法律事務所のセキュリティ対策18選と規程のクリア法を紹介
2024年6月1日から、『弁護士情報セキュリティ規程』が施行され、セキュリティ面での備えが全ての法律事務所に必須なことを知ったものの、事務所としてどういったアクションを起こせばよいのかわからず、結局そのままになってしまっていませんか?
結論からお伝えすると、『弁護士情報セキュリティ規程』でも言及されているように、法律事務所のセキュリティは次の3つをクリアしなくてはなりません。
|
【1】機密性:情報に関して、アクセスを認められた者だけがアクセスできる特性 【2】完全性:情報が破壊、改ざん又は消去されていない特性 【3】可用性:情報へのアクセスを認められた者が、必要時に中断されることなく、情報にアクセスできる特性 |
|---|
「そう言われてもよくわからない……」と思われる方が多いかと思います。
そこで今回は、上記をクリアするための具体的な対策を、18個ご紹介します。
|
対策内容 | |
|---|---|
|
技術的対策 |
OSやソフトウェアを常に最新バージョンにしておく |
|
ウイルス対策ソフトを導入する | |
|
アクセス権を設定する | |
|
バックアップを取る | |
|
二要素認証を利用する | |
|
パスワードマネージャーを利用する | |
|
VPNの保守を徹底する | |
|
ファイヤーウォールを設置する | |
|
定期的なセキュリティ診断やセキュリティ監査を実施する | |
|
物理的対策 |
勤務時間外はPCを鍵付きキャビネットに格納する |
|
来客応対は執務スペース外の決められた場所で行う | |
|
暗証番号、ICカード、生体認証などにより人の出入りを管理する | |
|
監視カメラを設置する | |
|
警備員を配置する | |
|
人的対策 |
セキュリティポリシーを策定する |
|
情報の取り扱いや機器の運用方法に関するルールを従業員に示す | |
|
セキュリティ研修・教育を実施する | |
|
業務・操作手順マニュアルを作成する |
これらの対策を実際にどのように行えばよいのかを、実行しやすさも含め、解説します。
事務所のリソースで十分対応可能な対策も多数ありますので、お読みいただければ、まずどの対策から行うべきかを決められるだけでなく、すぐにも実行に移せるはずです。
また、法律事務所のセキュリティレベルを根底から上げる方法についても解説しています。
ぜひご参考になさってください。
1. 法律事務所が講じるべきセキュリティ対策は大きく3種類
セキュリティ対策を考える上でまず知っておきたいこととして、一般にセキュリティ対策は下表の3種類に分類されます。
【セキュリティ対策の分類】
|
分類 |
特徴・目的 |
|---|---|
|
技術的対策 |
ハード面およびソフト面のセキュリティを強化する |
|
物理的対策 |
物理的な方法で情報を保護して盗まれないようにする |
|
人的対策 |
人為ミスや不正行為といった人的要因による情報漏えいを未然に防ぐ |
セキュリティ対策を講じる際は、この3種類を取り混ぜることを意識しましょう。
3種類をバランス良く組み合わせることで、網羅的に対策できるからです。
たとえば、家の防犯性を高めるために玄関ドアを交換するケースを想像してください。
開けるには指紋認証が必要な頑丈な鋼鉄製のドアに交換しても、施錠しようとしない子どもに「ちゃんと鍵をかけてね」と言い聞かせておかなければ、防犯効果は限定的ですよね。
3種類の対策を同じ数ずつ講じるといったことにこだわる必要はありませんが、少なくとも「物理的対策は一つもしていない」といったようなことは避けるようにするのがおすすめです。
具体的な対策を下表にまとめました。次章より、各対策を詳しくご紹介していきます。
【各種対策とその分類】
|
対策内容 |
対象となる特性 |
実施の容易さ |
大まかな費用目安 | |
|---|---|---|---|---|
|
技術的対策 |
OSやソフトウェアを常に最新バージョンにしておく |
可用性 |
◎ |
基本的に無料 |
|
ウイルス対策ソフトを導入する |
完全性 |
◯ |
1台当たり2,000〜5,000円/年 | |
|
アクセス権を設定する |
機密性/完全性 |
◯ |
無料 | |
|
バックアップを取る |
完全性/可用性 |
◯ |
無料 (※データ保管先(メディア、クラウドストレージ)関連費用は発生) | |
|
二要素認証を利用する |
機密性 |
◯ |
無料 | |
|
パスワードマネージャーを利用する |
機密性 |
△ |
月額数百円〜数千円 | |
|
VPNの保守を徹底する |
機密性 |
△ |
無料 (セキュリテパッチを適用する対応のみの場合) | |
|
ファイヤーウォールを設置する |
機密性 |
× |
要見積り (目安は月額数万円〜数十万円) | |
|
