見出し画像

身近な疑問に答える情報セキュリティ対策【法律事務所向け】 その1

山本了宣

セキュリティ対策は、日常の業務に深く関わってくるものです。

「これまで○○してきたけど、これってそもそもOKだったのだろうか?」
「常識で考えたらこのくらい大丈夫そうに思うけど、実際のところはどう?」

そういった様々な疑問がわく場面もあるのではないでしょうか。

さる2022年、私の所属する大阪弁護士会の会員向け雑誌で、情報セキュリティについてのインタビューを受けました。

セキュリティについて予備知識が無くても分かるように、身近な疑問をベースに質問を投げてもらっています。

結果としてできあがった記事は、IT関連も、IT関連ではないことも含めて、身近なところから幅広く扱われた内容となり、お読みいただくと色々な疑問の解消に役立ちそうに思いました。

上記雑誌では、インタビューを受けた本人が自分のブログ等に記事を転載することが認められています。せっかくですので、ここでご紹介したいと思いました。
以下3回に分けて、このブログに掲載していきます。それではお楽しみください。

1.弁護士の情報セキュリティ問題を扱うようになったきっかけは何ですか。
刑事弁護→アプリケーション開発刑事IT→セキュリティという流れです。2018年に神戸地裁姫路支部の裁判員裁判で私選弁護人を務めた事件の記録が膨大で、文書の数で1万7000ファイル、15万枚ほどありました。その大量の記録を整理して活用するためのシステムを、自分で一からプログラムを書いて開発しました。これを使うと仕事の生産性が劇的に向上 し、革命的な効果がありました。眠らせておくわけにはいかないと思い、一般向けに開発し直し、『弁護革命』としてリリースしました。ここでITの知識と実務能力が大幅に増えたのですが、その流れでITに関係する活動に関わるようになりました。刑事IT化の関連でセキュリティが非常に重要になったため、セキュリティ関連にも注力しています。

2.証拠開示のデジタル化を求める活動にも取り組まれました。
2021年に、「証拠開示のデジタ化を実現する会」 (共同代表:後藤貞人弁護士、高野隆弁護士)が設立され、私はこの「証拠開示のデジタル化を求める要望書」の署名集めなど、実務面にも尽力しました。開示証拠が大量になる場合、開示された証拠の謄写費用も高額となります。さきほど述べた神戸地裁姫路支部の裁判員裁判では開示証拠の謄写だけで600万円以上もかかりました。多くの方に賛同いただき、2020年12月までに弁護士や研究者から4043名、一般の方から 9140名、合計1万3183名の署名が集まりました。

3.わかりやすく「情報セキュリティ」を説明していただけませんか?
情報が盗まれたり、壊れたり、間違っていたりすると、大変な影響が生じるのが現代社会です。事業を、安定して、他人からも信頼される形で継続していくためには、情報を安全に扱う必要があります。その「安全」の中身が情報セキュリティです。
たとえばここにノートPCが一台あるとして、次の場面を考えてみてください。
①ノートPCをカフェの机に置きっぱなしにしていたところに、不審者がUSBを差して、ファイルを1000個コピーして盗んでいきました。
②ノートPCを自宅の机に置きっぱなしにしていたら、3歳の子どもが10分間キーボードを乱打しており、ファイルがたくさん消えたり書き換わったりしました。
③ノートPCが故障したので、修理に出し、1週間使えませんでした。
この3パターンが、情報の安全が損なわれる典型であり、名前がついています。①が、機密性 (confidentiality)の問題です。要は情報漏えいしないことですね。②は、完全性(integrity) の問題です。 完全性は、データが勝手に壊れたり変わったりしないことです。③は、可用性(availability)の問題です。いつでも情報が使えるのが可用性です。多くの方は、「情報漏えい防止=セキュリティ」と いうイメージがあるかもしれません。その場合は、上記を参考に、少し視野を広げていただくほうがよいと思います。いずれにせよ、IT、特にクラウド周りが重点ポイントになってきます。特有の注意点がたくさんあります。

