IT デューデリジェンスについての課題

デューデリジェンス（Due Diligence）とは、M&A や出資の対象となる会社・事業の資産価値や企業リスクを詳細に調査することを指し、組織や財務の調査をするビジネス・デューデリジェンス、法的なものをチェックする法務デューデリジェンスなどがあります。
近年、情報セキュリティの高まりとともに IT デューデリジェンスという言葉も生まれてきており、株主総会などでも重要視されはじめています。
サイバートラストの情報セキュリティコンサルタントである松本氏とアスピレイションの石塚氏が、IT デューデリジェンスについての課題を話し合いました。

対談：IT デューデリジェンスについての課題アスピレイション代表取締役社長石塚宏一サイバートラストセキュリティプロモーション統括部統括部長松本義和

松本：デューデリジェンスや M&A は、今やいろんなやり方があります。最近出てきた言葉で IT デューデリジェンスですとかシステムデューデリジェンスというものがあり、企業経営における情報セキュリティリスクというキーワードが重要視されて来ています。今後、経営層・経営者として、情報セキュリティリスクについては真面目に考えていかないと、株主や投資家への説明責任が果たせなくなる気がしています。

石塚：IT デューデリジェンスについては、日本もグローバルに追いついていかなければならないと感じています。「日本は遅れてる」という言葉はなるべく使いたくはないんですが、世界はどんどん進んでいきます。

アメリカでは石油パイプラインをはじめ国家安全保障を脅かすような対象を狙ったサイバー攻撃も起こり、国家安全保障上サイバーセキュリティ対策がものすごく重要になっています。毎日のように起こっているサイバー攻撃において、どのように攻撃手法が進化しているのか、結果としてどのようなデューデリジェンスをしていくべきか、という方法論は日進月歩で進んでいます。

企業価値を高めていく、そして情報セキュリティリスクを監査して行く上で、IT デューデリジェンスは大変重要だと思っています。そしてそのことに異論はないと思うのですけど、ここで一点課題があります。デューデリジェンスを実施するのが大変なんです。

企業価値を高めていく、そして情報セキュリティリスクを監査して行く上で、IT デューデリジェンスは大変重要だと思っています。

松本：財務面や経営面を見る一般的な経営目線のデューデリジェンスであれば、結果は数字として出てくるのですが、IT システム、情報セキュリティのデューデリジェンスとなると、確かに難しいかもしれないですね。

石塚：IT デューデリジェンスをやろうとするときには、今まではいわゆるセキュリティアセスメントやセキュリティ監査を実施するのですけど、これを本格的にやると、内部に入ってのインタビューからチェックなど、それなりのリソースと時間とお金がかかります。
それからもう 1 つ、実際にやってみると、対象の企業数が実はものすごい多いことに驚きます。これにも、1 つ 1 つにものすごい時間やワークロード、リソースをかけていくと、やってられないという事になります。
それに対して、いかに簡単に安く、そしてスピード感をもって IT デューデリジェンスを行うかが求められているのです。

松本：アセスメントや監査に時間がかかればかかるほど、スタートの時と終わった時で世界風潮も変わってますし会社自体も大きく変わっていることもあるでしょう。スピーディーという言葉は IT デューデリジェンスを語るうえで重要になってきますね。

石塚：一方で、海外投資家からは、「リスクコントロールやリスクマネジメントをどう考えるか」、という話は間違いなく質問項目に入ってきます。日本企業もグローバルな土俵に上がっていくためには、M&A をはじめ、企業価値をどんどん高めていかなければならない。こうした中で、ファイナンシャルチェックやコンプライアンスチェックを含めて、IT デューデリジェンスを実施するのはマストになってくるでしょう。

松本：専門家が居ないという阻害要因もあります。情報セキュリティのコンサルタントがデューデリジェンスという目線でアセスメントができるかと言うと非常に困難です。
専任スタッフ、または専任スタッフがいる会社に委託ができるサービスのニーズが高まっていくと思います。

経営側からしてもそうした第三者による IT デューデリジェンスという客観情報をオープンに公表することで企業価値を高められるのではないでしょうか。

石塚：サイバーセキュリティの環境は大きく変化しています。生活を支えるインフラ企業、経済をささえる金融企業なども、サイバー攻撃といった脅威の前には安穏としてはいられません。そうした観点からグローバル企業においても、IT デューデリジェンスというものは年に一回という監査的なものから、恒常的にリアルタイムでモニタリングする方向に変わっていくのが潮流だと感じています。

松本：定期的のみならず、常時的に監査をして対策を講じる必要がでてきたということですね。
投資をする側から見ても、数か月前の監査情報を見せられても困るわけで、今この瞬間の評価はどうなんだということを一番知りたいでしょう。経営側からしてもそうした第三者による IT デューデリジェンスという客観情報をオープンに公表することで企業価値を高められるのではないでしょうか。

石塚：全くその通りです。今後は IT デューデリジェンスを公式に株主総会や有価証券報告書で報告するようなことが日本でもトレンドになってくると考えています。また、グローバル企業と取引を行っていく上で最新の IT デューデリジェンスの説明責任を即座に果たすことが求められてくると思います。そのため、各企業においては IT デューデリジェンスをいかに素早く正確に実行する能力を持つことが重要な経営課題の一つになってくるでしょう。

各企業においては IT デューデリジェンスをいかに素早く正確に実行する能力を持つことが重要な経営課題の一つになってくるでしょう。