定期的なセキュリティ診断やセキュリティ監査を実施する |
機密性 |
△ |
簡易ツール診断:数万〜数十万円 脆弱性診断:数十万〜数百万円 ペネとレーションテスト:数百万円 | |
|
物理的対策 |
勤務時間外はPCを鍵付きキャビネットに格納する |
機密性 |
◯ |
無料 |
|
来客応対は執務スペース外の決められた場所で行う |
機密性 |
△ |
無料 | |
|
暗証番号、ICカード、生体認証などにより人の出入りを管理する |
機密性 |
△ |
数万円 (※生体認証型は月額数万円) | |
|
監視カメラを設置する |
機密性 |
△ |
1,000〜10,000円/月 | |
|
警備員を配置する |
機密性 |
× |
1〜2万円/日 | |
|
人的対策 |
セキュリティポリシーを策定する |
機密性/完全性/可用性 |
△ |
無料 |
|
情報の取り扱いや機器の運用方法に関するルールを従業員に示す |
◯ |
無料 | ||
|
セキュリティ研修・教育を実施する |
△ |
社内研修:無料 外部依頼研修:要見積り | ||
|
業務・操作手順マニュアルを作成する |
△ |
無料 |
2. 【技術的対策】法律事務所が講じるべきセキュリティ対策9つ
3つある分類のうちで、もっとも直接的な対策といえるのが、技術的対策です。
なぜなら、
・狙われている情報資産が格納されている場所
・マルウェア感染経路であるネットワーク
の内側からガードする、あるいは出入口を守るのが技術的対策だからです。
物理的対策や人的対策がお城の外堀や内堀だとすれば、この技術的対策は本丸で守りを固める兵士たちといったところです。
コンピューターやネットワーク回線などに施す対策……と聞くと、難しくて手に負えないように感じてしまう人も多いかもしれませんが、ITの知識をさほど必要としない対策も複数あります。
専門業者(またはIT担当者)に頼らなくても実施できる種類の対策を中心に、簡単かつ優先度の高いものから順にご紹介していきます。
【技術的対策】
|
対策 |
対象となる特性 |
実施の容易さ |
大まかな費用目安 | |
|---|---|---|---|---|
|
技術的対策 |
OSやソフトウェアを常に最新バージョンにしておく |
可用性 |
◎ |
基本的に無料 |
|
ウイルス対策ソフトを導入する |
完全性 |
◯ |
1台当たり2,000〜5,000円/年 | |
|
アクセス権を設定する |
機密性/完全性 |
◯ |
無料 | |
|
バックアップを取る |
完全性/可用性 |
◯ |
無料 (※データ保管先(メディア、クラウドストレージ)関連費用は発生) | |
|
二要素認証を利用する |
機密性 |
◯ |
無料 | |
|
パスワードマネージャーを利用する |
機密性 |
△ |
月額数百円〜数千円 | |
|
VPNの保守を徹底する |
機密性 |
△ |
無料 (セキュリテパッチを適用する対応のみの場合) | |
|
ファイヤーウォールを設置する |
機密性 |
× |
要見積り (目安は月額数万円〜数十万円) | |
|
定期的なセキュリティ診断やセキュリティ監査を実施する |
機密性 |
△ |
簡易ツール診断:数万〜数十万円 脆弱性診断:数十万〜数百万円 ペネとレーションテスト:数百万円 |
2-1. 《可用性UP》OSやソフトウェアを常に最新バージョンにしておく
OSやソフトウェアは、いつも最新バージョンとなっているよう、アップデートしておきましょう。
その理由は、新しいバージョンほどセキュリティが高いからです。
OSやソフトウェアが不定期にアップデートを繰り返すのは、新機能の追加など利便性向上のためだけではなく、脆弱性や不具合の解消、新たなウイルスへの対策など、セキュリティ強化のためでもあります。
したがって、最新バージョンとなっているということは、今考えられる最強のセキュリティ対策が施された状態であるということに他なりません。
更新のお知らせが届くたびに手動でアップデートするのは面倒ですし、うっかり対応を忘れてしまうこともあるかもしれません。自動更新機能を有効にしておくのがおすすめです。
なお、Windowsの場合は、標準で自動更新される設定となっているため、特に設定は必要ありません。
2-2. 《完全性UP》ウイルス対策ソフトを導入する
ネットワークへの不正侵入やマルウェアの感染を防ぐウイルス対策ソフトの導入は、基本中の基本といえる必須セキュリティ対策です。
注意点としては、常に最新バージョンとなっていることが重要です。
たとえば、2017年に世界中で甚大な被害を出したランサムウェア「WannaCry」に対抗できるウイルス対策ソフトの新バージョンは、大規模なサイバー攻撃による感染拡大の約2ヶ月前に配布されていました。
つまり、感染拡大期に被害にあった多くの企業は、新バージョンへのアップデートを行っていなかったがために感染したということです。