4.今なぜ、弁護士事務所における 「情報セキュリティ」の必要性が叫ばれるようになったのでしょうか。
弁護士は守秘義務を負う高度の専門職であり、しかも依頼者以外の重大な秘密もたくさん預かっています。ですので、弁護士のセキュリティ対策は、本来論として、「議論の余地無く、当然に重要」だったと思います。ただ、「なぜ今」という視点では、やはりIT化の進展です。民事•刑事のIT化が進むことは確定路線です。何年かのうちには、文書の原則形態が電子データになります。電子データでは、大量の情報が一度に移動したり、壊れたり、変化したり、消えたりします。地球の裏側にも一瞬で飛んでいきます。この点に関して、紙とは全く異質と言ってよいです。なにか事故が起きれば、弁護士全体への信頼にも影響します。また、紙媒体が無い&データが消えた、となると、途端に仕事が行き詰まり、依頼者にも迷惑をかけます。完全性•可用性も、重要性を増してくることが分かります。たとえば弁護士会などの研修で、「IT•セキュリティ研修」というのはこれまであまり見たことがなかったと思います。「業界全体として、この機にしっかり力を入れていかなければならない」という考えが 多くの方に共有されつつあります。

5.一般論として、ズバリ、弁護士の情報セキュリティは遅れていますか?
伸びしろのある方がたくさんいらっしゃる、と申し上げておきます。私は小さいものも含めると、今年 10回以上セキュリティ関連の研修などを担当しており、毎回アンケートや意見交換もしています。その実感からです。クラウド関連が1つ重要です。ツールの選び方、ログインの守り方、共有に関する注意点など、早期に認識を共通にする必要があると思います。尼崎のUSB 紛失事件も、他人事ではありません。大切なのは「リテラシー」です。

6.情報セキュリティに対する危険のタイプには、どのようなものがありますか。
ざっくりと、「ミス」「攻撃」に分けることができます。「ミス」は、人為的なものであり、メーリングリストの設定が公開状態のまま事件記録をやり取りしていたケースや、メールの誤送信などがあります。「攻撃」は、悪意の攻撃者がいる場面です。近時、非常に危険なのは、「ランサムウェア」です。事務所のサーバー機にある事件のデータを暗号化して使えなくした上に、一部を盗み出し、元に戻すことと引き換えに身代金を要求するといった攻撃になります。メールの添付ファイルが侵入経路の1つです。

7.実際に法律事務所の情報セキュリティに問題が生じた例がありますか?
様々知られています。「ミス」の分類では、メーリングリストの誤公開などが典型例です。2011年のヤフーMLの事例(※1)のほか、2021年には、大阪の法律事務所がGoogle Groupのメーリングリストを誤って公開設定としていた事例も報道されました。「攻撃」に関しては、2019年には、神奈川県内の法律事務所がさきほどのランサムウェアに感染した例が報道されています。また、著名なマルウェア(ウイルス)であるEmotetの感染例も複数報告されています。2021年2月21日の日経新聞には、デロイトトーマツサイバー(東京•千代田)の調査により、2020年 に闇サイト上で情報が一部暴露されるなど被害が確認された企業は1300社に上り、このうち法律事務所を中心とした「専門サービス」業種は146社で、「製造」 に次いで2番目に多かったことなどが紹介されています。

8.狙われる法律事務所は大規模な法律事務所で、一人事務所は狙われにくいのではあり ませんか?
2つ意識する必要があります。第一に、「ミス」の類型は、規模に関係なく起きます。第二に、「攻撃」 は規模に関係ないタイプがあります。皆さん、空き巣がお金持ちの家だけに入ると思いますか?単に「窓があいていたから」、入るなんてことも普通にありますよね。たとえば、ウイルス付きのメールは、日々無差別にばらまかれており、たまたま 当たった人が感染します。IBA(国際法曹協会)のサイバーセキュリティガイドライン(2018)では、小さな事務所は、対策ができていないという理由で狙われると指摘されています。また、小さな事務所でも、時にはそれなりの企業や団体に関わることはあると思います。大企業を攻撃するよりも、そこから情報を預かる小さな法律事務所を攻撃するほうが簡単です。

9.アンチウイルスソフトを導入しています。 これで、サイバー攻撃から守れますか?
アンチウイルスソフトで対応できるのは、サイバー攻撃のごく一部だけです。典型的には、リンクからダ ウンロードしたファイルや、メールの添付ファイルがウイルスだった場合に、一定程度の駆除が期待できます。ただ、新しいものやカスタム性の強いものは、アンチウイルスソフトで検知できないこともよくあると言われます。また、たとえば不正アクセスなど(クラウドサービスへの不正ログインなど)は、そもそも ジャンルが違うので、アンチウイルスソフトでは防げません。

