00.Introduction

はじめに

2024年から2025年にかけて、中小製造業・地方中堅企業を直撃するランサムウェア被害が報道で相次いでいます。サプライチェーン経由で侵入され、生産システムが停止、復旧に数週間〜数ヶ月、被害額が数億〜数十億円に達するケースも珍しくありません。攻撃者は「中小だから狙われない」のではなく「中小だからセキュリティが手薄で狙いやすい」という構造で標的を選んでいて、企業規模に関係なく被害が広がっています。

こうした状況下で、買収案件の中にも「譲渡実行直後にランサムウェア被害が顕在化した」「過去にインシデントがあったが開示されていなかった」「退職者のアカウントが残存して情報流出していた」といった事例が増えています。買い手としては、買収シナジーが消えるどころか、被害対応コスト・取引先への信用毀損で買収価値が大きく下がる事態に直面することがあります。サイバーセキュリティDDは、もはやIT企業限定の論点ではなく、製造業・物流・サービス業など中小M&Aの広い領域で必要性が増しています。

一方で、フルスケールのサイバーセキュリティDD(外資系コンサル・専門ファームによる包括的調査)は数千万円〜億円規模で、中小M&Aには予算的に過剰です。中小M&Aの予算感で実効性のあるサイバーDDの設計、フル版との線引き、簡易ペネトレ・AD管理・バックアップ・サプライチェーンセキュリティの確認、譲渡実行前後の対応までを、限られた予算で被害を防ぐ順序に並べていきます。

中小M&AのサイバーセキュリティDDは「フル版か何もしないか」の二者択一ではありません。ランサムウェア時代の最低ラインとして「脆弱性スキャン」「AD/特権アカウント確認」「バックアップ運用確認」「インシデント履歴開示」の4つは、中小予算でも実施可能です。

01.Section 01

なぜ中小M&AでもサイバーDDが必要か——ランサムウェア時代の現実

サイバーセキュリティの脅威環境は、ここ数年で構造的に変化しました。中小企業を直撃する典型的な攻撃パターンは、おおむね次のようなものです。

中小企業が直撃されやすい攻撃パターン

  • ランサムウェア攻撃:VPN脆弱性・RDP公開・フィッシングなどで侵入し、ファイル暗号化と身代金要求。生産・業務の停止と復旧コストが発生
  • サプライチェーン攻撃:取引先・委託先の脆弱性経由で侵入。中小サプライヤーから大手取引先への横展開も
  • ビジネスメール詐欺(BEC):取引先を装った偽メールで送金先変更を依頼、振込先を偽口座にする手口
  • 退職者アカウント悪用:退職した従業員のアカウントが残存し、情報漏洩や内部犯行に悪用される
  • クラウドサービス(SaaS)の設定ミス:共有設定・公開範囲の誤りで顧客データが外部からアクセス可能になる
  • IoT機器・OT機器の脆弱性:工場の制御システム・センサー・複合機などのIoT機器が侵入経路に

譲渡実行後にインシデントが顕在化するパターン

M&Aの譲渡実行直後に、過去に潜伏していたサイバーリスクが顕在化することがあります。攻撃者がすでに侵入済みで活動を抑えていたケース、退職者アカウントから情報流出が継続していたケース、譲渡実行に伴う組織変更で従業員のセキュリティ意識が緩んだ隙を狙われるケース——譲渡実行は攻撃者にとっても「混乱しやすいタイミング」として認識されています。

譲渡実行前のサイバーDDで、こうした潜伏リスク・運用の弱点を確認しておくことが、譲渡後の被害顕在化を防ぐ実務的な防御線になります。

/ Field Notes — 現場から

譲渡実行2ヶ月後にランサムウェア被害が顕在化した案件

製造業の中小事業者の譲渡で、サイバーDDは仲介の標準スコープに含まれず、簡易な書類確認のみで進められました。譲渡実行から2ヶ月後、生産管理システムがランサムウェアに暗号化される被害が発生しました。調査の結果、譲渡実行の約半年前から攻撃者が侵入済みで、譲渡実行後の組織変更タイミングで本格攻撃に踏み切ったと推測されました。

