はじめに
2024年から2025年にかけて、中小製造業・地方中堅企業を直撃するランサムウェア被害が報道で相次いでいます。サプライチェーン経由で侵入され、生産システムが停止、復旧に数週間〜数ヶ月を要する事例は、もはや珍しくありません。報道で大きく取り上げられる数十億円規模の被害は大手・準大手の事例が中心ですが、中小企業でも生産停止・復旧費用・取引先対応を積み上げると、譲渡対価に対して無視できない金額の損失に膨らむのを筆者は現場で見ています。攻撃者は「中小だから狙われない」のではなく「中小だからセキュリティが手薄で狙いやすい」という構造で標的を選んでいて、企業規模に関係なく被害が広がっています。
こうした状況下で、買収案件の中にも「譲渡実行直後にランサムウェア被害が顕在化した」「過去にインシデントがあったが開示されていなかった」「退職者のアカウントが残存して情報流出していた」といった事例が増えています。買い手としては、買収シナジーが消えるどころか、被害対応コスト・取引先への信用毀損で買収価値が大きく下がる事態に直面することがあります。サイバーセキュリティDDは、もはやIT企業限定の論点ではなく、製造業・物流・サービス業など中小M&Aの広い領域で必要性が増しています。
一方で、フルスケールのサイバーセキュリティDD(外資系コンサル・専門ファームによる包括的調査)は数千万円〜億円規模で、中小M&Aには予算的に過剰です。中小M&Aの予算感で実効性のあるサイバーDDの設計、フル版との線引き、簡易ペネトレ・AD管理・バックアップ・サプライチェーンセキュリティの確認、譲渡実行前後の対応までを、限られた予算で被害を防ぐ順序に並べていきます。
中小M&AのサイバーセキュリティDDは「フル版か何もしないか」の二者択一ではありません。ランサムウェア時代の最低ラインとして「脆弱性スキャン」「AD/特権アカウント確認」「バックアップ運用確認」「インシデント履歴開示」の4つは、中小予算でも実施可能です。
なぜ中小M&AでもサイバーDDが必要か——ランサムウェア時代の現実
サイバーセキュリティの脅威環境は、ここ数年で構造的に変化しました。中小企業を直撃する典型的な攻撃パターンは、おおむね次のようなものです。
中小企業が直撃されやすい攻撃パターン
最も被害が大きいのはランサムウェア攻撃です。VPN脆弱性・RDP公開・フィッシングなどで侵入され、ファイルが暗号化されて身代金を要求される。生産や業務が止まり、復旧コストがそのままのしかかります。これと地続きなのがサプライチェーン攻撃で、取引先・委託先の脆弱性を経由して侵入され、中小サプライヤーから大手取引先へ横展開されるケースもあります。攻撃は技術的な侵入に限りません。取引先を装った偽メールで送金先変更を依頼し、振込先を偽口座にすり替えるビジネスメール詐欺(BEC)も中小企業を狙います。
内部に起因する経路も見逃せません。退職した従業員のアカウントが残存し、情報漏洩や内部犯行に悪用される退職者アカウント悪用は典型例です。加えて、クラウドサービス(SaaS)の共有設定・公開範囲の誤りで顧客データが外部からアクセス可能になる設定ミス、工場の制御システム・センサー・複合機などのIoT機器・OT機器が侵入経路になるケースも、製造業を中心に増えています。
譲渡実行後にインシデントが顕在化するパターン
M&Aの譲渡実行直後に、過去に潜伏していたサイバーリスクが顕在化することがあります。攻撃者がすでに侵入済みで活動を抑えていたケース、退職者アカウントから情報流出が継続していたケース、譲渡実行に伴う組織変更で従業員のセキュリティ意識が緩んだ隙を狙われるケース——譲渡実行は攻撃者にとっても「混乱しやすいタイミング」として認識されています。
譲渡実行前のサイバーDDで、こうした潜伏リスク・運用の弱点を確認しておくことが、譲渡後の被害顕在化を防ぐ実務的な防御線になります。
譲渡実行2ヶ月後にランサムウェア被害が顕在化した案件
