持続的成長を支えるサイバーセキュリティデューデリジェンスの重要性

デジタル化の進展に伴い、企業活動の基盤はITインフラやデータ資産に大きく依存する構造へと変化しています。その一方で、ランサムウェアなどのサイバーリスクが高度化かつ複雑化しており、サイバーセキュリティへの取り組みは、事業継続や企業価値を左右する重要な経営アジェンダとして認識されています。

M&Aや事業再編を通じた成長戦略においても、サイバーセキュリティは重要な評価軸になりつつあります。デューデリジェンス（以下、DD）の段階で潜在リスクを可視化し、PMI（Post merger integration）や事業成長にどう結び付けていくかが重要な論点です。

「Transact to Transform――M&Aを通じた変革の実現」をテーマに展開する本対談では、サイバーセキュリティ領域のプロフェッショナルが、M&Aにおけるサイバーセキュリティデューデリジェンス（以下、サイバーDD）の重要性と、買収後の成長に向けたセキュリティガバナンスの在り方について議論しました。

登場者

PwC Japan有限責任監査法人 パートナー
綾部 泰二

PwCアドバイザリー合同会社 パートナー
鈴木 崇寛

PwCコンサルティング合同会社 ディレクター
布目 亮

※法人名、役職などは掲載当時のものです。

サイバーDDの重要性の高まり──「効果が見えにくい投資」から「企業価値に直結する評価軸」へ

綾部：
M&AにおけるDDの局面において、ここ5年ほど、サイバーセキュリティが重要な検討項目として取り上げられるケースが増えてきました。かつてはDDの対象にならなかったサイバーセキュリティは、現在、企業価値評価の一要素として組み込まれ、経営アジェンダの中でも存在感を高めています。私たちは以前から、「サイバーセキュリティは経営課題である」と経営層の皆さまにお伝えしてきましたが、その認識が実務の現場でも明確に表れ始めていると感じています。こうした動きが加速している背景について、皆さんはどのようにお考えでしょうか。

鈴木：
私はこれまで、ITDDの観点からさまざまなリスク評価に携わってきました。従来から、ITの技術的なセキュリティ対策やポリシー整備の状況はDDの確認事項となっていました。特に海外の大型案件では、買収後にセキュリティインシデントが発生し、M&A取引の価値を毀損（きそん）してしまうケースや、契約締結後の調査によってセキュリティ課題が顕在化し、その対応コストや責任分担を巡って議論になるケースも見られます。DD自体が直接インシデントを防ぐものではありませんが、DDを通じて早期にリスクを把握し、潜在的な価値毀損のリスクならびにPMIにおける防御措置につなげることは可能であり、こうした事例が積み重なる中で、「現時点でどのようなリスクが存在するのかを把握したい」というニーズは確実に高まってきています。

大型案件やクロスボーダー案件、商社・グローバルのプライベート・エクイティ（PE）ファンドが関与する案件などでは、サイバーリスクに対する感度が高く、サイバーDDの依頼件数も増加しています。また、この3〜4年で各社の内部ポリシーや投資基準が整備されてきたことにより、「一定水準までのサイバーDDは必須」と位置付けられるケースも増えてきました。

布目：
私は主に、PEファンドや大手企業のM&A案件におけるサイバーDDを担当しています。数年前までは、DDにおいて財務やITの評価項目はあっても、サイバーセキュリティが独立した評価項目として位置付けられることはほとんどありませんでした。つまり、企業価値の評価対象として十分に認識されていなかったということだと思います。

しかし、サイバーセキュリティに対する社会的な認知が高まるにつれ、DDにおける重要性は着実に増しています。特に近年は、ランサムウェアやマルウェアによる被害が連日のように報道されています。セキュリティ対策を講じていない企業がどのような影響を受けるのかが可視化されてきたことも、依頼件数増加の要因だと感じます。

その背景には、脅威アクターの活動がますます活発化していることがあります。国家支援型のアクターによるスパイ活動、金銭獲得を目的としたランサムウェアによる脅迫、さらには妨害活動や主義主張を掲げるハクティビストによる攻撃など、脅威の種別は多岐にわたります。こうした脅威アクターが、特定の企業をターゲットとして執拗（しつよう）に攻撃を仕掛けてくるケースも増えており、あらかじめ対策を講じていても防ぎきれない場面が生じています。こうしたリスクをどうマネジメントしていくかという観点からも、DDの段階で対象企業がどのような脅威にさらされやすいのかを把握しておくことは重要です。

また、PEファンド案件においてサイバーDDは必須の状況にあります。ガバナンス体制を確認することはもちろん、ペネトレーションテスト（実際の攻撃手法を模した侵入試験）を実施するなど、技術的側面や継続的な耐性まで踏み込んで評価する動きも見られます。

綾部：
私の感触としても、商社やPEファンドは以前からDDへの意識が高い傾向にありましたが、近年では事業会社におけるM&Aの局面でサイバーDDを要望するケースが明確に増えてきたと感じます。