10.法律事務所以外の事業所では、サイバー攻撃によってどのような被害が発生して いますか?
最近では、2022年3月に、トヨタの全国の工場が停止した事例が印象的でした。さきほど紹介したランサムウェアが原因です。トヨタ本社ではなくて、取引先が狙われたという部分がポイントの1つです。我々に引きつけて言えば、「大企業Xの事件を受任していたY法律事務所が狙われた」といったところですね。2020年11月に、カプコンから1万件以上の個人情報が盗み出された事例も有名です。これもランサムウェアで、11億円以上の身代金の要求がありました。 きっかけはVPN機器の脆弱性だとされています。日経新聞の香港支局で、複数のメールアカウントが不正アクセスされ、顧客の氏名やメールアドレス、会社名、住所、電話番号などが流出した(2020年10月以降)という事例もあります。香港の個人情報保護当局が調査した結果、弱いパスワードを使い、しかも使い回していたことなどが原因の1つとされています。

11.メールを使っている弁護士は多いですが、安全な連絡手段と言えますか。
メールは注意が必要です。代表的なリスクとして、(1)誤送信、(2)詐欺メール•なりすましメール、 (3)ウイルス、などがあります。誤送信は、弁護士会のMLに添付ファイル付きのものが間違って送られてきた、という場面を想像してみてください。一旦誤送信をすると、取り返す方法がありません。詐欺メール•なりすましメールは、メールは発信元を偽るのが簡単だという問題です。偽メールを使って送金を指示するような手口があり、ビジネスメール詐欺などと呼ばれます。更に、メールは、ウイルスの主要な侵入経路です。ばらまき的なものもありますし、はっきり標的を定めて巧妙に送りつけてくるようなものもあります。

12.どう対策したらいいのでしょうか。
安全な仕組みのもとで使う、控えめに使う、利用者のリテラシーを上げる、といったことが大切になります。まず、事務所内や弁護団、依頼者と継続的にやりとりする場合には、ビジネスチャットに移行していくことをおすすめします。メールの利用を減らすこと自体が効果的です。なりすましメールやウイルスは、人間の目で見抜くのには限界があります。アラートをしっかり出してくれるツールを使ったほうがよいです(古いものを使っている人は要注意)。それと、メールへの不正アクセスは絶対に防ぐ必要があります。パスワードはランダムで長いものにして、二要素認証を加えることを強くおすすめします。また、ファイルの送信は、添付ファイルではなく、 クラウドストレージの共有フォルダなどを使うのがべターです。

13.クラウドに事件記録を保存するのは危険ということはないでしょうか。
これは相対的な問題です。現代の技術水準からすると、銘柄をきちんと選び、正しい使い方をする限りにおいては、セキュリティ上もクラウドのメリットは十分にあります。たとえばランサムウェアは、事務所内のサーバーなどのほうが被害に遭いやすく、クラウドのほうが守りやすいです。また、アクセス管理もクラウドサービスのほうが簡単です。「クラウド=危険、ローカル=安全」という単純な図式は5年以上前のものだと思います。今は利用場面とメリット•デメリットを考え、選択する•使い分けるという段階に来ていると思います。日本政府も既に、「クラウド•バイ•デフォルト原則」を打ち出しており、クラウドサービスを正面から取り入れています。

※1 著名事例として、ヤフーのメーリングリストが公開設定になっていた事件があります。2011年12月26日、報道機関からの取材をきっかけにして、弁護士や弁護士会が作成したインターネット上のメーリングリスト(掲示版)に、個人情報を含む裁判関係資料や弁護士会の会務に関する情報が誰でも閲覧可能な状態で掲載されていることが判明しました。

※2 「ウイルス」のほうが耳慣れているかもしれませんが、PCに侵入して悪さをするようなプログラムは、「マルウェア」と総称するのが一般的です。これは覚えておいたほうがよいです。
Malicious software (悪意のあるソフトウェア)で、マルウェア です。
※3 同ガイドラインの内容は、「法律事務所のサイバーセキュリティ実践ガイド【検討ノート】(山本了宣)にまとまっています。
https://note.com/ryoseny/n/ne70a43ce09a7

本記事は、月刊大阪弁護士会2022年7月号「会員お役立ち情報 第1回 情報セキュリティ①リスク編」を掲載したものです。
上記記事について、「同誌掲載記事の執筆者や同誌掲載インタビューの対象者が自ら発行する書籍・雑誌等の媒体、及び同人が自ら管理するホームページ・ブログ等に転載可能」であることにつき、大阪弁護士会に確認済みです。



この記事が気に入ったらサポートをしてみませんか?