製造業の中小事業者の譲渡で、サイバーDDは仲介の標準スコープに含まれず、簡易な書類確認のみで進められました。譲渡実行から2ヶ月後、生産管理システムがランサムウェアに暗号化される被害が発生しました。調査の結果、譲渡実行の約半年前から攻撃者が侵入済みで、譲渡実行後の組織変更タイミングで本格攻撃に踏み切ったと推測されました。
このとき現場でいちばん尾を引いたのは、復旧費用そのものより「誰の責任か」が宙に浮いたことでした。買い手は「侵入は譲渡前から始まっていた、これは売り手側の瑕疵だ」と主張し、売り手は「譲渡実行時点では正常に稼働していた、こちらに知る術はなかった」と反論する。SPAにサイバーインシデントを名指しした表明保証も特別補償もなかったため、どちらの言い分が条項上正しいのかを切り分けられず、復旧費用の負担割合をめぐる交渉が長引きました。被害額の大小よりも、契約に手当てがなかったせいで「金額を誰が持つか」を後から殴り合うことになる——この後味の悪さこそが、譲渡前に脆弱性スキャンと侵害兆候の確認を1回挟むだけで避けられたはずのものでした。
中小M&A予算で実施するサイバーDDのスコープ——フル版との線引き
サイバーセキュリティDDのフル版は、外資系コンサル・専門ファームが手掛けると数千万円〜億円規模の予算が必要です。中小M&Aの譲渡対価が数億円規模の案件で、フル版を実施するのは予算的に成立しません。一方で、まったくサイバーDDを実施しないと、譲渡実行後の被害顕在化リスクが残ります。
フル版サイバーDDと中小版の比較
| 項目 | フル版 | 中小M&A版 |
|---|---|---|
| 外部脆弱性スキャン | 包括的・継続実施 | 譲渡前に1回、主要IT資産対象 |
| 侵入テスト(ペネトレ) | 本格的なRed Team演習 | 簡易ペネトレ(外部公開資産限定) |
| 内部ネットワーク調査 | セグメント分離・横展開リスク | 主要システムの構成確認 |
| AD・特権アカウント監査 | 包括的なIDアクセス管理監査 | 退職者残存・特権権限の確認 |
| SOC・ログ分析 | 過去6〜12ヶ月のログを精査 | 主要システムの直近3ヶ月ログ確認 |
| バックアップ・BCP | 復旧テスト含む包括検証 | 運用記録・直近の復旧テスト確認 |
| サプライチェーン | 主要取引先・委託先の網羅調査 | 主要SaaS・クラウド利用先のリスク評価 |
| 費用感 | 数千万円〜億円 | 200万〜500万円程度 |
中小版で外せない4つの最低ライン
予算を圧縮するなかで、ランサムウェア時代に外せない最低ラインを4つに集約すると、次のようになります。まず外部公開資産の脆弱性スキャンで、VPN・公開Webサーバー・メールサーバー等の既知脆弱性を確認します。次にAD・特権アカウントの確認として、退職者アカウントの残存、特権権限の付与状況、多要素認証の運用を見ます。三つ目はバックアップ運用と復旧体制で、バックアップ頻度・保管先(ネットワーク分離)・直近の復旧テスト実績を押さえる。そして四つ目が過去のインシデント履歴開示——譲渡側から過去のサイバーインシデント・情報漏洩・行政指導を開示してもらう、という4点です。
これら4つは、外注した場合でも中小M&Aの予算で十分対応可能な範囲です。フル版サイバーDDの代替にはなりませんが、ランサムウェア攻撃のリスクが高い領域に絞って優先的に確認することで、最も大きな被害を防ぐ実務的な防御線になります。
400万円のサイバーDDで重大な脆弱性を3件発見した案件
従業員50名規模の中堅製造業の譲渡で、買い手側がサイバーDDを実施しました。フル版ではなく中小版の4項目に絞った設計で、費用は約400万円、期間は3週間でした。外部脆弱性スキャンで、VPN機器に既知の重大脆弱性(CVE公開済み・パッチ未適用)が3件見つかりました。譲渡側のIT担当者は「パッチは順次適用している」と説明していましたが、実際には2年以上適用されていない状態でした。