現在は、デジタルを前提としないビジネスは成立しません。従来のITDDでは「ITが正常に稼働しているか」や「M&A後のビジネスの統合をしやすいか否か」などを確認することが主眼でしたが、近年はセキュリティの不備が追加投資やインシデントによる損失につながり得るという認識が広がり、セキュリティリスクそのものを企業価値に影響する要素として評価する視点が加わってきています。

別の論点として課題面では、「セキュリティ投資はその効果を金額として評価しにくい」という点が長年議論されてきました。しかしDDの局面では、追加投資の必要性や将来的に発生し得る損失・被害規模が、企業価値に直接反映されます。この考え方は、セキュリティ投資の議論にも新たな示唆を与えるものではないかと感じています。サイバーDDの増加は、こうした経営環境の変化を象徴する動きの一つだといえるでしょう。

DDの現場で問われる「日常のセキュリティ成熟度」

綾部：
皆さんがサイバーDDを手掛けられる中で、印象に残ったプロジェクトや難しさを感じている点はありますか。

鈴木：
企業規模にもよりますが、サイバーセキュリティに関する情報が十分に整備されていなかったり、担当者が必要な情報を網羅的に把握できていなかったりといった理由で、具体的な評価が難しいケースは少なくありません。ドキュメントとして体系化されていない領域を評価する場合には、実態を把握するために関係者へのインタビュー実施し、情報を精査していく必要があります。その過程で重要なリスクや課題を抽出し、後続フェーズでも確認・対応が可能になるよう整理していくことが求められます。

DDの現場では、短期間で適切なエビデンスを提示できるかどうかが、企業の統治能力そのものを示す重要な指標となります。提示される情報が断片的であったり、説明が明瞭性に欠けたりすること自体が評価に影響を与えます。

布目：
買収する側とされる側という立場の違いからくるモチベーションの差がある中ですので、ファクトをどれだけしっかり押さえていくかは、非常に大変な作業になります。買収側としては、単に事実関係を確認するだけでなく、そのリスクをどのように契約上担保するのか、取引の前提を揺るがすレッドフラグになり得るのかまで見極めていく必要があります。不確実な情報をどう整理し、ファクトとして特定していくかという点には、常に難しさを感じています。

綾部：
また、サイバーDDは単独で完結するものではなく、財務や法務など他のDDと並行して実施されます。限られたディール期間の中で、各チームと連携しながら整合的なアウトプットをまとめていく点も、実務上の難しさとして感じるところでしょうか。

鈴木：
おっしゃるとおりです。例えば情報管理の領域では、個人情報保護に加え、データの越境移転がどの程度行われているのか、それが各国の規制に抵触していないかといった論点が出てきます。こうした点は法務とも密接に関係しますので、まさに複数の専門領域が連携しながら確認を進めていく必要がある部分です。

綾部：
特にグローバル案件では、違反時に高額な課徴金が科される規制も少なくありませんので、その点は法務などのスペシャリストと協働し、相当深く掘り下げて確認する必要がありますね。

こうした難しさを踏まえると、私たちがセキュリティ面で高く評価できる企業というのは、明確なセキュリティ戦略を持ち、ルールやポリシーが整備され、それらが実際の運用に落とし込まれている企業です。さらに、その取り組みを適切に説明でき、必要なエビデンスを短期間で提示できる体制が整っていることも重要なポイントです。

布目：
加えて、それが経営層から担当者レベルまできちんと共有され、戦略の意図が組織全体で理解されているかどうかも重要です。企業として一定の管理基準の下で継続的に運用できているかも評価のポイントになります。そうした状況が確認できれば、場当たり的な対応ではなく、従来から脅威を想定した対策を積み重ねてきた企業であることが見えてきます。

綾部：
私たちも専門家として多くの企業を見てきていますので、CISOの方とのインタビューを通じて、社内のセキュリティ体制の成熟度はある程度把握することができます。形式的なポジションや役割の設置だけではなく、実際にどのようなマネジメントが機能しているのかを重視しています。日頃から体系立ったセキュリティマネジメントが実践されているかどうかは、M&Aの局面においても極めて重要な評価要素になります。

カーブアウト案件──ガバナンスの分断と再構築という固有の難題

鈴木：
私が携わるディールズビジネスの領域では、近年ますます増加している「カーブアウト」が重要なキーワードになります。単独で自律的にセキュリティガバナンスが確立されている企業を買収する場合は、その既存の枠組みを前提に評価を行うことができます。しかし、ポートフォリオ見直しの一環として「切り出された事業」、いわゆるカーブアウト案件では事情が異なり、一定期間のトランジションサービス契約（TSA）が設けられることはありますが、売り手側が恒久的にガバナンス責任を負うわけではありません。買い手の立場から見ると、それまで親会社の統制下で機能していたセキュリティガバナンスが分断される可能性があり、場合によっては複数のグローバル拠点にまたがる統制基盤が同時に再構築を迫られるケースもあります。その結果、限られたトランジション期間内に、組織体制の整備と併せてセキュリティガバナンスを再設計するという高度な対応が求められます。こうした案件は、日系企業においても近年増加しています。

