135億円の制裁金も！コロナ禍の企業買収は「別のウイルス」にご用心

売り手と買い手の間にある
セキュリティ情報の非対称性

　企業買収時のサイバーリスクへの評価については、従来はエクセルベースでのチェックリストに売り手となる企業が記入することが多かった。例えば、以下のような質問だ。

「アンチウイルスソフトはありますか？」
「はい・いいえ」

　従来、新規の業務委託先と機密保持契約を結ぶ際に、契約書などと一緒に提出してもらっていたチェックリストと同じようなものになる。

　しかし、実際に記入した経験のある方であればお分かりかと思うが、なかなか骨の折れる作業であり、売り手優位の場合は記入を依頼するのも大変である。また、売り手が主観的に回答できることから、恣意的に回答を変えられてしまう懸念もあるし、そもそも勘違いで誤った方にチェックを入れてしまうこともある。

　もちろん秀逸なチェックリストはあるが、それを適切に運用できるかどうかは売り手と買い手の優位性や関係性における非対称性によっても異なってしまう。

　ちなみにある一定のセキュリティ対策を施していたとしても、数秒から数分で思ったより容易にハッキングを仕掛けてくることもあるし、それらを安価で誰かに委託することも可能な時代だ。そんなに簡単に攻撃されてしまってはたまったものではないが、ここにもハッキングする側とされる側との間で非対称性が存在している。

　最近ではこれらチェックリストを補助的に用いる、もしくは用いずに、サイバーセキュリティ関連企業に評価を委託し客観的な判断を依頼することも増えている。

　たしかに、悪意ある者たちはチェックリストを確認した上で攻撃してくるわけではなく、何らかの実践的な方法を用いて仕掛けてくるわけだから、それと同様もしくは類似の方法を用いた評価ができれば、より具体的な課題も浮かび上がる。

　ただしこの時に勘違いしてはならないのは、その結果はあくまでも評価実施時点でのサイバーリスクであるということだ。将来にわたる安全性を何ら担保するものではないことに注意が必要だ。