譲渡実行前にパッチ適用を完了させることをクロージング条件に加え、適用後に再スキャンで脆弱性が解消されたことを確認してから譲渡実行に進みました。確認できた事実は「攻撃者が真っ先に狙う入口に、公開済みの重大脆弱性が2年以上放置されていた」という一点で、これを譲渡前に塞げたこと自体が成果です。被害をいくら防いだかは仮定の話なので断言できませんが、同種の脆弱性が侵入起点になった中小製造業の事例を知っている立場としては、塞いでおいて損のない穴でした。脆弱性スキャンは中小版4項目のなかでも費用対効果が見えやすい領域です。
脆弱性スキャンと簡易ペネトレ——外部から見える攻撃面
サイバーDDの最初のステップは、対象企業の外部公開資産(VPN・公開Webサーバー・メールサーバー・FTPサーバーなど)に対する脆弱性スキャンです。攻撃者が最初に当たる入口の状態を確認することで、即時に対応すべきリスクを洗い出します。
脆弱性スキャンの確認項目
スキャンで最初に当たるのはVPN機器の既知脆弱性で、主要ベンダーの製品で公表されているCVE(共通脆弱性識別子)への対応状況を見ます。次に公開Webサーバーの脆弱性として、Webサーバー・CMSの既知脆弱性やApache/Nginx/IIS等のバージョンを確認する。メールサーバーは、SMTP認証、SPF/DKIM/DMARC、メールリレーの不正利用可能性が論点です。あわせて、インターネット公開されているリモートアクセスポート、すなわちRDP・SSHの公開状況、SSL/TLS証明書の有効期限切れや脆弱な暗号方式の利用も確認します。
技術的なスキャンだけでなく、OSINT(公開情報からの脅威情報)の視点も加えます。過去にダークウェブで漏洩した認証情報がないか、対象企業が攻撃対象として言及されていないか——外から見える兆候を拾うことで、すでに攻撃者の射程に入っている可能性を早めに把握できます。
簡易ペネトレ(侵入テスト)
脆弱性スキャンで発見した脆弱性が、実際に悪用可能かを確認するのが簡易ペネトレです。フル版のRed Team演習と異なり、外部公開資産の限定的な範囲で、既知脆弱性を活用して内部に侵入できるかを検証する設計です。期間は1〜2週間、費用は100〜200万円規模で実施可能なケースもあります。ここで費用感を整理しておくと、中小版の最低ライン4項目(脆弱性スキャン・AD監査・バックアップ確認・履歴開示)だけなら200万〜300万円程度に収まることが多く、簡易ペネトレはその上に乗せるオプションです。スキャンで重大な脆弱性が出て「実際に侵入できるか確かめたい」となった案件でペネトレを追加し、結果として全体が400万〜500万円に近づく——という積み上げが現実的です。最初から全部盛りで500万円を組むより、スキャン結果を見てペネトレの要否を判断する順序を勧めています。
簡易ペネトレで実際に侵入が成功した場合、その経路を譲渡側に開示し、譲渡実行前のパッチ適用・設定変更をクロージング条件として要求できます。譲渡側にとっても、自社のセキュリティ状態を客観的に把握できる機会で、譲渡実行後のインシデント発生リスクを下げる作業になります。
簡易ペネトレで内部システムまで到達できた案件
地方の中堅サービス業の譲渡で、簡易ペネトレを実施しました。外部公開のVPN機器の既知脆弱性を悪用したテストで、内部ネットワークへの侵入が可能なことが確認されました。さらに、内部のADから取得した認証情報で、複数のファイルサーバー・基幹システムへのアクセスまで横展開可能な構造でした。
譲渡側のIT担当者にこの結果を共有したところ、「セキュリティ対策は十分」という認識から「これは深刻」という認識に変わりました。譲渡実行前にVPN機器のファームウェア更新、特権アカウントの権限見直し、内部ネットワークのセグメント分離を実施することをクロージング条件に組み込みました。同条件を満たさない場合は譲渡対価を減額する設計で、譲渡側もセキュリティ強化に積極的に動きました。簡易ペネトレは、譲渡側に客観的な現状認識を持ってもらう道具としても機能します。
Active Directory・特権アカウント・退職者管理——内部リスクの確認
