法律事務所も標的【半蔵門ビジネス雑談】20210311
サイバー攻撃の目的は、システムに負荷をかけてダウンさせること、ウィルスに感染させて情報を盗み出すこと、などが中心だ。システムダウンは、業種や職種、企業規模は問わずに業務の運用にダメージを与える。情報の盗み出しも、人事情報や顧客情報など、どの企業にもあるであろう重要情報、公開されたくない情報が狙われる。また、どちらも損害を与えられてしまえば、そのこと自体と同時に、セキュリティに脆弱性があったことで、信頼を損ねることになる。
盗み出す情報は、機密性が高ければ、悪意あるハッカー、クラッカーにとって価値がある。人事顧客情報ももちろん重要だが、特許や技術情報、あるいは、契約に関わる情報、訴訟に関わる情報、などはさらに企業にとってセンシティブになり、被害をもたらす度合いも大きい。こうした情報は、個別の企業が保有しているが、それらが各企業以上に集積しているところがある。それは、法律事務所だ。1社ごとにアクセスして盗み出すより、複数の企業と契約し、機密情報を扱う法律事務所のシステムに潜入すれば、まとめて盗み出すことが可能だ。
ついに、法律事務所が標的となる状況になってきてしまった。
法律事務所、サイバー攻撃の標的に 大手が対策強化
https://www.nikkei.com/article/DGXZQODZ103K80Q1A210C2000000/
折しも、日本では、紛争解決に関連するITの活用が進み始め、裁判システムのIT化も本格化してきた。デジタルでの書類提出や、Web会議による準備処理、裁判外紛争解決でのWeb活用した期日の手続きが急ピッチで進んでおり、法律事務所や紛争解決機関でのシステム化、システム活用、ITシステムの導入が始まっている。当然セキュリティシステムも構築されていくが、実際に運用には経験値の浅い組織は、セキュリティへの脆弱性への不安もぬぐいきれない。セキュリティ対策は、システム導入とその運用をセットで考えるべきだからだ。
対策は、ファイアーウォールやVPN、各PCへの監視強化、ウィルス検知、など基本的なことはもちろん、まさに今進められている訴訟手続きのデジタル化、関連システムの導入、さらには運用時の不正アクセス対策、本人確認などがポイントとなってくる。
堅牢なシステムを導入したとしても、そのシステムにアクセスしてくる人が本人でなく、なりすました人物なら、それを防がないと防御するシステムもないと同じ。
運用上のアクセスコントロールは、IDとパスワードや指紋認証、IDカード、最近なら虹彩認証などいろいろある。覚えにくいパスワードや頻繁な変更要請により覚えられなくなってメモがモニタに貼ってあるとか、カード管理が面倒なので入れたままにするとか、人的なものぐさに陥らないようにという「いつか来た道」には用心だ。