復旧には3週間を要し、生産停止・取引先への納期遅延・信用回復のコストで合計約1億2,000万円の損失が発生しました。譲渡対価3億円の案件で、被害額が対価の約4割を占める規模になりました。譲渡実行前に脆弱性スキャン・侵害兆候の確認を実施していれば、潜伏中の攻撃者を発見できた可能性がありました。サイバーDDは、中小M&Aで省略すると譲渡実行後の被害で買収価値を毀損するリスクが大きい論点です。

02.Section 02

中小M&A予算で実施するサイバーDDのスコープ——フル版との線引き

サイバーセキュリティDDのフル版は、外資系コンサル・専門ファームが手掛けると数千万円〜億円規模の予算が必要です。中小M&Aの譲渡対価が数億円規模の案件で、フル版を実施するのは予算的に成立しません。一方で、まったくサイバーDDを実施しないと、譲渡実行後の被害顕在化リスクが残ります。

フル版サイバーDDと中小版の比較

項目フル版中小M&A版
外部脆弱性スキャン包括的・継続実施譲渡前に1回、主要IT資産対象
侵入テスト(ペネトレ)本格的なRed Team演習簡易ペネトレ(外部公開資産限定)
内部ネットワーク調査セグメント分離・横展開リスク主要システムの構成確認
AD・特権アカウント監査包括的なIDアクセス管理監査退職者残存・特権権限の確認
SOC・ログ分析過去6〜12ヶ月のログを精査主要システムの直近3ヶ月ログ確認
バックアップ・BCP復旧テスト含む包括検証運用記録・直近の復旧テスト確認
サプライチェーン主要取引先・委託先の網羅調査主要SaaS・クラウド利用先のリスク評価
費用感数千万円〜億円200万〜500万円程度

中小版で外せない4つの最低ライン

予算を圧縮するなかで、ランサムウェア時代に外せない最低ラインを4つに集約すると、次のようになります。

  • 外部公開資産の脆弱性スキャン:VPN・公開Webサーバー・メールサーバー等の既知脆弱性の確認
  • AD・特権アカウントの確認:退職者アカウントの残存、特権権限の付与状況、多要素認証の運用
  • バックアップ運用と復旧体制:バックアップ頻度・保管先(ネットワーク分離)・直近の復旧テスト実績
  • 過去のインシデント履歴開示:譲渡側からの過去のサイバーインシデント・情報漏洩・行政指導の開示

これら4つは、外注した場合でも中小M&Aの予算で十分対応可能な範囲です。フル版サイバーDDの代替にはなりませんが、ランサムウェア攻撃のリスクが高い領域に絞って優先的に確認することで、最も大きな被害を防ぐ実務的な防御線になります。

/ Field Notes — 現場から

400万円のサイバーDDで重大な脆弱性を3件発見した案件

従業員50名規模の中堅製造業の譲渡で、買い手側がサイバーDDを実施しました。フル版ではなく中小版の4項目に絞った設計で、費用は約400万円、期間は3週間でした。外部脆弱性スキャンで、VPN機器に既知の重大脆弱性(CVE公開済み・パッチ未適用)が3件見つかりました。譲渡側のIT担当者は「パッチは順次適用している」と説明していましたが、実際には2年以上適用されていない状態でした。

譲渡実行前にパッチ適用を完了させることをクロージング条件に加え、適用後に再スキャンで脆弱性が解消されたことを確認してから譲渡実行に進みました。同等の脆弱性でランサムウェア被害が発生していた他の中小製造業の事例を考えると、400万円のサイバーDD投資で数億円規模の被害を防いだ可能性があります。中小M&AでもサイバーセキュリティDDは、費用対効果が高い領域です。

03.Section 03

脆弱性スキャンと簡易ペネトレ——外部から見える攻撃面

サイバーDDの最初のステップは、対象企業の外部公開資産(VPN・公開Webサーバー・メールサーバー・FTPサーバーなど)に対する脆弱性スキャンです。攻撃者が最初に当たる入口の状態を確認することで、即時に対応すべきリスクを洗い出します。

