経済の不確実性に直面する中、企業は事業の脆弱性を軽減する新たな方法を模索しています。たとえば、合併や買収(M&A)を行うことで、競争上の脅威を減らしつつ、提供する商品を多様化することができます。M&Aは、買収企業が技術的な人材を増やし、デジタルトランスフォーメーションを加速させる上でも役立ちます。
しかし、M&Aを行う企業は、ディールサイクルを通じて重大なサイバーセキュリティリスクに直面する可能性があります。従来のネットワークマージによる統合は、非効率的で冗長なシステムをもたらし、リソースやデータを危険にさらす可能性があります。一方、Zero Trustの原則を適用した最新のM&A IT統合は、次のような効 果をもたらします。
IT、セキュリティ、コンプライアンスのリスクの最小化
継続的なコストの削減と生産性の向上
変革的技術の導入加速
M&Aの場面では、片方の組織が以前行ったサイバーセキュリティに関する意思決定と基盤となるITシステムが、もう一方の組織に影響を及ぼします。攻撃者は、買収側の大企業に侵入する手段として、買収または売却される企業のデータを標的にすることがあります。
たとえば、米国連邦捜査局(FBI)が、M&A活動を悪用したランサムウェアの脅威について警告を発しています。攻撃者はトロイの木馬型マルウェアを起動し、(公開されれば)取引を妨害する可能性のある非公開情報を特定し、そのデータを利用して金銭を脅し取ります。
買収企業のM&A担当役員の3人に1人が、「統合中のM&A活動に起因すると思われる」データ漏洩を経験してい ます。重要な要因は、攻撃対象領域の拡大です。プロセスの一環として、機密ファイルやデータは複数のサードパーティとデジタルで共有されます。1億3,000万ドルを投じて行われたGraduation Alliance Inc.の買収事件では、攻撃者はM&A法律事務所のメールアドレスを侵害し、株主への支払いを横流しして盗みました。
IT統合が「完了済み」であっても、次のようなリスクがあります。
休眠状態の脆弱性:統合時にセキュリティ体制が同等でなければ、一方が他方に悪影響を及ぼす可能性があります。たとえば、MarriottがStarwoodのホテルネットワークを買収する前に、攻撃者はすでにStarwoodの宿泊予約システムに侵入していました。この侵害は2年間発見されず、約5億件の顧客記録が流出しました。
シャドーIT:統合された企業の従業員が、統合先の新しいプロセスやツールに慣れるには時間がかかります。この移行期間中、一部の従業員や部門が認可されていないアプリケー ションを導入したり、新しいITポリシーに従わなかったりする可能性があります。
規制の影響:企業間で地域や業種が異なり、片方により厳しいデータプライバシー規制が適用される場合は、データ共有のコンプライアンスに細心の注意を払う必要があります。たとえば、中国の個人情報保護法(PIPL)では、M&Aのシナリオにおける個人データの移転について、一定の通知と同意の要件が定められており、これに従わない場合、100万人民元(約149,000ドル)以上の罰則が科される可能性があります。
過去の研究では、買収の70〜90%は失敗するとされています。組織は、新たなサイバー脅威に備え、ディール中のIT統合を成功させることにより、この統計のようなM&Aの失敗を避けることができます。
従来のIT合併では、組織は合併する2つの企業間のあらゆるリソースにユーザーを接続させることを試みます。これは、「城と堀」のネットワークセキュリティモデル(ネットワーク外部の人間は内部のデータにアクセスできないが、ネットワーク内部の人間は誰でもアクセスできる)に従ったものです。
たとえば、ファイアウォールを使って2つのネットワーク間でトラフィックを受け渡したり、中間ブリッジングポイントで2つのネットワークを統合したりします(データセンター間を接続するマルチプロトコルラベルスイッチング(MPLS)など)。あるいは、新しい仮想プライベートネットワーク(VPN)を追加して、新しいユーザーに安全にアクセスしてもらうこともできます。以前は、ビジネスアプリケーションはデータセンター内のオンプレミスでホストされており、従業員のほとんどはオフィスで作業をしていたため、これで十分でした。
しかし、現代の職場では、買収した「A社」と買収された「B社」の従業員が、どのデバイスからでも、どこからでも、クラウドをホストとするSaaSアプリケーションとネットワークのほぼ無限の組み合わせに安全に接続できるオプションが必要です。しかし、これらのユーザーやデバイスのいずれかが侵害された場合、攻撃者はいわゆる「堀」を越えてくる可能性があります。
言い換えれば、M&Aでハイブリッドな職場環境が融合した場合、従来の境界ベースのアプローチでは不十分です。
しかし、今日のITとセキュリティのリーダーには、M&AにおけるIT統合の常識を塗り替える機会があります。Zero Trustセキュリティモデルに根ざした最新のアプローチにより、ビジネスに出入りするすべてのトラフィックが検証され、承認されることが保証されます。
たとえば、統合の際、Zero Trustネットワークアクセス(ZTNA)でリソースを保護することができます。ZTNAは、Zero Trustセキュリティの実装を可能にする技術です。ZTNAのメリットは以下のとおりです。
複数の認証要素を要求することで、資格情報の盗難やフィッシングなどの脅威のリスクを低減します。さらに、マイクロセグメンテーション(Zero Trustのコンポーネント)により、侵入を1つの小さな領域に制限することで、攻撃が発生した場合の被害も最小限に抑えます。