外部からの脆弱性スキャンで見える「攻撃面」と並行して、内部のID・アクセス管理の状態を確認するのが、サイバーDDの第2の柱です。Active Directory(AD)の運用、特権アカウントの付与状況、退職者アカウントの残存、多要素認証(MFA)の運用——これらは中小企業で形骸化しがちな領域です。
ID・アクセス管理のDD観点
まず確認するのは退職者アカウントの残存状況です。過去2〜3年に退職した従業員のADアカウント・SaaSアカウントが削除されているかを突合します。次に特権アカウント(管理者権限)の数として、Domain Admins・Enterprise Adminsなどの数と付与の合理性を見る。システム間連携用のサービスアカウントについては、パスワードの変更頻度と権限が最小化されているかが論点です。あわせて多要素認証(MFA)の運用も押さえます。VPN・SaaS・特権アカウントへのMFA適用状況を確認する。パスワードポリシーは、長さ・複雑さ・有効期限の設定に加えて、パスワード使い回しの実態まで踏み込んで見る必要があります。最後に外部委託・派遣社員の権限管理として、外注先・派遣社員のアクセス権限と契約終了時の削除運用を確認します。
典型的な発見
ID・アクセス管理のDDで実際によく見つかる問題は、おおむね次のパターンです。最も多いのは退職者アカウント残存で、過去3年に退職した5〜10名のアカウントが削除されないまま残っているケースです。次いで特権アカウントの過剰付与——「念のため管理者権限」が10〜20アカウントに付与されている状態がよく見つかります。「admin」「shared_user」など複数人で共用されている共用アカウントも典型例です。MFA未導入も多く、VPN・主要SaaS・特権アカウントにMFAが入っていないまま運用されている。加えて、サービスアカウントのパスワードが固定され、5年以上同じパスワードが使い回されている例も珍しくありません。
これらは、譲渡実行後すぐに対応すべき問題として優先順位を整理し、PMI 100日プランの最優先項目に組み込みます。退職者アカウント削除・MFA導入・特権アカウント整理は、外注しなくても譲渡先のIT担当が対応できる範囲で、譲渡実行直後の3〜4週間で大半を終わらせるのが現実的なスケジュール感です。
退職者アカウント7件が残存していた案件
従業員30名規模の中堅事業者の譲渡で、ADアカウント一覧と退職者一覧を突合しました。過去3年に退職した10名のうち、7名のADアカウントが削除されないまま残存していました。さらに、そのうち2名のアカウントは過去6ヶ月以内にログイン履歴があり、正規利用との切り分けが必要な状態でした。
譲渡側の代表は「IT担当に任せていた」と話し、退職者アカウント削除のルール自体が文書化されていませんでした。譲渡実行前に7件のアカウント削除、過去のログイン履歴の調査、ログイン履歴のあった2名のアカウントの利用状況確認を進めました。結局この案件で効いたのは「7件」という数そのものより、削除を誰がいつ判断するかというルールが存在しなかったという運用の穴のほうで、譲渡実行後の100日プランでは個別アカウントの削除より先に、退職者が出たら誰がアカウントを止めるかの運用フロー文書化を最優先項目に置きました。
バックアップ・BCP・インシデント対応履歴——被害発生時の復旧力
ランサムウェア対策で最後の防衛線になるのが、バックアップとBCP(事業継続計画)です。攻撃を受けてシステムが暗号化されても、適切なバックアップが保全されていれば、身代金を払わずに復旧できます。中小M&Aのサイバー DDで、バックアップ運用の実態を確認することは、譲渡後の被害シナリオでの復旧可能性を見極める作業です。
バックアップ運用のDD観点
