技術デューデリジェンスの用語
ソースコード・インフラ・技術的負債など、デジタル事業特有の技術リスクを精査する用語。
- CI/CD・テストカバレッジ
- コードの自動検証・自動デプロイの仕組み(CI/CD)と、テストがコードをどれだけ網羅するかの指標(テストカバレッジ)。開発体制の成熟度を測り、移管後の安全な改修可否を示す。
- OSSライセンス(GPL汚染)
- オープンソースソフトウェアの利用条件を定めたライセンス。GPLなど条件の厳しいライセンスを組み込むと自社コードの公開義務が及ぶ場合があり、技術DDで利用状況の確認が重要となる。
- インフラ構成・スケーラビリティ
- システムを支えるサーバー・DB・ネットワーク等の基盤構成と、アクセス増加に耐えて拡張できる能力(スケーラビリティ)。運用コストや移管の難易度、成長余地を左右する技術DDの観点。
- シークレット混入(ハードコード)
- APIキーやパスワード、暗号鍵などの機密情報がソースコードや設定ファイルに直接書き込まれている状態。漏えい時の被害が大きく、技術DDで検出すべき危険な実装とされる。
- ソースコード監査
- 譲渡対象システムのソースコードを精査し、保守性・品質・セキュリティ・権利関係を評価する技術DDの中核手続き。可読性や技術的負債、脆弱性の有無などを確認する。
- ゾンビ権限(残存アクセス権)
- 本来は失効しているべきなのに残ったままになっているアクセス権限。退任者や旧所有者がシステムやアカウントに入れる状態を指し、事業移管後の不正アクセスの温床となる。
- デューデリジェンスの種類
- デューデリジェンス(DD)は調査領域ごとに、財務DD・法務DD・事業DD・技術DDなどに分かれます。それぞれが収益・権利・市場・システムという別々の側面を検証し、組み合わせることで対象事業の実態と適正価格を多面的に裏づけます。
- バックアップ・監査証跡
- データの定期的な複製保存(バックアップ)と、誰がいつ何をしたかを追える記録(監査証跡)。障害復旧やトラブル時の原因追跡を可能にし、システム運用の健全性を示す技術DDの観点。
- レガシーシステム
- 古い技術やサポート終了済みの基盤で構築され、保守や改修が困難になったシステム。動作はしていても拡張性・セキュリティ・引き継ぎ面でリスクを抱えるケースが多い。
- 事業DD
- 事業の収益構造・市場環境・成長性・依存リスクなどを事業面から精査するデューデリジェンス。その事業がなぜ稼げているのか、買主が引き継いだ後も継続するかを検証する。
- 依存ライブラリの脆弱性
- システムが利用する外部ライブラリやパッケージに含まれる既知のセキュリティ欠陥。自作コードが健全でも依存先経由で攻撃され得るため、技術DDで依存関係の棚卸しが重要となる。
- 冪等性
- 同じ操作を何度繰り返しても結果が一度実行したときと変わらない性質。決済やデータ移行で二重処理を防ぐ要となり、システムの堅牢性や移管時の安全性を測る観点となる。
- 収益証憑
- 売上や利益の実在を裏付ける客観的な資料の総称。管理画面のスクリーンショットだけでなく、入金記録や解析データなど改ざんしにくい一次情報が信頼性の高い証憑とされる。
- 技術デューデリジェンス
- 技術デューデリジェンス(技術DD)とは、買い手視点でデジタル事業のシステムの健全性を取得前に精査する工程です。ソースコードの保守性・技術的負債・依存ライブラリの脆弱性・インフラ構成・移管可能性などを評価し、取得後の追加コストと存続リスクを見極めます。
- 技術的負債
- 技術的負債とは、開発スピードを優先して場当たり的に作られたコードや設計が、後々の保守・改修コストとして積み上がった状態を指します。利息のように時間とともに増え、放置するほど機能追加や障害対応が困難になります。
- 数字の裏取り
- 数字の裏取りとは、売り手が申告したアクセス数・売上・利益などの数値を、アクセス解析やサーチコンソール等の実データと突き合わせて検証する作業です。申告値と実態の乖離を見抜き、水増しや錯誤を排除します。
- 法務DD
- 買収対象が抱える契約・権利・コンプライアンス上のリスクを法的に精査するデューデリジェンス。権利の帰属や規約違反、係争の有無などを確認し取引の安全性を検証する。
- 移管可能性
- 移管可能性とは、対象事業のシステム・アカウント・契約・データなどを、売り手から買い手へ問題なく引き継げるかを示す度合いです。技術的・契約的に移管が困難な要素が多いほど、取得後に事業が止まるリスクが高まります。
- 署名鍵・鍵のローテーション
- APIキーや暗号鍵・署名鍵などを定期的に、または所有者交代時に新しいものへ差し替えること。漏えいや残存アクセスのリスクを断つための基本的な運用で、事業移管時に特に重要となる。
- 脆弱性(SQLインジェクション・XSS・CSRF)
- システムに存在する、攻撃者に悪用され得るセキュリティ上の欠陥。SQLインジェクション・XSS・CSRFなどが代表例で、情報漏えいや不正操作につながるため技術DDの重点確認項目となる。
- 財務DD
- 買収対象の収益・費用・資産・負債の実態を会計面から精査するデューデリジェンス。表面上の数字が実態を伴うか、収益の質や隠れた負債を検証する手続きを指す。
- 隠れた瑕疵
- 取引時には表面化せず、移管後に発覚する欠陥や不利益。技術的負債・脆弱性・隠れた負債・規約違反などが該当し、デューデリジェンスはこれらを事前に洗い出すために行われる。
