M&Aにおけるサイバーセキュリティーリスクのコストを今こそ認識すべきだ

過去10年間、巨大M&Aのディール中に、世間の注目を集めるサイバーセキュリティーの問題が多く発生し、企業幹部の間で懸念が高まっている。

Yahoo(ヤフー)は2017年、Verizon(ベライゾン)へインターネット事業を売却する交渉の中で3件のデータ侵害について開示した(注:Verizon MediaはTechCrunchの親会社)。開示を受けてVerizonは、買収価格を約7%、3億5000万ドル(約370億円)引き下げた。しかも売り手は将来データ侵害から生じる負債の50%を負担する。

Yahooの株主はサイバー脅威の影響をしっかりと噛みしめることになった。ニュースでも広く取り上げられた。M&A実務者の間で困惑が広がる異常な事態となったが、標準的なM&Aの慣行を根本的に変えるには至らなかった。しかし、サイバー脅威がもたらす潜在的なコストの高さや事件の頻度の高さを考えると、買い手はリスクに対処する適切で包括的な方法を見つける必要がある。

最近、M&Aのプロセスの中でサイバーセキュリティーについて議論されることが増えた。企業幹部やM&Aの専門家はセキュリティーの問題を識別、防止するためのプロセスとアウトソーシングサービスの質が向上していると指摘する。財務担当幹部の意識が高まり、サイバーセキュリティーの脅威に対処するアウトソーシングソリューションが数多く利用可能になったにもかかわらず、買収した後になって、買収した会社でサイバーセキュリティーの事故が明らかになる例が増えている。にもかかわらず、買い手のデューディリジェンス(詳細調査)の対象は財務、法務、販売、オペレーションに相変わらず偏っており、通常サイバーセキュリティーは周辺領域だと見られている。

デューデリジェンスプロセスで過去の、または潜在的なサイバー脅威が無視されることはもはやない。だが、データ侵害が依然として増加傾向にあり、ディール完了後に負の経済的影響(それは長く感じられる)を引き起こす可能性があることを考えると、買い手がサイバー脅威に対するアプローチを改善する必要性は高いと言える。

現在サイバーセキュリティーの問題が注目されていないのは、M&A市場のダイナミクスに一部理由がある。ミドルマーケット企業のほとんど(表面上はM&A取引の過半数を占める)は入札プロセスで売却される。入札プロセスでは売り手に雇われた投資銀行が関心を示した入札者の間で競争を促し、売却価格を最大化する。競争を激しくするためにバンカーは通常、とにかく早く取引プロセスを進める。買い手は厳しい時間的制約の中で、取引プロセスから振り落とされるリスクに気を配り、デューディリジェンスを優先せざるを得ない。

未公開企業を巡る典型的な取引プロセスは次のように進む。

  • 売り手側の投資銀行が潜在的な買い手に接触し、会社の沿革、事業、実績・予測財務情報を要約したコンフィデンシャル・インフォメーション・メモランダム(CIM)を開示する。潜在的な買い手は通常、3~6週間をかけて資料を検討し、次に進むか意思決定する。サイバーセキュリティーに関する既知の問題がない限り、CIMは潜在的または現在のサイバーセキュリティーの問題について通常言及しない。
  • 最初のレビュー期間終了後なお関心がある全ての入札参加者が関心表明書(IOI)を提出する。IOIにはバリュエーションやディールストラクチャー(対価は現金か株式か、など)を明示するよう求められる。
  • インベストメントバンカーはIOI受領後、売り手と協議して上位入札者を選ぶ。主な評価基準には、バリュエーションのほか、タイミング、クロージングの確実性、買い手の取引完了能力などがある。
  • 次に進む入札参加者にはIOI提出後に4〜6週間が与えられ、重要なデューディリジェンス項目の詳細な調査、売り手が用意したデータルーム内の情報の閲覧、マネジメントプレゼンテーション(買収対象会社の経営陣による会社説明)、買収対象会社の経営陣との質疑応答、サイトビジット(現場視察)を行う。サイバーセキュリティーの問題がきちんと説明されるとすればここが最初の段階だ。
  • 入札参加者が意向表明書(LOI)を提出する。バリュエーションについて再度記載し、独占交渉期間を提案する。1社に絞られた後の独占交渉期間中にデューデリジェンスを終え、取引を完了する。
  • 入札者はLOI署名後、通常30〜60日で最終契約書に関する交渉を完了する。最終契約書には全ての買収条件が詳細に記述される。買い手はこの段階でサイバーセキュリティーの問題を検討する機会を得る。多くの場合、検討には外部業者を使う。すでに独占交渉期間に入っているため確実性が増しており、それなりの費用をかけられる利点がある。外部業者のリソースをサイバーセキュリティーに向ける優先度合いは場合によって大きく異なるが、一般的にサイバーセキュリティーは優先度の高い項目ではない。
  • クロージングは最終契約への署名と同時になることもあるし、規制当局の承認を必要とするため署名の後になることもある。いずれにしても、契約が署名され全ての主要な条件が確定すると、買い手から一方的に取引を取り消すことはできなくなる。