また、再構築の過渡期には統制が一時的に弱まる可能性があり、そこに脆弱性が生じるリスクも念頭に置かねばなりません。例えば、一方のシステムが脆弱性を抱えた状態で安易に連携を進めてしまうと、被害がグループ全体に波及するリスクがあります。ビジネスメリットを実現するためには、まず統合によってどのようなリスクが発生し得るのかを十分に評価し、必要に応じて慎重に進めていく視点も重要です。

DDはスナップショット──PMI以降の継続的な高度化こそが本番

綾部：
最近、ITDDではPMIまで見据えた支援の相談をいただくケースも増えていますが、サイバーDDがPMIに直接結び付く事例はありますか。

鈴木：
サイバーDDがPMIのプロセスにそのまま組み込まれるというよりも、買収完了後に改めてセキュリティを精査する取り組みを行う企業が増えている印象です。DDだけでは把握しきれない論点について、買収完了後にガバナンス強化の第一歩として取り組む流れが徐々に定着してきています。

布目：
PMIとの結び付きという観点では、ITDDに比べるとサイバーDDはまだ限定的だと感じます。ITは統合において不可欠な要素として広く認識されていますが、セキュリティは問題が顕在化して初めて重要性が意識されるケースが多いように思います。

しかし、PMIの局面こそ、セキュリティの観点で取り組むべき点が多く存在します。統合後の組織やテクノロジーがサイバー脅威やビジネス環境に適合しているかを継続的に評価し、改善を重ねていく必要があります。特に、新たな事業領域や規制産業へ進出する際には、求められるセキュリティの考え方や対応すべき法規制が大きく変わりますので、買収後のガバナンスや運用体制をどう構築していくかを、DDの段階から見据えておくことが重要です。

綾部：
私も、セキュリティは一過性の取り組みではないと考えています。私たちがDDで提示できるのは、現時点で把握可能なリスクの所在や対応の方向性であり、詳細な設計はその後のPMIの中で初めて実現されていくものです。そのためには、買収側・被買収側の双方が、セキュリティに対してどのような基本方針や戦略を持っているのかを相互に確認し合うことが重要です。明確な指針がないまま漠然とリスク対応を進めても、必要な投資判断にはつながりません。

規制産業においてはガイドラインへの適合が求められますが、本来こうしたガイドラインは単なる順守事項ではなく、ビジネスを推進するための基本指針として位置付けられるべきものです。ビジネス側が主体的にセキュリティ方針を持ち、それが双方で共有されることで、PMIにおけるセキュリティ高度化の取り組みは初めて具体化していくと考えています。

サイバーDDを起点に、持続的な成長の基盤をつくる

綾部：
最後にまとめとして、お二人それぞれの視点から一言ずつお願いできますか。

鈴木：
サイバーDDの分野ではグローバルが先行している状況ですが、日本においても急速に取り組みが進んできています。M&Aは企業にとって重要なイベントである一方、事業そのものは長期にわたって継続していきます。サイバーDDはサイバーリスクをある時点で可視化するスナップショットであり、そこで得られた評価結果を踏まえて恒久的な対策に取り組むことが、M&Aを成功させる上で欠かせません。

布目：
買収後にインシデントが発生した場合、事業継続への影響やレピュテーションリスクを含め、さまざまな損失が想定されます。M&Aは本来、企業価値のあるビジネスを獲得する取り組みです。だからこそ、DDの段階から早期にリスクを特定し、適切なマネジメント手法を検討したうえで、PMIにおける成長プロセスへとつなげていくことが重要だと考えています。

綾部：
脅威アクターの多くは、資金やリソースを投入して組織的に攻撃を行っています。防御する側にも相応の投資が求められるのは当然のことであり、その投資判断を経営レベルで担うCISOの役割は、今後ますます重要になっていくと考えています。現状ではCISOが兼務体制となっている企業も多いですが、意思決定権や予算権限を持つ役員クラスのポジションとして機能することが、セキュリティ推進の実効性を高めるうえで鍵になるのではないかと考えています。

こうした資金面・人材面・体制面を含めたサイバーセキュリティへの投資は、M&Aの局面においても大きな価値を持つテーマです。DDの段階だけで対応できるものではなく、日常的なセキュリティ管理体制をどこまで構築できているかが、企業評価にも大きく影響します。サイバーDDを起点にリスクを可視化し、PMIを通じてセキュリティガバナンスを高度化していくこと。それは単なる守りではなく、M&Aで獲得した資産を持続的な成長へと結び付けていくための基盤づくりに他なりません。組織再編を検討される企業においては、統合後の基盤整備を進めるための羅針盤として、サイバーDDを活用していただきたいと考えています。「Transact to Transform（M&Aを通じた変革の実現）」に向けて、サイバーセキュリティの視点はますます重要になっていくでしょう。