新しいバージョンは、検知された新種のウイルスへの対策を盛り込んだものとなっています。
新種のウイルスに対し無防備な状態になっている期間を少しでも短くできるよう、可能な限り速やかにアップデートしましょう。
自動更新機能が有効になっていれば問題ありませんが(「2-1. OSやソフトウェアを常に最新バージョンにしておく」参照)、あえて無効としているなどの事情があれば、注意が必要です。
2-3. 《機密性/完全性UP》アクセス権を設定する
関係者以外が容易にアクセスできないよう、ユーザーごとにアクセス権を設定します。
あらかじめ許可されたユーザーだけにアクセス権を付与することで、外部からの不正侵入はもちろん、内部不正、さらにいえば意図せず情報を流出させてしまうような事態を防げます。
・どのサーバー、フォルダ、ファイルの
・どんな操作(閲覧・編集・削除)を
・誰に対して許可するか
を決めて、アクセスを制御します。
たとえば、「人事関連フォルダの閲覧・編集を、共同経営者にだけ許可」などのようにします。
アクセス権の設定方法は、OSやそのバージョンごとに異なります。
該当するOSやバージョンでの設定方法を、利用機器メーカーや利用ソフトウェア提供元などのヘルプページなどで参照して、対応しましょう。
2-4. 《完全性/可用性UP》バックアップを取る
バックアップをとって、万一のデータ破損に備えます。
バックアップの本来の目的を達成するための実践方法として広く知られているのが、「3-2-1バックアップルール」です。
【3-2-1バックアップルール】
|
・ データのコピーを3つ作成(元のデータ+少なくとも2つのコピー) ・ 2種類の記録メディアを使用(たとえば外付けHDD+クラウドストレージデバイス) ・コピーの1つは違う場所に保管(特定エリアの災害やサイト固有の障害によるデータ損失を防ぐ) |
|---|
ランサムウェア攻撃の急増により近年は、離れた2ヶ所の場所を含む3つの場所に4つのデータのコピーを格納する「4-3-2」の戦略も広がりつつあります。
【4-3-2バックアップルール】
|
・1つ目のコピーはオンプレミス(*1)で保管 ・2つ目のコピーはMSP(*2)で保管 ・3つ目はクラウドストレージ(*3)で保管 →元のデータ+3つのコピーで合計4つ |
|---|
*1) オンプレミス:自社にあるサーバーやネットワーク機器
*2) IT環境の監視・保守・運用業務代行事業者
*3) インターネット上のデータ保管庫
データの可用性(必要時に中断されることなく情報にアクセスできる特性)の担保が目的であることを考慮すると、バックアップコピーが1つだけでは不十分です。
また、保管場所も1ヶ所ではリスクが高いです。
たとえばバックアップデータを保管している外付けHDDを事務所内に置いている場合、火災などが発生すれば、元のデータが入っているコンピュータと一緒にダメになってしまいます。
2-5. 《機密性UP》二要素認証を利用する
アカウントへの不正アクセスを防ぐため、ログイン時に二要素認証を利用するようにします。
二要素認証とは、
|
・ユーザーだけが知っている知識(IDとパスワード、暗証番号、秘密の質問など) ・ユーザーだけが持っている物(ICカード、スマートフォン、トークンなど) ・ユーザーの身体的特徴(顔、虹彩、指紋など) |
|---|
の3つの要素のうち、2つの要素を用いてユーザー認証を行う方式です。
認証方式はサービスごとの仕様ですので、二要素認証に対応するシステムやサービスを選ぶことが対策となります。
二要素認証に対応しているにもかかわらず、IDとパスワードだけでログインしているという場合は、二要素認証を利用しない設定になっている可能性があります。設定を切り替えましょう。
(切り替え方はサービスごとに異なるため、ヘルプページなどを参照してください)
2-6. 《機密性UP》パスワードマネージャーを利用する
パスワードマネージャー*を利用して、パスワードを管理します。
|
*パスワードマネージャー:サービスごとに複雑なパスワードを自動生成。それを保管し、ログイン画面でログインIDとパスワードを自動的に入力してくれるもの |
|---|
パスワードマネージャーを利用すると、以下のようなメリットにより、不正ログインのリスクを低減できるからです。
・Excelやメモアプリ、ノートに書き留めるといったリスクの高い管理方法が不要になる
・利用サービスの数が増えても管理に困らない
・強力なパスワード(解読されにくいパスワード)が自動生成される
・ログイン画面でIDとパスワードが自動入力されるのでスムーズ
たくさんのパスワードを記憶しておくのが大変だからといって、一つのパスワードを複数のサービスで使い回すことは、大変危険です。
万一パスワードが漏えいしたときに複数のサービスで芋づる式に不正ログインを許してしまうリスクがあるからです。
