プライベートエクイティにおけるサイバー攻撃コストの増大

概略

• 非国家主体は、プライベートエクイティ（PE）業界を意図的にターゲットとしています。
  
  
• PEの多くの投資先企業は、インシデントの監視、防御、対応に必要なサイバー成熟度が不足しています。
  
  
• PEは、スピードを損なわずに負担を抑えながら当該リスクを低減することが可能です。
  
  
• 投資先企業全体のリスクを軽減し、サイバーセキュリティ機能を横断的に提供する新たなモデルが台頭しています。

なぜPEファームは狙われやすいのか

ディール発表や資金移動のタイミングは、開いた財布がスリを引き寄せるように、サイバー攻撃者を引き寄せます。

その代償は、金銭的損失にとどまりません。

• 投資先企業とPEの双方のレピュテーションの棄損リスクがあります。

• 買収先企業のバリュークリエーションが阻害され、ひいては保有ポートフォリオ企業の全体価値にも影響が及ぶ可能性があります。

• さらに、一旦支払いが行われると、攻撃者が再び戻り、PEファーム本体や他の投資先企業を狙う可能性もあります。

多くのビジネスリーダーがサイバーリスクの深刻さを認識している一方で、自社のサイバーレジリエンスに自信を持つリーダーは27%にとどまります。

サイバーセキュリティ対策に優れた企業は、攻撃1件あたりの被害コストを抑えている

買収候補企業は非常に脆弱なケースが多いことが想定されます。PEは主要投資対象である中堅企業に対して、成長のための迅速な意思決定と実行を追い求めるため、サイバーセキュリティへの投資が限られている傾向があります。

その結果、サイバーセキュリティは過小評価されたり、見落とされたりしがちです。多くの投資先企業は、いわば「サイバーリスクを抱えた企業」に分類される可能性が高いと見られます。

比較的シンプルな対策と小規模な投資でも、財務、オペレーション、レピュテーション面のリスクを大きく低減できます。サイバー対策に優れた企業は、より多くの攻撃を防ぎ、事業への影響も抑えています。

サイバーセキュリティを強化する5つのステップ

世界3,100社への支援実績を踏まえた上で、ディール成立前に投資先企業のサイバーセキュリティ機能を強化する5つのステップを推奨します。インシデントの急増に備え、強固なデジタルコアの一部としてサイバーレジリエンスを組み込むことができます。

1.サイバーモデルを見直す

社内体制構築には時間がかかり、必ずしも最善策とは限りません。外部の専門家を活用し、実務対応を任せる選択肢は有効です。

2.デューデリジェンスのアプローチを改善する

デューデリジェンス期間を1週間ほど短縮し、ディール発表前に優先度の高い改善施策への検討に注力することができます。

3.基本的なセキュリティ衛生を確保する

多くの場合、大がかりな介入を伴わなくても投資先企業のレジリエンスを高められる即効性のある施策は少なくありません。

4.被害が及ぶ範囲を極小化する

関係者全員に全てのアクセス権を与えるべきではありません。アクセス権限を迅速に見直し、一度是正するだけでも、過剰なアクセスに伴うリスクを防げます。

5.インシデント対応力を整える

テスト済の対応計画を用意し、最悪の事態に備えます。不適切なコミュニケーションや連携不足は、攻撃被害を拡大させる要因になります。

迅速かつ負担を抑えた上で、いかにレジリエンスを高めるか？

サイバー脅威は、PEと投資先企業双方にとって重大なリスクとなっています。直接的なコストに加え、関係者全員のレピュテーションにも影響し、これは深刻な問題になり得ます。

一方で、対策は迅速かつ大きな負担なく実施できます。さらに、ディール成立前に対策を講じることで、攻撃増加に備えつつリスクを管理し、企業価値創出までのスピードを確保できます。

サイバーレジリエンスを高めながら、サイバー保険料を抑えることを検討していますか？

アクセンチュアは世界で16,000人以上の専門家を擁するサイバーセキュリティのリーディングプロバイダーです。貴社のご支援機会について、ぜひご検討いただけますと幸いです。

＜日本語監修＞

• 會田 靖夏（ビジネス コンサルティング本部　ストラテジーグループ　トランザクションアドバイザリー プラクティス日本統括　マネジング・ディレクター）
  
  
• 黄　良静（ビジネス コンサルティング本部　ストラテジーグループ　シニア・マネジャー）