合併と買収(M&A)は、多くの多国籍企業にとって一般的な成長戦略です。実際、過去3年間に大規模な買収を行ったCEOの81%が、今後3年間にも1件以上の買収を計画しています。M&Aを行う動機が何であったとしても、円滑に移行するために考慮すべき要素は無数にあります。CISO、CIO、そして配下のチームは、新しいシステムやユーザー、リソースをいかに安全かつ効率的に統合するかという点を、一番に考えることが多いでしょう。この点について事前に計画を立てることが重要です。特に、買収された企業は攻撃者にとって格好の標的となり、買収の発表後にフィッシング詐欺の試みが400%も増加するケースも見られます。本稿では、どのように複雑なシナリオでもM&Aプロジェクトの各段階を通じて、お客様のセキュリティ、俊敏性、適応力を維持できるOkta独自の強みを見ていきます。
統合前の考慮事項
合併を成功させるには、綿密な計画とリスク評価を行い、契約締結前から準備を開始することが重要です。ITチームは両組織のIT環境に対する徹底的なセキュリティ評価を実施することで、プロセス全体の指針となる、回復力のあるセキュリティ重視のアーキテクチャを確立できます。
- M&Aの前にセキュリティレビューを実施し、両組織で強固な態勢を整える:新会社の統合を行う前の段階でも、Identity Security Posture Management(ISPM) は、両社の環境におけるアカウント、システム、アプリケーションの検出を自動化し、セキュリティポリシーへの準拠を評価するのに役立ちます。統合前にこのようなディスカバリーを行えば、ポリシーの弱点を洗い出し、セキュリティギャップを修正して、両社のセキュリティを確実なものにできます。
初日のアクセス
初日は、従業員の生産性と合併の価値が実現するか、それとも台無しになるかを分ける正念場です。Oktaは、すべての新しい従業員とシステムを初日から安全にオンボーディングして、移行をシームレスで安全なものにします。
- 新規と既存のアイデンティティを単一プラットフォームから管理・保護する:1つの場所でアイデンティティを確認できると、管理しやすくなります。Universal DirectoryとLifecycle Managementは連携動作して、異なるソース(AD、LDAP、人事システム)や、さまざまなテナントのユーザープロファイルを統合し、管理の容易な単一の統合ビューにまとめます。ロールと組織のポリシーに基づいてアカウントとアクセス権のプロビジョニングを自動化することで、エラーの発生しやすい手作業を排除できる上、買収先の新しい従業員はすぐに業務をスタートし、既存の従業員は新しいリソースにアクセスして即座に共同作業を進められるようになります。
- 適切なタイミングで適切なアクセスを提供する:プロジェクトが始まると、従業員は必然的に新しいリソースへのアクセス権やアクセス権の昇格が必要になります。Okta Identity Governance(OIG)は、必要に応じてユーザーに時間制限付きのアクセスを提供します。生産性を発揮するのに十分な長さで、セキュリティ上の懸念事項になるほど長すぎないアクセス権です。OIGを使用すれば、ユーザーは必要なときにリソースにアクセスできるようになりますが、最初から過剰な権限を付与されることはありません。
- 新たに加わった重要な資産を保護する:社外秘のリソースは、オンプレミスとクラウドのどちらにあったとしても、さらなる制御レイヤーが必要です。Okta Privileged Access(OPA) は、管理者、ローカルサーバー、SaaSサービスの特権付きアカウントを安全に保管できます。買収した企業から継承したサーバーインフラストラクチャに、パスワードレスでゼロトラストのアクセスポリシーを迅速に追加し展開できます。
継続的なポリシーの適用と監視
合併当初のあわただしさが一段落した後は、組織とその子会社のセキュリティ態勢の継続監視が欠かせません。Oktaは、共有リソースのセキュリティポリシーを一元化し、アイデンティティガバナンスを自動化し、パスワードを定期的にローテーションすることで、継続的な最適化を可能にします。
- リアルタイムアラートでセキュリティ態勢を監視する:M&A前のセキュリティレビューが完了しても、それで終わりではありません。ISPMは、MFAが設定されていない、またはコンプライアンスに準拠していないアカウントやシステムを特定し、アクセスポリシーの適用を自動化できます。また、権限のないデバイスや地域からのログイン試行など、異常なアクティビティに対してリアルタイムでアラートを発行します。
- アイデンティティと社外秘リソースにコンプライアンス要件を適用する:コンプライアンス要件への準拠とレポート作成は、多大な時間と手間を要する作業になりかねません。Okta Privileged Accessは、重要な資産を保護するために、サービスアカウントの保護に不可欠なベストプラクティスを提供します。具体的には、認証情報の安全な保管や定期的なパスワードローテーションの実施などがあります。OIGは、自動で認証キャンペーンを行い、組織全体で適切なユーザーが適切なリソースにアクセスできるようにします。
子会社の売却
部署を分割する際も同様にアイデンティティは重要で、特定の期限までにきれいに分離する必要があります。Oktaの提供する高度なセキュリティプロセスを用いれば、適切なアイデンティティとリソースを確実にオフボードできるため、セキュリティギャップが残りません。
- ユーザーとリソースを簡単に分割する:部署を分割する場合、特にセキュリティとアクセスの観点で、可能な限りきれいに負担なく切り離す必要があります。Oktaのハブアンドスポークアーキテクチャを活用する組織は、集中管理されたリソースへのアクセスを素早く簡単に遮断できます。このモデルを使用すれば、ユーザーとアプリケーションの移行中にも、集中管理されたリソースにアクセスを続けられるため、業務中断の可能性が減り、週末に作業を詰め込む必要がなくなります。ハブアンドスポークアーキテクチャを取り入れることで、親会社はエンドユーザーエクスペリエンスに影響を与えずに、子会社ときれいに分離できるようになります。
Okta for M&Aは、お客様の組織が非常に複雑なビジネストランスフォーメーションに、柔軟性と順応性を持って対応できるよう支援します。親会社と新会社の間で集中化のバランスを取る場合にも、チームやリソース、ガバナンスモデルを分散化する場合にも、Oktaのソリューションはお客様の状況に合わせて対応できます。Mars、NTTデータ、日立などの企業は、実際にOktaと協力して、安全かつ合理的にM&Aを進めました。合併と買収に際してOktaがお客様の組織をどのように支援できるかについて詳しくは、当社のチームにご相談ください。
本資料は一般的な情報提供のみを目的としたものであり、法務、プライバシー、セキュリティ、コンプライアンス、またはビジネス上の助言を目的としたものではありません。© Okta, Inc. and/or its affiliates. All Rights Reserved.