もしもそうした状況であれば、今すぐにでもパスワードマネージャーの利用を開始しましょう。
|
ブラウザのパスワード保存機能の利用は避ける |
|---|
|
なお、ブラウザ(Goole Chrome、Edge、Safari、Firefox等)に標準搭載されているパスワード保存機能の利用は避け、有料のパスワードマネージャーを利用してください。 ブラウザのパスワード保存機能を使うと、席を外しているときにもログインしたままであれば、ブラウザに保存されている全てのパスワードに誰でもアクセスできてしまうためです。 (ほとんどの人がブラウザ使用時に毎回ログインするという運用にはしていないのではないでしょうか。つまり、意識はしていなくても、ブラウザに常時ログインした状態にあるということです) |
2-7. 《機密性UP》VPNの保守を徹底する
VPN*サービスを利用している場合、必要なメンテナンスを必ず行うようにします。
|
*VPN:Virtual Private Network (仮想プライベートネットワーク)。仮想の専用回線でインターネットに接続する接続方式のこと |
|---|
なぜなら、VPNは導入すれば安心というわけでは決してないためです。
実際に、2023年上半期にランサムウェア被害にあった企業・団体等へ警察庁が行ったアンケート調査によれば、47件中22件の感染経路がVPN機器(VPNルーター)でした。
(画像出典:『令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について』(警察庁))
安全性が高いはずのVPNも、導入したきり放置していては、逆にリスクの高いネットワーク環境となってしまうのです。
対策は複数ありますが、最低限必要でかつ自力で対応可能なのは以下の2つです。
|
・VPN機器ベンダーからの脆弱性の公表を見逃さないよう、脆弱性情報通知サービスの利用なども含めた情報入手方法を検討し、確立しておく ・VPN機器ベンダーから脆弱性が公表されたら速やかに、公開されたセキュリティパッチ(修正プログラム)をダウンロードして適用する |
|---|
安全性に懸念のある無料のVPNサービスなどを避け、セキュリティレベルの高い通信事業者が提供するものを利用するといったことは大前提ですが、保守の必要性も強く認識しておくことが重要です。
2-8. 《機密性UP》ファイヤーウォールを設置する
外部からの不正アクセスを遮断し、被害の拡大を防ぐため、ファイアウォールを設置します。
ファイアウォールとは、通信を監視し、怪しい動きがあれば、まさに「防火壁」のように不正アクセスを遮断し、被害の拡大を防ぐシステムです。
ファイアウォールには、以下の3つの形態があります。
|
形態 |
設置場所と役割 |
メリット・デメリット |
|---|---|---|
|
ソフトウェア型 (パーソナルタイプとも) |
・サーバーやコンピュータ1台1台にインストール ・疑わしい通信から個々のサーバーやコンピュータを保護 |
◎OSに標準搭載 ◎フリーソフトもあり ×ハードウェア型との併用が基本 ×処理速度や通信速度の低下リスク |
|
ハードウェア型 (ゲートウェイ型とも) |
・外部ネットワークと内部ネットワークの境界(主にルーター内)に設置 ・外部の不正アクセスから社内ネットワークを保護 |
◎安定した高速通信&高度な機密性 ×保守・管理の必要性 ×導入費用が高価 |
|
クラウド型 |
・サーバーと外部ネットワークの境界に構築 ・通信を制御して外部ネットワークからの不正アクセスやウイルス侵入を防ぐ |
◎最小限の導入・運用コスト ◎インストールや機器設置不要 ◎運用はベンダーに一任で楽 ×応答速度の低下リスク ×月額料金発生 |
費用目安は数万〜数百万円とかなり幅があります。クラウド型はサブスクリプション制が一般的です。
おすすめは、総合的に見てメリットが多く、組織規模も問わないクラウド型ですが、次のようなケースはその限りではありません。
・手軽さやコストを優先 →ソフトウェア型
・機密性や高速通信重視で、保守にかかるコストと人員を負担できる →ハードウェア型
2-9. 《機密性UP》定期的なセキュリティ診断やセキュリティ監査を実施する
講じているセキュリティ対策が有効に機能しているかどうかをチェックするため、監査や診断を定期的に実施します。
【セキュリティ対策のチェック方法】
|
チェック方法 |
特徴・目的 |
|---|---|
|
セキュリティ監査 |
第三者の目線でセキュリティ対策を検証し、リスクを特定する |
|
セキュリティ診断(脆弱性診断) |
攻撃者視点でシステム全体に対し疑似攻撃を行い、システムやネットワークの脆弱性を特定する |
|
ペネトレーションテスト |
実際のサイバー攻撃と同様の手口で攻撃し、十分に防御できるかを確認したり、想定被害レベルを調査したりする |