最初に見るのはバックアップの頻度です。日次・週次・月次の組み合わせと、業務影響を最小化するRTO/RPOの設計を確認します。次にバックアップの保管先として、ネットワーク分離(オフライン・別セグメント)と地理的分散(オフサイト)の有無を見る。ここで指標になるのが3-2-1ルール——3つのコピー・2種類のメディア・1つはオフサイトという原則がどこまで適用されているかです。とりわけ重要なのがバックアップ自体の暗号化耐性で、ランサムウェアが拡散してもバックアップが影響を受けないネットワーク分離になっているかを確かめます。加えて、過去6〜12ヶ月で実際の復旧テストが行われているかという復旧テストの実施履歴、そしてサイバー攻撃を含むBCP(事業継続計画)が文書化され訓練まで実施されているかを押さえます。
過去のインシデント履歴の開示
サイバーDDで譲渡側に開示を求めるべき重要な情報が、過去のインシデント履歴です。マルウェア感染、不正アクセス、情報漏洩、ランサムウェア被害、フィッシング被害、行政指導など、過去3〜5年の出来事を網羅的に開示してもらいます。
開示してもらう中身としては、まず過去のインシデントそのものの内容——発生日、影響範囲、原因、対応経緯、再発防止策です。あわせて、個人情報漏洩時の報告義務に基づく個人情報保護委員会への報告履歴、インシデント発生時の取引先・顧客への通知の有無と内容を確認します。第三者監査・診断の結果として、セキュリティ診断の実施履歴と指摘事項・是正対応も見ておく。そしてサイバーインシデントに起因する係争中の訴訟・損害賠償の有無を押さえます。
過去のインシデント履歴は、譲渡側にとって開示しにくい情報ですが、譲渡実行後に発覚すると表明保証違反として大きなトラブルになります。SPAの表明保証で「過去のサイバーインシデントの網羅的開示」を譲渡側に求め、開示書類(Disclosure Schedule)に記載させる構造で、譲渡実行前の確認を制度化します。
ここがサイバーDD固有の難しさで、財務や法務と違って「隠していても証拠が残りにくい」ため、正面から「過去にインシデントはありましたか」と聞いても「特にない」で終わりがちです。筆者が使うのは、ヒアリングではなく痕跡から逆算する聞き方です。たとえばセキュリティ製品の導入時期を確認して「なぜこの時期にEDRを入れたのか」を尋ねると、その裏に未開示のインシデントが隠れていることがある。サイバー保険の加入・更新時の告知内容、過去の臨時のIT支出、急なパスワード一斉変更の記録なども、開示されていないインシデントの間接的な手がかりになります。「無い」を額面どおり受け取らず、運用の変化点から拾いにいくのが、開示を渋る売り手に対してDDとして効く現実的なやり方です。
バックアップが攻撃で同時暗号化されていた案件
ある中堅事業者のサイバーDDで、バックアップ運用を確認しました。日次でバックアップを取得しているという説明でしたが、保管先は同じネットワーク内のNAS(ネットワーク接続ストレージ)でした。NASは社内LANに常時接続され、ADから容易にアクセスできる状態でした。仮にランサムウェア被害が発生した場合、ファイルサーバーと同時にバックアップNASも暗号化される可能性が高い構造です。
譲渡実行前に、バックアップの一部を外部クラウドに移行し、ネットワーク分離を強化することをクロージング条件に組み込みました。並行してBCPの見直しと復旧テストも実施しました。バックアップは「取得しているか」だけでなく「攻撃で同時暗号化されない構造か」まで確認する必要があります。
取引先データ・サプライチェーンセキュリティ・SaaS利用
サイバーセキュリティのリスクは、自社単独では完結しません。取引先・委託先・利用しているSaaS・クラウドサービスといった、外部接点全体でリスクが発生する構造です。中小M&AのサイバーDDでも、サプライチェーンとSaaS利用の確認は、現代的な必須項目になっています。
サプライチェーン・SaaSのDD観点