脆弱性スキャンの確認項目

  • VPN機器の既知脆弱性:主要ベンダーの製品で公表されているCVE(共通脆弱性識別子)への対応状況
  • 公開Webサーバーの脆弱性:Webサーバー・CMSの既知脆弱性、Apache/Nginx/IIS等のバージョン
  • メールサーバーの設定:SMTP認証、SPF/DKIM/DMARC、メールリレーの不正利用可能性
  • RDP・SSHの公開状況:インターネット公開されているリモートアクセスポート
  • SSL/TLS証明書:有効期限切れ・脆弱な暗号方式の利用
  • OSINT(公開情報からの脅威情報):過去にダークウェブで漏洩した認証情報、攻撃対象として言及されているか

簡易ペネトレ(侵入テスト)

脆弱性スキャンで発見した脆弱性が、実際に悪用可能かを確認するのが簡易ペネトレです。フル版のRed Team演習と異なり、外部公開資産の限定的な範囲で、既知脆弱性を活用して内部に侵入できるかを検証する設計です。期間は1〜2週間、費用は100〜200万円規模で実施可能なケースもあります。

簡易ペネトレで実際に侵入が成功した場合、その経路を譲渡側に開示し、譲渡実行前のパッチ適用・設定変更をクロージング条件として要求できます。譲渡側にとっても、自社のセキュリティ状態を客観的に把握できる機会で、譲渡実行後のインシデント発生リスクを下げる作業になります。

/ Field Notes — 現場から

簡易ペネトレで内部システムまで到達できた案件

地方の中堅サービス業の譲渡で、簡易ペネトレを実施しました。外部公開のVPN機器の既知脆弱性を悪用したテストで、内部ネットワークへの侵入が可能なことが確認されました。さらに、内部のADから取得した認証情報で、複数のファイルサーバー・基幹システムへのアクセスまで横展開可能な構造でした。

譲渡側のIT担当者にこの結果を共有したところ、「セキュリティ対策は十分」という認識から「これは深刻」という認識に変わりました。譲渡実行前にVPN機器のファームウェア更新、特権アカウントの権限見直し、内部ネットワークのセグメント分離を実施することをクロージング条件に組み込みました。同条件を満たさない場合は譲渡対価を減額する設計で、譲渡側もセキュリティ強化に積極的に動きました。簡易ペネトレは、譲渡側に客観的な現状認識を持ってもらう道具としても機能します。

04.Section 04

Active Directory・特権アカウント・退職者管理——内部リスクの確認

外部からの脆弱性スキャンで見える「攻撃面」と並行して、内部のID・アクセス管理の状態を確認するのが、サイバーDDの第2の柱です。Active Directory(AD)の運用、特権アカウントの付与状況、退職者アカウントの残存、多要素認証(MFA)の運用——これらは中小企業で形骸化しがちな領域です。

ID・アクセス管理のDD観点

  • 退職者アカウントの残存状況:過去2〜3年に退職した従業員のADアカウント・SaaSアカウントが削除されているか
  • 特権アカウント(管理者権限)の数:Domain Admins・Enterprise Adminsなどの数、付与の合理性
  • サービスアカウントの管理:システム間連携用のサービスアカウントのパスワード変更頻度、権限の最小化
  • 多要素認証(MFA)の運用:VPN・SaaS・特権アカウントへのMFA適用状況
  • パスワードポリシー:長さ・複雑さ・有効期限の設定、パスワード使い回しの実態
  • 外部委託・派遣社員の権限管理:外注先・派遣社員のアクセス権限と契約終了時の削除運用

典型的な発見

ID・アクセス管理のDDで実際によく見つかる問題は、おおむね次のパターンです。

  • 退職者アカウント残存:過去3年に退職した5〜10名のアカウントが削除されないまま残存
  • 特権アカウントの過剰付与:「念のため管理者権限」が10〜20アカウントに付与されている
  • 共用アカウント:「admin」「shared_user」など複数人で共用されているアカウント
  • MFA未導入:VPN・主要SaaS・特権アカウントにMFAが入っていない
  • サービスアカウントのパスワード固定:5年以上同じパスワードが使い回されている

これらは、譲渡実行後すぐに対応すべき問題として優先順位を整理し、PMI 100日プランの最優先項目に組み込みます。退職者アカウント削除・MFA導入・特権アカウント整理は、外注しなくても譲渡先のIT担当が対応できる範囲で、譲渡実行直後の3〜4週間で大半を終わらせるのが現実的なスケジュール感です。