基本的に専門の技術者に依頼しますが、セキュリティ診断については、自分でできる簡易診断ツールもあります。
また、ごく簡易なチェックシート式の無料診断ツールがIPA(独立行政法人情報推進機構)により公表されています。手始めにこちらを試してみてもよいかもしれません。
(参考:5分でできる!情報セキュリティ自社診断(IPA(独立行政法人情報推進機構))
予算や「何をチェックしたいか」によって、どの方法でチェックするかを決めましょう。
3. 【物理的対策】法律事務所が講じるべきセキュリティ対策5つ
関係者以外が入室できないようにしたり、PCなどの端末に近づけないようにしたりといった物理的な方法で情報を保護するのが、物理的対策です。
こちらも簡単かつ優先度の高いものから順にご紹介していきます。
【物理的対策】
|
対策内容 |
対象となる特性 |
実施の容易さ |
大まかな費用目安 | |
|---|---|---|---|---|
|
物理的対策 |
勤務時間外はPCを鍵付きキャビネットに格納する |
機密性 |
◯ |
無料 |
|
来客応対は執務スペース外の決められた場所で行う |
機密性 |
△ |
無料 | |
|
暗証番号、ICカード、生体認証などにより人の出入りを管理する |
機密性 |
△ |
数万円 (※生体認証型は月額数万円) | |
|
監視カメラを設置する |
機密性 |
△ |
1,000〜10,000円/月 | |
|
警備員を配置する |
機密性 |
× |
1〜2万円/日 |
3-1. 《機密性UP》勤務時間外はPCを鍵付きキャビネットに格納する
ノートPCを使用しているのであれば、帰宅時には鍵付きのキャビネットにしまってから退社するようにします。
セキュリティワイヤーで机の脚などに固定する方法もありますが、ワイヤーを使ったこちらの方法はあくまで「PCを持ち出せなくなる」のであって、不正なデータ持ち出しまでは防ぎきれません。
そういった意味で、鍵付きのキャビネットに格納するのが最善といえるでしょう。
3-2. 《機密性UP》来客応対は執務スペース外の決められた場所で行う
来客応対は、執務スペース外の決められた場所で行うようにします。
執務スペースで応対した場合、業務中のPC画面、デスクの上の書類、キャビネットに収納されたファイルの背表紙、電話メモなどが相手から見えてしまいますし、電話中の会話も聞こえてしまいます。
来客にそのつもりがなくても、見えたり聞こえたりしてしまえば、情報漏えいです。
応接室や会議室がない場合には、デスクの並んだ執務スペースの端をパーティションで区切るなどして、外部からの来客を通せるスペースを設けるなどしましょう。
|
出入口付近から執務スペースが丸見えとならないように注意 |
|---|
|
宅配業者や通りすがりの人などの目にも気をつける必要があります。 事務所の出入口付近から執務スペースが丸見えとなっている場合は、パーティションなどで目隠ししましょう。 |
3-3. 《機密性UP》暗証番号、ICカード、生体認証などにより人の出入りを管理する
スマートロック(暗証番号、ICカード、生体認証などによりドアを施解錠するシステム)を導入し、入退室時のセキュリティを強化します。
顔認証リーダー式などの生体認証タイプであれば、なりすまし入室を確実に避けられ、安全性はより高まりますが、暗証番号やICカードでも十分に有効です。
既存のドアに後付けでき、電池式で配線不要なタイプの電子錠もあり、大がかりな工事をしなくても導入可能です。ぜひ検討してみましょう。
3-4. 《機密性UP》監視カメラを設置する
監視カメラを設置して、人の出入りを管理できるようにします。
外部からの侵入者の様子や内部不正の様子を録画できること自体にとどまらず、警戒感を抱かせることによる犯罪抑止効果も大きなメリットといえるでしょう。
ただし、今日主流になっているネットワークカメラは、24時間インターネットに接続している関係上、カメラ自体がハッキングの危機にさらされているという点に注意が必要です。
万一カメラがハッキングされると、事務所内の様子が筒抜けになる上、場合によってはその撮影データがインターネット上で流出する可能性さえあります。
『ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト』(IPA(独立行政法人情報推進機構)で、最低限講ずるべき情報セキュリティ対策の要件を確認しましょう。
3-5. 《機密性UP》警備員を配置する
監視カメラ同様に、警備員の配置も高い犯罪抑止効果を期待できます。
とはいえ、人の出入りの管理であれば「3-3. 暗証番号、ICカード、生体認証などにより人の出入りを管理する」で紹介しているような施錠システムの導入でも十分効果的です。
また、犯罪抑止効果であれば、「3-4. 監視カメラを設置する」で言及しているように、監視カメラでも有効です。