買い手はこうしたプロセスにおいて、競争力を維持するために迅速に行動しながらも対象会社をしっかり吟味するために、内部の経営資源のバランスをとる必要がある。同時に、M&A取引における主要な意思決定者は財務、法務、戦略、オペレーションの経験者から輩出される傾向があり、彼らにITやサイバーセキュリティーの実務経験があることはほとんどない。限られた時間の中で、サイバーセキュリティーの知見をほとんど持ち合わせていないM&Aチームの優先事項は、事業上の主要条件の交渉、事業と市場の傾向分析、会計、負債による資金調達、内部承認など、取引プロセスの中で緊急性の高い項目になりがちだ。署名前の案件の評価に2〜3カ月しかかけられないため、通常サイバーセキュリティーに焦点が当たることは少ない。

サイバーセキュリティーに関する検討が十分にできるかどうかは、過去に生じた問題や内部統制の整備状況に関する売り手からの開示資料に大きく依存する。もちろん売り手は自身が知らないことは開示できない。ほとんどの組織は、すでにネットワークに存在している潜在的な攻撃者や重大な脆弱性を認識していない。残念ながらこうした検討手続きはいわば一方通行の会話であり、売り手からの真実かつ包括的な開示に依存する。これは「買い手の危険負担」という表現に新しい意味を与える。Forescoutによる最近のITプロフェッショナルを対象とした調査で、回答者の65%がサイバーセキュリティーの問題に関して買い手側として後悔していると答えていることは偶然ではない。調査対象のたった36%が、サイバーセキュリティーの脅威を検討する十分な時間があったと答えた。

ほとんどのM&Aプロセスでサイバーセキュリティーの問題は優先的な検討事項にはならない。だが、M&Aプロセス中またはその前に既知の問題が浮上した場合、サイバーセキュリティーの問題に正面から光があたる。VerizonによるYahooの買収の場合、大規模なデータ侵害が3件開示されると、買収価格が大幅に減額されただけでなく、主要な買収条件も変更された。変更された条件には、将来のデータ侵害から生ずる費用の半分を売り手が負担するという内容もあった。2019年4月、Yahooの非買収対象事業とVerizonがデータ侵害に伴う和解金1億1700万ドル(約120億円)の半分を負担することになった。最近の例では、Spirit AeroSystemsによるAscoの買収が2018年以降留保されている。Ascoに対するランサムウェア攻撃が主な原因となってクロージングが遅れているためだ。Ascoは2019年6月、ランサムウェア攻撃に遭って一時的な工場閉鎖に追い込まれ、当初の買収価格6億400万ドル(約640億円)は最終的にその25%、金額にして1億5000万ドル(約160億円)が減額された。

SpiritとVerizonの買収案件のいずれも、サイバーセキュリティーに伴う問題は主にバリュエーションとディールストラクチャーを通じて解決された。買い手は将来の金銭的損失を限定することができたが、顧客や投資家からの信頼の喪失などの将来の問題を防ぐ方策をほとんど講じなかった。SpiritとVerizonの買収案件と同様、通常買い手は取引のストラクチャーを工夫して経済的損失を限定する。さまざまなメカニズムやストラクチャー(表明保証、補償、資産譲渡など)を使えば、識別可能なサイバーセキュリティーの問題から生ずる直接的な経済的負債をうまく転嫁できる。ただしそのような仕組みによったとしても、レピュテーションリスクや重要な企業秘密の漏えいによって発生するより大きな損失を取り返すことはできない。

SpiritとVerizonの例が示すのは、サイバーセキュリティーリスクは定量化が可能だということだ。買収対象を積極的に調査しない買い手は、取引自体にリスクを呼び込んでしまう一方、リスクは軽減されないままになる可能性がある。M&Aのプロセスでは時間が限られており、買収対象会社のサイバーセキュリティーの問題は本質的に不透明であることを考えると、買い手はアウトソーシングソリューションを利用すれば大きなメリットがある。買収対象会社が開示する情報に頼らずに済むからだ。

理想的には、サイバーセキュリティーリスクの調査を行えば、買収対象会社のセキュリティーに関する未知の欠陥と、ビジネスシステムや主要な資産(データや会社の秘密や知的財産を含む)がさらされているリスクを明らかにできる。それらを知らずにいると、買い手はいわば目をつぶったまま取引に突入することになる。もちろん、業界のベストプラクティスはリスクの軽減だ。サイバーセキュリティーを検討項目に加えることは今や優れた実務であり、将来的には必須の要請となる可能性がある。

編集部注:筆者Rob Gurzeev(ロブ・グルゼエフ)氏は、CISO(最高セキュリティ責任者)が攻撃者に打ち勝つ手段を提供することに注力する会社であるCyCognitoのCEOで共同創業者。

画像クレジット:Bjorn Vinter / Getty Images

[原文へ]

(翻訳:Mizoguchi

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。