まず主要SaaSの利用状況を押さえます。会計・人事・営業・コミュニケーション等で利用しているSaaSの一覧、契約形態、利用権限を整理する。そのうえでSaaSの設定状況として、共有設定・公開範囲・MFAの適用と過去の設定ミス履歴を確認します。外部に目を向けると、主要委託先のセキュリティ対策水準と契約上の情報管理義務を見る外部委託先のセキュリティ、取引先がVPN・専用線で対象企業のシステムにアクセスする経路の有無を見る取引先からのアクセスが論点になります。受発注のEDI・電子取引システムのセキュリティも確認対象です。最後に、SaaSのデータセンターが海外にある場合の越境データ規律対応——個人情報の越境移転を押さえます。
個人情報保護法の遵守状況
個人情報保護法は2022年4月施行の改正以降(出典: 個人情報保護委員会『漏えい等報告・本人への通知の義務化について』2022年)、漏洩時の本人通知・個人情報保護委員会への報告義務、外国にある第三者への提供の規制強化など、運用が厳格化されています。M&AのDDでは、対象企業の個人情報取扱いの実態を確認することが、譲渡後の規制リスクを下げる作業です。
確認の起点になるのは、個人情報保護方針・利用目的の整備、すなわちプライバシーポリシーの内容と実態が整合しているかです。次に第三者提供の管理として、第三者提供記録と本人同意の取得状況を見る。外国にある第三者への提供の遵守状況、いわゆる越境データ移転も論点です。漏洩時の対応体制についても、漏洩発生時の本人通知・委員会報告の体制が整っているかを確認します。加えて、個人情報漏洩の発生履歴と委員会・他省庁からの指導という過去の漏洩・指導履歴を押さえます。
SaaSの利用が広がる現代では、自社のシステムだけでなく、利用しているSaaSの設定ミス・データ越境・サードパーティアクセスが情報漏洩の経路になりえます。中小M&AのサイバーDDで、主要SaaS(おおむね10〜20件程度)の利用状況を網羅的に整理することは、現代的な確認項目として欠かせません。
SaaSの公開設定ミスで顧客リストが流出していた案件
BtoBサービス事業者のサイバーDDで、利用しているSaaSの設定状況を確認しました。営業管理に使用しているSaaSの「データ共有設定」で、本来社内限定であるべき顧客リストが、URLを知っている第三者からアクセス可能な設定になっていました。設定ミスは2年前の運用変更のタイミングで発生し、その後気づかれずに残存していました。
過去のアクセスログを確認すると、外部からのアクセス履歴がいくつかあり、顧客情報の一部が流出した可能性が見えました。譲渡実行前に設定の修正、影響範囲の調査、必要に応じた個人情報保護委員会への報告と顧客への通知を進める設計に組み込みました。SaaSの設定ミスは、企業のIT部門でも気づかれずに長期間残存することが多く、サイバーDDで網羅的にチェックする価値が大きい領域です。
まとめ
ランサムウェア・サプライチェーン攻撃が中小企業を直撃する時代に、サイバーセキュリティDDは中小M&Aでも省略できない論点になりました。フル版の数千万円〜億円規模の予算は中小M&Aには過剰ですが、外せない最低ライン4項目(脆弱性スキャン・AD/特権アカウント確認・バックアップ運用・インシデント履歴開示)は、200〜500万円規模の予算で実施可能です。譲渡実行直後の被害顕在化を防ぐ実務的な防御線として、費用対効果の高い投資です。
サイバーDDで発見した論点は、SPAの表明保証・特別補償・クロージング条件のいずれかに反映させ、譲渡実行と同時に解消する設計が必要です。脆弱性のパッチ適用、退職者アカウントの削除、MFA導入、バックアップのネットワーク分離——これらは譲渡側にとっても本来必要な対応で、譲渡実行を機に整備するのが現実的な進め方です。
DD-AXでは、中小M&AのサイバーセキュリティDDをIT-DDの一環として、または独立スコープで実施しています。ペネトレ実務に詳しいセキュリティエンジニア、AD・特権アカウント運用の経験者、個人情報保護法・GDPR対応に強い弁護士のネットワークと連携し、ランサムウェア時代の中小M&Aで実効性のあるサイバーDDを設計します。フル版が予算的に組めない、何から始めればよいか分からないという案件で、声をかけていただくケースが増えています。