/ Field Notes — 現場から

退職者アカウント7件が残存していた案件

従業員30名規模の中堅事業者の譲渡で、ADアカウント一覧と退職者一覧を突合しました。過去3年に退職した10名のうち、7名のADアカウントが削除されないまま残存していました。さらに、そのうち2名のアカウントは過去6ヶ月以内にログイン履歴があり、正規利用との切り分けが必要な状態でした。

譲渡側の代表は「IT担当に任せていた」と話し、退職者アカウント削除のルール自体が文書化されていませんでした。譲渡実行前に7件のアカウント削除、過去のログイン履歴の調査、ログイン履歴のあった2名のアカウントの利用状況確認を進めました。譲渡実行後の100日プランで、退職者アカウント削除のルール文書化と運用を最優先項目に組み込みました。退職者アカウント残存は、中小M&AのサイバーセキュリティDDで頻発する論点です。

05.Section 05

バックアップ・BCP・インシデント対応履歴——被害発生時の復旧力

ランサムウェア対策で最後の防衛線になるのが、バックアップとBCP(事業継続計画)です。攻撃を受けてシステムが暗号化されても、適切なバックアップが保全されていれば、身代金を払わずに復旧できます。中小M&Aのサイバー DDで、バックアップ運用の実態を確認することは、譲渡後の被害シナリオでの復旧可能性を見極める作業です。

バックアップ運用のDD観点

  • バックアップの頻度:日次・週次・月次の組み合わせ、業務影響を最小化するRTO/RPOの設計
  • バックアップの保管先:ネットワーク分離(オフライン・別セグメント)、地理的分散(オフサイト)の有無
  • 3-2-1ルールの適用:3つのコピー・2種類のメディア・1つはオフサイトという原則の適用度
  • バックアップ自体の暗号化耐性:ランサムウェアが拡散してもバックアップが影響を受けないネットワーク分離
  • 復旧テストの実施履歴:過去6〜12ヶ月で実際の復旧テストが行われているか
  • BCP(事業継続計画)の整備:サイバー攻撃を含むBCPの文書化、訓練の実施状況

過去のインシデント履歴の開示

サイバーDDで譲渡側に開示を求めるべき重要な情報が、過去のインシデント履歴です。マルウェア感染、不正アクセス、情報漏洩、ランサムウェア被害、フィッシング被害、行政指導など、過去3〜5年の出来事を網羅的に開示してもらいます。

  • 過去のインシデントの内容:発生日、影響範囲、原因、対応経緯、再発防止策
  • 個人情報保護委員会への報告履歴:個人情報漏洩時の報告義務に基づく届出履歴
  • 取引先・顧客への通知履歴:インシデント発生時の取引先・顧客への通知の有無、内容
  • 第三者監査・診断の結果:セキュリティ診断の実施履歴、指摘事項と是正対応
  • 係争中の訴訟・損害賠償:サイバーインシデントに起因する係争

過去のインシデント履歴は、譲渡側にとって開示しにくい情報ですが、譲渡実行後に発覚すると表明保証違反として大きなトラブルになります。SPAの表明保証で「過去のサイバーインシデントの網羅的開示」を譲渡側に求め、開示書類(Disclosure Schedule)に記載させる構造で、譲渡実行前の確認を制度化します。

/ Field Notes — 現場から

バックアップが攻撃で同時暗号化されていた案件

ある中堅事業者のサイバーDDで、バックアップ運用を確認しました。日次でバックアップを取得しているという説明でしたが、保管先は同じネットワーク内のNAS(ネットワーク接続ストレージ)でした。NASは社内LANに常時接続され、ADから容易にアクセスできる状態でした。仮にランサムウェア被害が発生した場合、ファイルサーバーと同時にバックアップNASも暗号化される可能性が高い構造です。

譲渡実行前に、バックアップの一部を外部クラウドに移行し、ネットワーク分離を強化することをクロージング条件に組み込みました。並行してBCPの見直しと復旧テストも実施しました。バックアップは「取得しているか」だけでなく「攻撃で同時暗号化されない構造か」まで確認する必要があります。

06.Section 06

取引先データ・サプライチェーンセキュリティ・SaaS利用

サイバーセキュリティのリスクは、自社単独では完結しません。取引先・委託先・利用しているSaaS・クラウドサービスといった、外部接点全体でリスクが発生する構造です。中小M&AのサイバーDDでも、サプライチェーンとSaaS利用の確認は、現代的な必須項目になっています。