何かあった際の証拠映像の撮影も考え合わせると、施錠システムと監視カメラの組み合わせで同等もしくはそれ以上の効果があると考えられ、あえて警備員を配置することの利点は少ないケースが多そうです。
4. 【人的対策】法律事務所が講じるべきセキュリティ対策4つ
メール誤送信やPC紛失などの人為ミス、機密情報の持ち出しなどの不正行為といった人的要因による情報漏えいを未然に防ぐための施策が、人的対策です。
どんな対策を講じても、人が適切に運用しなければ意味がありません。
また、不正行為をするのも人、思いとどまるのも人です。
直接的にサイバー空間の脅威に立ち向かう類の対策ではありませんが、必要性の点においては技術的対策や物理的対策に劣りません。
具体的な対策例を、簡単かつ優先度の高いものから順にご紹介していきます。
【人的対策】
|
対策内容 |
対象となる特性 |
実施の容易さ |
大まかな費用目安 | |
|---|---|---|---|---|
|
人的対策 |
セキュリティポリシーを策定する |
機密性/完全性/可用性 |
△ |
無料 |
|
情報の取り扱いや機器の運用方法に関するルールを従業員に示す |
◯ |
無料 | ||
|
セキュリティ研修・教育を実施する |
△ |
社内研修:無料 外部依頼研修:要見積り | ||
|
業務・操作手順マニュアルを作成する |
△ |
無料 |
4-1. 《機密性/完全性/可用性UP》セキュリティポリシーを策定する
事務所として情報セキュリティに取り組むに当たって、セキュリティーポリシーを策定します。
セキュリティポリシーとは、下記の3つの要素で構成されます。
|
基本方針:組織としてのセキュリティ対策にどう向き合うか?(目的、適用範囲など) 対策基準:基本方針を実践するためにどう取り組むのか?(IT機器利用ルール、社内ネットワーク利用規程など) 実施手順:対策基準で定められた対策の具体的な進め方は?(テレワーク実施手順、有事の際の対応手順など) |
|---|
セキュリティーポリシー策定のメリットには、次のようなものが挙げられます。
|
・適切な運用を示すことで、セキュリティ上の事故を防止できる ・事務所で働く全員のセキュリティ意識向上を促せる ・情報漏えいなどの事故が起きた場合に迅速に対応できる ・クライアントからの信頼性の向上につながる |
|---|
法律業界では、『弁護士情報セキュリティ規程』に基づき、2024年6月1日よりセキュリティポリシーの策定が義務化されているのはご存知の通りです。
注意点としては、セキュリティポリシーの本質的な部分が大きく変更となることはまずありません。それでも策定したらそれきりではなく、見直しや改訂が必要となります。
|
情報セキュリティポリシーは、運用を開始した後にも、社員や職員の要求や社会状況の変化、新たな脅威の発生などに応じて、定期的な見直しが必要です。また、見直しを行った結果、必要に応じて情報セキュリティポリシーを改訂しなければなりません。この作業を継続的に繰り返すことが、情報セキュリティ対策の向上に役立ちます。 (引用元:『情報セキュリティポリシーの見直し』(総務省)) |
|---|
日本弁護士連合会が会員向けに公開している「基本的な取扱方法」のサンプルや、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)の情報セキュリティポリシーサンプルなどが参考になります。
事務所のリソースで全て対応するのが難しい場合には、外部のコンサルタントや専門家に依頼するという選択肢もあります。
4-2. 《機密性/完全性/可用性UP》情報の取り扱いや機器の運用方法に関するルールを従業員に示す
セキュリティ上の事故を防止するための運用ルールを、事務所内の全員に示します。
セキュリティポリシーを策定したところで、セキュリティリスクと正面から向き合いながら業務を遂行する弁護士や事務員が適切な行動がどういうものかを知らないのでは、リスクは低減しないためです。
具体的には、次のような内容を周知します。
|
・IT機器やソフトウェアの利用などのルール ・バックアップ、破棄などの ルール ・テレワーク時や外出先での業務時のルール ・情報持ち出し規程 ・事故が起こった際の対処法 など |
|---|
テレワークは、どうしてもセキュリティ意識が希薄となりがちな自宅という空間での業務であり、その最中は当の本人の心構えだけが頼りとなるため、関連するルールを丁寧に周知することをおすすめします。
『テレワークセキュリティガイドライン』(総務省)が参考になります。
また、万一の事故発生時には被害を最小限にとどめるため、防止策だけでなく事故発生時の対処法の周知も忘れず行いましょう。
『 情報漏えい発生時の対応ポイント集』(IPA(独立行政法人情報推進機構)が参考になります。
|
公共の場でのショルダーハックにも注意が必要 |
