M&Aに伴うセキュリティ問題を切り抜けるために：文化の違い、技術のギャップ

合併のプロセスが始まると同時に、組織は脆弱になる可能性がある。それを切り抜けるためにはどんなセキュリティ問題を念頭に、どう計画を立てればいいのか。

[Ed Skoudis，TechTarget]

　最近のビジネスニュースをチェックしたことがあるだろうか。M&Aが頻繁に起きている。予想外の案件もあり、特に情報セキュリティ市場で多い。数多くの情報セキュリティ担当者が、2つの別々の会社を1つに融合させるという気の遠くなるような作業を強いられているのだ。しかし、もし統合のプロセスを適切に処理しなければ、組織のセキュリティ態勢に深刻な影響を及ぼしかねず、合併後の会社のセキュリティが合併前より低下してしまうことさえある。

　M&Aを含めてどんな形であれニュースで注目を集めた会社は、脆弱性探しやフィッシングといった悪意ある行為のターゲットになることが多い。M&Aでは合併によって自分の職が脅かされるかもしれないとの不安が社内で生じ、内部からの脅威が助長されることもある。その結果、大切な情報をネットワーク上に置かなくなるところもあるかもしれない。セキュリティチームが合併の政治力学を読み取り、会社を守る最善の策を検討する中、こうしたすべての要因が課題として降りかかってくる。

　企業が合併時の混乱を切り抜けるためには、次に挙げるセキュリティ問題を念頭に置き、それに従って計画を立てる必要がある。

情報セキュリティポリシーの調整

　合併しようとする組織間では、ほとんど必ずと言っていいほど情報セキュリティポリシーの不一致が深刻な問題になる。合併計画立案の過程でこうしたポリシーを検討し、組み合わせる必要がある。双方が自分たちのガイドラインに固執していたのでは、このプロセスはうまくいかない。管理職に相談してリーダー役を1人選び、微妙な政治問題についてはその人物に決定を委ねることだ。一方の組織の方が他方よりも徹底したポリシーを持っていることも多い。困難な決断を下すことになっても、セキュリティ強化につながる方を選択することが重要だ。

　ポリシーが確定したらギャップ分析を行い、新しいポリシーに照らして両組織を評価する。順守のためにプロセス上、技術上の変更が必要になる個所を記したロードマップを作成する。

　ポリシーや技術に手を加えるのは時間がかかるものだ。ポリシーの調整と評価の作業はできるだけ早く始めることが大切だ。できれば合併の正式発表前から着手するのが望ましい。しかし残念ながら、情報セキュリティ担当者は自分の会社の合併についてマスコミ報道で知ることがほとんどであり、普通は発表前のプランニングは不可能だ。

　ポリシー調整のプロセスでは、組織を一本化して攻撃に備えるため、直ちに対応しなければならない技術分野が幾つかある。合併のプロセスが始まると同時に、組織が脆弱になる可能性があるからだ。

関連ホワイトペーパー

セキュリティポリシー | 無線LAN | ファイアウォール | マルウェア