セキュリティリスクを抱えた企業とのシステム統合には要注意!

一昔前と比べると、情報セキュリティのリスクは世間一般でかなり認知されるようになり、「情報セキュリティ対策にはまったく気を配っていない」という企業の数もかなり減ってきました。もちろん、企業によって対策や意識のレベルに差はあれど、ある程度以上の規模を持つ企業であれば、「情報セキュリティが極めて重要な経営リスクである」という認識はかなり浸透しています。

しかし、いくら情報セキュリティに対する意識を高め、予算や人手を投入してさまざまな対策を施したとしても、依然として思いも寄らぬ原因で重大なセキュリティリスクが生じることがあります。ここで、ある事例を紹介したいと思います。

2018年11月30日、世界のホテル業界に激震が走りました。世界中にホテルチェーンを展開する米国のマリオット・インターナショナル社(以下、マリオット)が、「最大5億人の個人情報が流出した恐れがある」と発表したのです。この個人情報の中には氏名や住所、生年月日はもちろんのこと、クレジットカード番号やパスポート番号といった機微な情報も含まれており、この日を境に同社の株価は急落しました。この情報漏えい事故による損失額はおよそ2800万ドル(約28億円)に上り、さらにはGDPR(EU一般データ保護規則)の違約金が9億1500万ドル(約915億円)発生するのではないかとも言われています。

実はこの事故の引き金となったのは、マリオットによるM&A(企業買収)でした。同社は2016年、スターウッドホテル&リゾート(以下、スターウッド)というホテル運営企業を買収しました。しかし実はその時点で、スターウッドのネットワークは何者かによる不正アクセスを受けていたのです。スターウッドもマリオットもそのことに気付かず、ようやく被害が発覚したのはそれから2年半後のことでした。さらにその後の調査によれば、実はスターウッドのネットワークは2014年の時点から不正アクセスを受けていたとのことです。

つまり、マリオット側にはもともと落ち度はなかったにもかかわらず、セキュリティ対策に問題がある企業を買収・統合したばかりに、深刻なセキュリティリスクを一気に「握らされてしまった」わけです。その結果、高い代償を払わされることになってしまいました。

このマリオットの事例は、多くの日本企業にとっても決して対岸の火事ではありません。近年では、日本企業によるM&Aもすっかり当たり前になり、特に海外進出を図るために外国企業を買収するケースが増えてきました。そんなとき、もし買収先の企業のシステムにセキュリティリスクが潜んでいたら、思わぬ爆弾を抱え込むことになりかねません。

EDR製品を使ってあらかじめ相手企業のセキュリティ状況を精査

そこで、M&Aや経営統合を実施するに当たっては、相手企業がセキュリティリスクを抱えていないか、あらかじめ入念にチェックしておくことが重要になってきます。具体的には、まず過去に受けたセキュリティ侵害の有無やその被害範囲、根本原因、影響を受けたマシンおよびユーザー、攻撃者が使用したツールなどの情報をきちんと可視化・整理しておく必要があります。

また、社内に存在するPCやサーバー、ネットワーク機器などの資産管理がきちんと行われているかも確認する必要があります。資産管理がきちんと行われていなければ、ひょっとすると脆弱性を抱えたままの機器が社内に存在している可能性があります。

さらには、現時点において社内にマルウェアなどの侵入や活動を示す痕跡が残されていないか、あるいは明確に脆弱性を抱えた機器が存在しないかを調査する必要があります。もし何らかのリスクが検出された場合は、システムを統合する前にそれらを完全に除去しておく必要があります。

ただし、こうした一連の調査を漏れなく行うには、かなりの時間や手間を要します。M&Aや経営統合は短期間の内に一気に話がまとまることが多く、また社内にも情報を伏せたまま交渉を進めるのが一般的です。そのため場合によっては、相手企業のシステムを調査するための時間を十分にとれないこともあるでしょう。そんなとき、弊社が提供するEDR製品「Cybereason EDR」が大いに役立ちます。

Cybereason EDRのクライアントモジュール(センサー)を、相手企業の社内システムに存在するPCやサーバーなどのエンドポイントに導入すれば、後はCybereason EDRがエンドポイント上に潜む脅威を自動的に検知してくれます。現存する脅威はもちろんのこと、過去に起こったセキュリティ侵害の痕跡も可視化してくれるため、漏れなくリスクを洗い出すことができます。

ちなみに、クライアントモジュールはカーネルモードではなくユーザーモードで動作するため、導入先の環境にほとんど影響を与えることがありません。そのためユーザーの業務に影響を与えることなく、気軽に導入することができます。

加えて弊社では、一時的にCybereason EDRをお客さまの環境に導入して侵害の有無を検査し、その結果をレポートにまとめて報告する「ヘルスチェックサービス」も提供しています。ライセンスを購入せずともCybereason EDRを使って相手企業のセキュリティ状況をチェックできるため、他社とのシステム統合を控えている企業にとっては極めてリーズナブルなソリューションだといえるでしょう。

「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033

ホワイトペーパー:次世代エンドポイントのメリット