|---|
|
外出中にカフェでPCを開いて仕事をしたり、移動中の電車内でスマートフォンから進捗状況を確認したりといった際にも、ショルダーハックに注意する必要があります。 機密情報自体を盗み見られなくても、社内ネットワークやクラウドサービスへのアクセス用のID・パスワードを盗み見られれば、不正アクセスを招きかねません。 画面に覗き見防止フィルターを貼るのも一つの対策です。 ただし、公共の場、特にデジカメのズーム機能などを使えば数m離れた場所からでも画面表示を読み取れるオープンスペースで仕事をすることは極力避けるのが基本です。 |
4-3. 《機密性/完全性/可用性UP》セキュリティ研修・教育を実施する
従業員の情報リテラシーとセキュリティ意識を高めるため、セキュリティ研修・教育を実施します。
繰り返しとなりますが、当の弁護士や事務員のセキュリティ意識が希薄では、セキュリティリスクは低減しません。
IT担当者だけが知識をつけて対策を講じるだけではなく、情報資産を取り扱う全てのメンバーがリスクを理解し、適切な運用を心がけるようになるところまで持っていくことが重要です。
IPA(独立行政法人情報推進機構)が公開している映像コンテンツなども利用しながら、情報セキュリティに関する脅威や対策を学ぶ機会を、継続的に設けましょう。
4-4. 《機密性/完全性/可用性UP》業務・操作手順マニュアルを作成する
操作ミスや誤送信を防止するため、業務マニュアルや操作手順マニュアルを作成しましょう。
実際に機器を操作する人が正しく安全な使い方をできなければ、セキュリティ対策として成り立ちません。
例としては、次のようなものが挙げられます。
・メールソフト設定手順書
・電子文書管理規程
・FAX送受信マニュアル
(※上記3つ目のFAX送受信マニュアルは、注意事項の数によっては、FAX機に注意喚起の貼り紙をしておくといった方法に代えてもよいでしょう)
作成する際は、専門知識がなくても、マニュアルに従いさえすれば適切に対処できるような内容となるよう意識しましょう。
マニュアルの通りに実行した結果として、セキュリティ対策を形にできるような環境の構築を目指します。
5. 一番取り組みやすいと同時に難しいのが人的対策
コストもあまりかからず、思い立ったらすぐに実践可能なものも多い人的対策は、3種類の対策の中で一番ハードルが低いともいえます。
しかし同時に、一番難しいのも人的対策です。
だからこそ、更新は必要だけど基本的に一度対策すればよい技術的対策と物理的対策を講じた上で、人的対策を根気強く継続的に取り組んでいく必要があります。
人的対策が難しい理由について以下で解説します。継続的な人的対策の大切さへの意識を高めていただければと思います。
5-1. 人的対策は従業員一人ひとりに委ねる形となるから
技術的対策および物理的対策は、仕組みや物に対して講じるものであり、一定の効果をほぼ確実に期待できます。
一方、人的対策は、最終的には個々人の対処に委ねる形となるため、どれだけ最善を尽くしても効果にバラつきが出てしまいます。
しかも、古くなったり故障したりしない限り恒久的に機能し続ける仕組みや物とは異なり、覚えたこともしばらくすれば忘れてしまったり、徐々に意識しなくなっていったりするのが人です。
「これだけやれば大丈夫」がないのが人的対策といえるでしょう。
5-2. 従業員がPCに向かう回数に比例してリスクも高まるから
悪意ある人間に狙われる回数よりも、業務でネットワークに接続する回数のほうがはるかに多いです。
そして、リスクがあるからといって接続回数を減らすわけにもいきません。
業務の遂行のために行動すればするほど、ミスの機会も多くなるのはどうしようもないことです。
実際、情報漏えいを招く可能性のある行為は多岐にわたります。
【情報漏えいにつながるリスクのある業務上の行為の例】
|
業務上の行為 |
潜んでいるリスク |
|---|---|
|
ウェブサイトへアクセスする |
有名なウェブサイトに見せかけた偽サイトにアクセスしてしまい、マルウェアが自動的にダウンロードされ感染してしまう |
|
ダウンロードファイルを解凍・実行する |
マルウェアが仕込まれたファイルをダウンロードしてしまう |
|
外部記憶媒体(USBメモリ等)をPCに接続する |
マルウェアが仕込まれたファイルをダウンロードしてしまう |
|
メール添付ファイルを開く |
マルウェアが仕込まれたファイルをダウンロードしてしまう |
|
メール記載URLをクリックする |
偽メールで偽サイトに誘導され、入力情報を抜き取られてしまう |
|
ネット広告を閲覧する |
不正ネット広告をクリックして不正なWebサイトへ転送され、マルウェアに感染してしまう |
|
公衆Wi-Fiに接続する |
通信が暗号化されていないため容易に傍受されてしまう |
どれだけ注意したところで間違いを犯すリスクはゼロにはなりません。