サプライチェーン・SaaSのDD観点

  • 主要SaaSの利用状況:会計・人事・営業・コミュニケーション等で利用しているSaaSの一覧、契約形態、利用権限
  • SaaSの設定状況:共有設定・公開範囲・MFAの適用、過去の設定ミス履歴
  • 外部委託先のセキュリティ:主要委託先のセキュリティ対策水準、契約上の情報管理義務
  • 取引先からのアクセス:取引先がVPN・専用線で対象企業のシステムにアクセスする経路の有無
  • EDIシステム・電子取引:受発注のEDI・電子取引システムのセキュリティ
  • 個人情報の越境移転:SaaSのデータセンターが海外にある場合の越境データ規律対応

個人情報保護法の遵守状況

個人情報保護法は2022年4月施行の改正以降、漏洩時の本人通知・個人情報保護委員会への報告義務、外国にある第三者への提供の規制強化など、運用が厳格化されています。M&AのDDでは、対象企業の個人情報取扱いの実態を確認することが、譲渡後の規制リスクを下げる作業です。

  • 個人情報保護方針・利用目的の整備:プライバシーポリシーの内容と実態の整合性
  • 第三者提供の管理:第三者提供記録、本人同意の取得状況
  • 越境データ移転:外国にある第三者への提供の遵守状況
  • 漏洩時の対応体制:漏洩発生時の本人通知・委員会報告の体制
  • 過去の漏洩・指導履歴:個人情報漏洩の発生履歴、委員会・他省庁からの指導

SaaSの利用が広がる現代では、自社のシステムだけでなく、利用しているSaaSの設定ミス・データ越境・サードパーティアクセスが情報漏洩の経路になりえます。中小M&AのサイバーDDで、主要SaaS(おおむね10〜20件程度)の利用状況を網羅的に整理することは、現代的な確認項目として欠かせません。

/ Field Notes — 現場から

SaaSの公開設定ミスで顧客リストが流出していた案件

BtoBサービス事業者のサイバーDDで、利用しているSaaSの設定状況を確認しました。営業管理に使用しているSaaSの「データ共有設定」で、本来社内限定であるべき顧客リストが、URLを知っている第三者からアクセス可能な設定になっていました。設定ミスは2年前の運用変更のタイミングで発生し、その後気づかれずに残存していました。

過去のアクセスログを確認すると、外部からのアクセス履歴がいくつかあり、顧客情報の一部が流出した可能性が見えました。譲渡実行前に設定の修正、影響範囲の調査、必要に応じた個人情報保護委員会への報告と顧客への通知を進める設計に組み込みました。SaaSの設定ミスは、企業のIT部門でも気づかれずに長期間残存することが多く、サイバーDDで網羅的にチェックする価値が大きい領域です。

/ Summary

まとめ

ランサムウェア・サプライチェーン攻撃が中小企業を直撃する時代に、サイバーセキュリティDDは中小M&Aでも省略できない論点になりました。フル版の数千万円〜億円規模の予算は中小M&Aには過剰ですが、外せない最低ライン4項目(脆弱性スキャン・AD/特権アカウント確認・バックアップ運用・インシデント履歴開示)は、200〜500万円規模の予算で実施可能です。譲渡実行直後の被害顕在化を防ぐ実務的な防御線として、費用対効果の高い投資です。

サイバーDDで発見した論点は、SPAの表明保証・特別補償・クロージング条件のいずれかに反映させ、譲渡実行と同時に解消する設計が必要です。脆弱性のパッチ適用、退職者アカウントの削除、MFA導入、バックアップのネットワーク分離——これらは譲渡側にとっても本来必要な対応で、譲渡実行を機に整備するのが現実的な進め方です。

DD-AXでは、中小M&AのサイバーセキュリティDDをIT-DDの一環として、または独立スコープで実施しています。ペネトレ実務に詳しいセキュリティエンジニア、AD・特権アカウント運用の経験者、個人情報保護法・GDPR対応に強い弁護士のネットワークと連携し、ランサムウェア時代の中小M&Aで実効性のあるサイバーDDを設計します。フル版が予算的に組めない、何から始めればよいか分からないという案件で、声をかけていただくケースが増えています。