスクを評価し、正しい評価を保証し、さらなる調査や対策が必要な領域を明らかにすること。他のデュー・デリジェンスプロセスと全く異なるものではない。
  • ESG投資の観点からも、投資先のサイバー・デュー・デリジェンスは今後ますます重要に。意思決定を支援するために必要な道具の一つであると理解すべき。

サイバー攻撃の規模が拡大し、頻度が増加し続ける中、サイバーセキュリティ事件が企業に与える影響もエスカレートし続けています。機密性の高い個人情報の漏えい、知的財産(IP)や機密性の高いビジネス情報の盗難、破壊的なランサムウェアや分散型サービス妨害(DDoS)攻撃は、企業の業績、株式価値、ブランド、顧客や顧客からの信頼に悪影響を与える可能性があります。

同時に、企業や投資家は、規制当局、株主、顧客に対する情報漏えいの開示をますます求められるようになり、欧州一般データ保護規制(GDPR)や同様の枠組みによる厳しい規則により、多額の罰金や訴訟といった増大するリスクに直面しています。

データ漏えいにより1億ドルを超す和解金支払いを強いられたヤフーや、プライバシー当局から1400万ポンドの制裁金を科されたマリオットのような大事件が発生したことは、投資家がサイバー・デュー・デリジェンスを真剣に考慮し始める絶好の契機でしたが、投資ライフサイクルにおいてサイバーセキュリティを体系的かつリスクベースで考慮することは未だ例外的で、多くの投資家はサイバー攻撃によって損失を受けるリスクを抱えたままです。

 

分野を超えて広がるサイバー・デュー・デリジェンスの必要性

投資家の一部には、サイバーセキュリティは一部の限られた先端テクノロジー企業にだけ関係があるとの思いこみがあるかもしれません。しかし、新型コロナウイルスの流行によって加速したデジタルトランスフォーメーションと、経済のあらゆる部門におけるテクノロジーの遍在は、サイバーリスクがすべての企業に影響を与えることを意味します。要するに、今やすべての企業がテクノロジー企業なのです。

サイバー犯罪者はこのことを熟知しており、近年、最も深刻な事例のいくつかは、パイプラインの運営会社、食品製造会社、ヘルスケアや教育施設などの企業において発生しました。今や、徹底したサイバー・デュー・デリジェンスは、非テクノロジーセクターに投資するプライベートエクイティやファンドにとっても必要不可欠なものとなっています。

 

<グローバル全体でサイバー攻撃の標的となった業種の割合(2021年11月~2022年10月)> 

投融資におけるサイバー・デュー・デリジェンスの重要性

サイバー・デュー・デリジェンスの投資プロセスへの組み入れ

ITやサイバーセキュリティに馴染みのない投資チームにとって、サイバー・デュー・デリジェンスの概念は漠然としており、把握するのが難しいように思われるかもしれません。

しかし、サイバー・デュー・デリジェンスは、他のデュー・デリジェンスプロセスと全く異なるものではありません。その基本的な目的は、投資に対するリスクを評価し、正しい評価を保証し、さらなる調査や対策が必要な領域を明らかにすることです。

■ 外部デュー・デリジェンス:対象のリスクプロファイル評価
投資家が買収対象に完全にアクセスする事前審査の段階において、サイバー・デュー・デリジェンスは、企業のサイバー脅威への「露出」すなわちサイバー攻撃を受ける可能性の大小について有用な洞察を提供することができます。
買収対象企業の潜在的なサイバーリスクを徹底的に評価することで、投資家は投資プロセスの初期段階において、リスクの大きさ、対応のためのコストとスケジュールを理解することができます。
■ 内部デューデリジェンス:サイバーセキュリティガバナンスとリスク管理の理解
投資家が対象企業にアクセスできるようになった段階で、内部サイバーセキュリティガバナンスについてより徹底したレビューが出来るようになります。情報通信インフラや脆弱性の評価と同時に、内部規程や手順の確認、主要関係者のインタビューを行うことで、社内のサイバーセキュリティの成熟度やリスク管理プロセスに関する洞察を得ることができます。
このプロセスは、現在のサイバーセキュリティ態勢、攻撃された場合の危機管理や事業継続計画の不備など、潜在的なリスク要因を特定するために設計されています。また、買収対象企業の内部サイバーセキュリティの成熟度を理解することは、投資家が要改善項目を順位付けし、買収後の効果的な統合計画を策定するのに役立ちます。

 

サイバー攻撃の増大や、規制強化だけでなく、ESG投資におけるSocial(社会的道義)やGovernance(ガバナンス)という観点からも、投資先のサイバー・デュー・デリジェンスは今後ますます重要になるでしょう。投資チームは、サイバー・デュー・デリジェンスを、難解で例外的なものではなく、意思決定を支援するために必要な道具の一つであると理解すべきです。

事例

買収・投資の事前審査におけるサイバー・デュー・デリジェンス事例

コントロール・リスクスは、ソフトウェア開発会社に投資しようとしているプライベート・エクイティ・ファンドを支援しました。お客様は、買収対象企業がどのようにソースコードを保護しているかを懸念していました。私たちは、攻撃者が利用する可能性のあるインフラ、システム、人材、脆弱性をリスト化し、それぞれの脅威を評価しレポートとして報告。このレポートは、いくつかの分野にわたる投資対象の成熟度を包括的に示すもので、レピュテーション・デュー・デリジェンス・レポートと一緒にお客様に提供しました。これによりお客様は、効果的な改善活動の優先順位を決めるための指針としてコントロール・リスクスによる評価を利用して、投資後のサイバーセキュリティ戦略を構築できました。

 

ポートフォリオリスク管理におけるサイバー・デュー・デリジェンス事例

コントロール・リスクスは、世界的に投資を行うプライベート・エクイティ・ファンドのポートフォリオリスク管理の一環としてサイバー・デュー・デリジェンス活動を支援しました。私たちは、お客様の投資対象会社についてサイバー脅威への露出を分析するとともに、それら脅威への対応について事業会社と定期的な議論を行いました。お客様は、四半期ごとのレポートをもとに、各事業会社のサイバーセキュリティリスク、サイバーセキュリティ改善計画の概要およびその進捗の把握が可能になりました。

 

コントロール・リスクスでは、日本を含め世界中のサイバーセキュリティの専門家が、日々進化するサイバーセキュリティ関連の脅威・リスクを把握・分析し、それぞれのお客様が直面する脅威に応じたアドバイスを提供しています。本レポートで解説したサイバー・デュー・デリジェンスをはじめ、サイバーセキュリティ・デジタル関連のご相談などございましたら、下記お問い合わせフォームよりご連絡ください。

※サイバーセキュリティ・デジタル関連サービスの詳細はこちら

お問い合わせ先

DOTCOM - Japanese - Enquiry via Our Thinking articles
姓**
 
 
 
名**
 
 
 
会社名**
 
 
 
Eメール*
 
 
 
部署名**
 
 
 
役職*
 
 
 
*
 
 
 
電話番号
 
 
 
問い合わせ