IT PMI

【IT PMI連載 第6回】セキュリティポリシー統一の進め方 ― 2社のルールを1つにする実務

#M&A#IT PMI#セキュリティ#ポリシー策定#ゼロトラスト
📘
完全ガイドの一部です中小企業のためのIT PMI完全ガイド

M&A後のIT統合で、技術的に最も重要かつ政治的にもセンシティブなのが「セキュリティポリシーの統一」です。

買収元は厳格なMFA必須ポリシーを適用しているのに、買収先はパスワードのみ。買収元はUSBメモリを全面禁止しているのに、買収先は日常的に使っている。こうしたギャップは珍しくなく、統一しないまま放置すると「一番弱い環節」がセキュリティホールになります。

第6回では、2社のセキュリティポリシーを1つに統一する実務を解説します。

なぜ「厳しい方に合わせる」だけではダメなのか

直感的には「セキュリティレベルが高い方に合わせればよい」と考えがちですが、現実はそう単純ではありません。

業務が回らなくなる。 買収先の社員が突然、これまで使えていたツールやデバイスを使えなくなると、業務が停滞します。混乱の中で「ルールを無視する」行動が生まれ、かえってリスクが高まります。

現場の反発を招く。 M&A直後は心理的にもデリケートな時期です。「買収された側」が一方的にルールを押し付けられたと感じると、協力を得ることが難しくなります。

コストが想定以上に膨らむ。 厳格なポリシーを適用するには、対応するツールやライセンスが必要です。買収先の全端末にEDRを導入する、全アカウントにMFAを設定するなど、一度にやると費用が跳ね上がります。

ステップ1:両社のセキュリティ現状を可視化する

まず、買収元と買収先のセキュリティ対策の現状を並べて比較します。

比較すべき主な項目は以下の通りです。

認証・アクセス制御: MFAの適用範囲、パスワードポリシー(文字数、有効期限、複雑性要件)、SSO の導入状況、条件付きアクセスの有無

エンドポイント: EDR / アンチウイルスの種類と適用状況、OS パッチ適用の頻度と方法、端末暗号化(BitLocker / FileVault)の状況、MDM の導入状況

データ保護: ファイル共有の方法と権限管理、外部共有ポリシー、USBデバイスの制御、バックアップの有無と方式

メールセキュリティ: SPF / DKIM / DMARC の設定状況、フィッシング対策フィルター、外部メール送受信のルール

ネットワーク: VPN の種類と設定、ファイアウォールのルール、Wi-Fiのセキュリティ設定、拠点間通信の暗号化

ステップ2:リスクベースで優先順位をつける

すべてを一度に統一するのは非現実的です。リスクの大きさに基づいて優先順位を設定します。

最優先(Day 1〜30で対応)

  • 退職者・不在者のアカウント棚卸しと無効化
  • 管理者アカウントへのMFA適用
  • EDR / アンチウイルスの全端末への展開
  • 外部公開されているサービスのアクセス制御確認

高優先(Day 30〜90で対応)

  • 全ユーザーへのMFA展開
  • パスワードポリシーの統一
  • メールセキュリティ設定の統一(SPF / DKIM / DMARC)
  • 端末暗号化の全端末適用

中優先(Day 90〜180で対応)

  • SSO / 条件付きアクセスの統合
  • USBデバイス制御ポリシーの統一
  • ファイル共有・外部共有ポリシーの統一
  • セキュリティ教育・啓発活動の実施

ステップ3:「統一ポリシー」を策定する

両社の現状とリスク分析を踏まえ、新しい統一ポリシーを策定します。

ベースラインの決定。 多くの場合、買収元のポリシーをベースにしますが、買収先の方が優れている項目があれば取り入れます。「良いとこ取り」が理想です。

例外規定の設計。 統一ポリシーを即座に適用できない場合の「移行期間中の例外規定」を明文化します。例外の承認者、期限、解除条件を明確にします。

文書化。 統一ポリシーは必ず文書化し、経営層の承認を得ます。後から「言った・言わない」の問題を防ぐためです。

ステップ4:段階的に適用する

ポリシーの適用は「ビッグバン」ではなく「段階的ロールアウト」で行います。

パイロットグループで検証。 統合チームのメンバーや協力的な部署から先行適用し、業務への影響を検証します。

部門単位でロールアウト。 検証結果を踏まえて、部門単位で段階的に展開します。問題が発生した場合にロールバックできるよう、手順を用意しておきます。

全社適用。 全部門への展開が完了したら、移行期間の例外規定を段階的に廃止し、統一ポリシーを正式に発効させます。

ステップ5:社員に「なぜ」を伝える

セキュリティポリシーの変更は、社員にとって「面倒が増える」ことです。「なぜこのルールが必要なのか」を丁寧に伝えないと、形骸化します。

効果的なのは、経営者またはマネージャー層から「このルール変更は会社を守るためであり、全員に協力してほしい」というメッセージを発信することです。IT部門だけが発信すると「ITの都合」として受け流されます。

よくある落とし穴

「とりあえずVPNでつなぐ」の危険。 セキュリティポリシーが統一されていない2つのネットワークをVPNで接続すると、セキュリティレベルの低い方から高い方へ脅威が伝播するリスクがあります。ネットワーク接続はポリシー統一の「後」に行うべきです。

シャドーITの見落とし。 買収先の社員が個人のクラウドサービス(個人Gmail、Dropbox等)で業務データを扱っている場合、これらもポリシーの対象にする必要があります。

まとめ

セキュリティポリシーの統一は、技術的な作業だけでなく、組織マネジメントの側面が大きいプロジェクトです。「正しいポリシー」を作ることと同じくらい、「現場に受け入れてもらう」プロセスが重要です。

次回は、より技術的なテーマである「IdP / SSO統合設計」について、具体的な設計パターンを解説します。

まとめ・ご相談

セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。

貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。

🚀Project365 — プロジェクト支援・IT PMI

M&A後のテナント統合・IdP設計・IT環境統合など、市場にほぼない専門領域をカバー。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談