複数のIDプロバイダーと同時に統合することで、外部ユーザー(「B社」の従業員や契約社員など)の認証を迅速化し、さまざまな企業アカウントや個人アカウントからの認証を可能にします。
ユーザーのIDとコンテキストに基づき、普遍的できめ細かなポリシーでアクセスを許可し、リスクの高いVPN接続を新たに追加することなく内部資産を保護します。
Zero Trustを活用することで、ネットワークの複雑な組み合わせを行うことなく、容易な内部アクセスを可能にし、移行する従業員のオンボーディングを迅速化し、すべてのユーザーの「初日」からのアクセスを確保します。これらはすべて、組織が合併のメリットをより早く実現する上で役立ちます。M&Aでは、まさに時は金なりなのです。
2つの企業が合併すると、すぐにROIを達成しなければならないという大きなプレッシャーにさらされます。Bain & Co.の分析(10年間にわたるM&A活動の追跡に基づく)によると、プロセスやシステムの統合の70%は、最終段階ではなく、最初の段階で失敗しています。つまり、スピードは非常に重要なのです。実際、当社の試算によると、ビジネスにおける相乗効果の半分以上はシステム統合に左右されます。システム統合の迅速化により、収益とコストの相乗効果をより早く実現し、新しい技術力をより早く導入することが可能になり、顧客に対してより早くひとつの企業として の姿を見せることができるようになります。
しかし、企業システムを従来のネットワークマージと組み合わせようとすると、いくつかの課題が生じます。
潜在的なネットワークの非互換性やスケーラビリティの問題、IPアドレスの重複、その他のITの複雑さへの対処など、数か月に及ぶ実装ステップを伴う統合期間の延長。
別々のシステムを管理し、最新でない(または冗長な)アプリケーションを維持し、技術的負債を増やすことによる間接費の増加(レガシーハードウェアは、ほとんどの場合、運用を維持するために、より多くの間接費を必要とします)。
新しいVPNの追加、設定、メンテナンスにより多くの時間を費やすことによる生産性の低下。また、リモートワーカーにとって、クラウドベースのVPNを使用することは、ネットワークとの間のすべてのリクエストで遅延を増大させることにつながります。
ZTNAは全アプリケーションの集約層となり、アクセスを許されたリソースに全ユーザーが安全にアクセスできるようにし、実装を簡素化します。たとえばZTNAは、以下のことを実現します。
企業のリソースにアクセスする新しいユーザーやデバイス、ネットワーク内外に保存されたデータ(異種クラウド環境など)へのアクセスの提供を簡素化します。多くの場合、エンドユーザーソフトウェアはまったく必要ありません。
従業員の生産性と接続性を維持することは、合併が一時的に仕事のパフォーマンスや定着率に影響を与えることが多いことを考えると、非常に重要な要素です。Zero Trustは、立ち入ったセキュリティチェックを減らし、認証ワークフローを簡素化し、従業員のオンボーディング/オフボーディングを迅速化します。
冗長なセキュリティサービスをクラウドベースのZero Trustプラットフォームに置き換えることで、技術効率を向上します。また、新しいインフラのプロビジョニングとセキュリティ確保(またはレガシーシステムの脆弱性の修正)に必要な労力を削減し、IPの競合にまつわる問題を回避します。
Deloitteが2023年1月に実施した世論調査によると、M&Aプロフェッショナルの半数近くが、今後1年以内に事業分離(製品ライン、部門、子会社の売却または分離)を行う可能性があります。しかし、他のM&A戦略と同様に、事業分離もまた、機密データや企業秘密へのアクセスを狙う攻撃の可能性を高めます。また、IT資産の移行に伴い、設定ミスや脆弱性が発生する可能性も高まります。
事業分離によってスピンオフした企業は、近代化に向けてグリーンフィールド(新規投資)の機会を獲得します。ZTNAの技術は、技術的負債を最小限に抑え、移行自体の複雑さを軽減するため、IT移行期間中のスピンオフ企業に最適です。ZTNAは個々のリクエストを検証するため、攻撃者によるラテラルムーブメントを排除します。Zero Trustのきめ細かなアクセスポリシーにより、分割された事業のアプリケーションやユーザーを効率的にオフボーディングすることができます。これにより、結果として生じる2つの事業の論理的分離が促進され、分離契約の条件を期限内に履行することができます。
IDCのアナリストはZTNA市場分析を通じて、Cloudflareをリー ダーとしてランキングしています。IDCは、Cloudflareの「企業のセキュリティニーズを支援する積極的な製品戦略」と「Zero Trust導入のさまざまな段階にある企業を支援する能力」を評価しています。
Cloudflareは、Zero TrustとのIT統合を簡素化する最も簡単な方法です。重要なアプリケーションやリスクの高いユーザーグループ(買収した企業の従業員や請負業者など)を「初日」から効率的に保護し、企業の成長に合わせてインターネットネイティブなZTNAを残りの事業へと容易に拡大することができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
2023年のIDC MarketScape for ZTNAでは、ZTNA市場の詳細な分析と、Cloudflareが含まれる17のベンダーと比較してどのように位置づけられるかを分析しています。
この記事を読めば、以下が理解できます。
M&Aに関連する一般的なサイバーリスク
従来のIT統合の複雑さ
Zero Trustセキュリティを適用するメリット