それでも限りなくゼロに近づけるために、こまめに研修を実施するなど、セキュリティ意識を高められる場を可能な限り設けましょう。
5-3. 内部からの情報漏えいを防ぐのは容易ではないから
内部からの情報漏えいは、最終的にはセキュリティ意識やモラルの問題に帰結します。
そのため、対策を徹底すればそれなりの効果が確実に見込める外部からの侵入防止よりも厄介といえるでしょう。
株式会社東京商工リサーチの調査によれば、2023年に上場企業とその子会社が公表している情報漏えい・紛失事故の175件のうち、情報の不正持ち出しや盗難により情報漏えいしたケースは24件でした。
画像出典:株式会社東京商工リサーチの「2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」をもとに筆者作成
最多原因は「ウイルス感染・不正アクセス」の93件でしたが、「不正持ち出し・盗難」による情報漏えいは前年の約5倍と増えており、情報管理意識とモラルの欠如による事故は決して少なくないとわかります。
こうした人の内的な部分への働きかけは、すぐに効果があらわれる類のものではありません。
そもそも事故が起こり得ない環境を目指す技術的対策や物理的対策と並行して、セキュリティ教育を地道に続けていくのが唯一の方法といえるでしょう。
6. 法律事務所のセキュリティレベルを根底から上げるならシステムの力を借りよう
前章で「一番難しいのは人的対策」と述べましたが、それは逆にいえば、技術的対策と物理的対策はその気になれば結構なところまでできるということに他なりません。
特に、主要業務を支える基幹システムにおける対策は、簡単に手をつけられる部分ではないものの、手を入れたなら、かなりの効果を見込めるでしょう。
法律事務所の主要業務は、言うまでもなく事件処理であり、そのベースとなるのが案件管理ですが、管理業務に求められるセキュリティレベルは大変高いです。
それだけに、もしも現状Excelなどの汎用ツールで案件管理を行っているのであれば、やはりセキュリティ面での不安があります。
そんな不安を払拭し、法律事務所のセキュリティ強化を実現する解決策が、クラウドベースの法律事務所向け案件管理システムの導入です。
法律事務所の業務に特化したシステムであるため、セキュリティレベルの高さは折り紙付き。
主要業務の基盤として採用すれば、事務所全体のセキュリティレベルを根底から上げられます。
クラウドベースなので、オンプレミス(サーバーやネットワーク機器を自社で保有・運用する形態)で高いセキュリティレベルをクリアするために必要なコストも労力もかかりません。
セキュリティ対策の切り札として、法律事務所に特化した案件管理システムの導入はおおいに検討の価値があるのではないでしょうか。
|
kintoneベースのCloudBalanceはセキュリティレベルの高さが桁違い! |
|---|
 法律事務所に特化した案件管理システムの一つであるCloudBalanceは、サイボウズ社のkintoneを元に開発されています。 kintoneはISO/IEC27001、ISO/IEC27017を取得、政府情報システムのためのセキュリティ評価制度(ISMAP)のクラウドサービスリストにも掲載されている堅牢な基盤を持つクラウドサービスです。 きめ細かなアカウント管理機能、金融機関向けの「FISC安全対策設備基準」を満たしたデータセンターでデータ保管など万全のインフラ運用、セキュリティインシデント対応専門チームの設置など、全方位のセキュリティ対策を講じています。 大きな安心感を持って業務に臨める環境を実現する手段として、CloudBalance導入は有力な選択肢です。  |
7. まとめ
▼セキュリティ対策は次の3種類に分類されます。
・技術的対策
・物理的対策
・人的対策
▼技術的対策には以下のようなものがあります。
・OSやソフトウェアを常に最新バージョンにしておく
・ウイルス対策ソフトを導入する
・アクセス権を設定する
・バックアップを取る
・二要素認証を利用する
・パスワードマネージャーを利用する
・VPNの保守を徹底する
・ファイヤーウォールを設置する
・定期的なセキュリティ診断やセキュリティ監査を実施する
▼物理的対策には以下のようなものがあります。
・勤務時間外はPCを鍵付きキャビネットに格納する
・来客応対は執務スペース外の決められた場所で行う
・暗証番号、ICカード、生体認証などにより人の出入りを管理する
・監視カメラを設置する
・警備員を配置する
▼人的対策には以下のようなものがあります。
・セキュリティポリシーを策定する
・情報の取り扱いや機器の運用方法に関するルールを従業員に示す
・セキュリティ研修・教育を実施する
・業務・操作手順マニュアルを作成する
▼法律事務所のセキュリティを大幅に強化できる解決策は、クラウドベースの法律事務所向け案件管理システムの導入です。
