マチ弁5大セキュリティリスクとその対策

こんにちは。情報セキュリティの分かりやすい伝え方を研究している山本了宣です。

マチ弁には、一般企業や他士業、医院などとも異なった、独特の情報セキュリティリスクがあると考えています。
色々大切なことはあるのですが、全て説明すると情報量が増えて実践も理解も難しくなります。

「特別重大なリスクに絞って、5つくらいにできないか」ということを考えましたので、5つ（数を優先）にまとめたものを試作してみました。

マチ弁5大セキュリティリスクとその対策(v1)

リスク1　事件情報を世界中に公開してしまった！

MLやクラウドの設定を間違うと、事件情報が世界中に公開されるという重大事故となります。複数の報道例があります。
MLの初期設定は注意深くおこないます。ビジネスチャットがベター。クラウドのリンク発行機能を利用するときは、メンバー指定するか、パスワードや期限を追加します。

リスク2　アカウントを乗っ取られた！

IDパスワードを推測されるなどで、第三者が不正にログインします。
・クラウドの不正ログイン→事件記録のデータを全部コピーされたり、消されたりします。脅迫も。
・裁判所システムの弁護士アカウントに不正ログイン→書面や証拠を読まれたり、勝手に提出や取り下げなどの手続をされます。
重要アカウントには、必ず二要素認証を設定します。パスワードは10文字以上の複雑なものにして、使い回しをしません。

リスク3　誤送信！　ウイルス！　偽サイト！

メールは誤送信をしやすいツールです。依頼者宛のメールを相手方に送ったなどの事故もあります。
メールはサイバー攻撃の代表的な経路となっており、受信メールの添付ファイルがマルウェア（ウイルス）となっていたり、リンク先が偽サイトでIDパスワードを盗まれたりします。
送信時は宛先確認を徹底します。受信時は常にメールに不審な点が無いか確認、所内の連絡はビジネスチャットに移行するほうが低リスクです。

リスク4　データ喪失！

事務所のサーバー機が故障する、PCだけにデータがある状態でそのPCが故障・紛失する、などで、データが完全に喪失します。唯一のデータであれば、取り返しがつきません。
クラウドを導入するか、事務所のサーバー機ならしっかりバックアップを設定します。その上で、「PCのHDDだけ」に重要データがある状態は作りません。

リスク5　事務所のLAN内に不正侵入！

Wi-Fi、ルーター、VPN、リモートデスクトップなどが穴となって、LAN内に不正侵入されます。システムを止められたり、データを盗まれて脅迫されるなどします（ランサムウェア攻撃）。
ネットワーク関連の機器は自動アップデート機能があるものを選びます。なければアップデートを手動実施。パスワードはランダムで長いものにします。VPN、リモートデスクトップは特にリスクが高いため、もし不要であれば廃止します。

短い解説
この5つの選定基準は、「特に重大だ」という基準です。私の考える「重大」というのは、以下のようなものです。

• 弁護士自身が悲惨なことになる

• 大量の情報漏えいを起こして「被害者」が出る

• 業務が壊滅的なダメージを受けて、依頼者や関係者にも迷惑をかける or 損害を与える

• 大体的に報道されて、同業者にも実質的に迷惑をかける

情報セキュリティ対策は有限の資源でおこなう活動です。
「特に重大」なものから優先的につぶしていったほうがいいというのが私の考え方です。
ご参考になれば。