目次
なぜ法律事務所はセキュリティ対策を強化するべきか
法律事務所は、企業の財務情報や知的財産(intellectual property)、企業の合併、買収に携わる情報など機微な情報が集約されています。仮にランサムウェアなどの被害に遭った場合、取引先となる企業の情報漏洩が発生してしまうと大きな損害を与えてしまうでしょう。
法律事務所によっては企業秘密に当たる機微な情報を保有していないため、セキュリティ対策は不要と思われている方もいらっしゃるのでは無いでしょうか?
結論から申し上げると、そのような法律事務所でもセキュリティ対策は必須です。重要な情報かどうかは、サイバー攻撃者が決めることです。また、盗み取った情報を利用して新たに攻撃を仕掛ける「踏み台」に利用される恐れがあり、巻き込まれないためにはセキュリティ対策は必須です。
あまりインターネットに接続しないPC端末であっても、USBメモリなどを経由してマルウェアに感染してしまうケースもあります。そういった端末は感染していないと思い込みインターネットに接続した瞬間、情報が盗まれてしまうこともあるでしょう。
近年は依頼者とのやり取りがメールや電子文書が中心となっており、デジタルデータを取り扱うことが必須となっています。行政もIT化を進めているため、インターネットの接続は必須となりセキュリティ対策を考慮する必要があります。
Morphisec(モルフィセック) | 攻撃を成立させないエンドポイントセキュリティソリューション
Morphisec(モルフィセック)は、マルウェアの攻撃そのものを成立させないセキュリティ製品です。シグネチャ不要の防御手法のため、頻繁な更新、オフライン環境、端末動作が軽いことも特徴です。
サイバーセキュリティのトレーニングだけでは不十分?
2022年、アメリカ法曹協会の調査によると、100人を超える法律事務所では100%サイバーセキュリティに関するトレーニングを受けているとの結果を公開しています。しかしながら、サイバー攻撃の90%以上がフィッシングメールから始まり、97%以上のユーザが巧妙なフィッシングメールを認識できていないことが現状です*1。
近年のEmotetによる標的型メールは、トレーニング内容を遥かに超えています。ユーザ自身が送信した内容に対して関係のある内容を自然と送りつけてくるため、メールを開封させる技術が巧妙化してきていると言えるでしょう。つまり、フィッシングメールを認識するトレーニングの他に、セキュリティソリューションを導入することを推奨します。
多くの法律事務所でサイバーセキュリティの担当者が不在?
「The 2021 ABA Legal Technology Survey Report」によると、法律事務所内に専任の情報セキュリティ責任者は不足していると発表しています。セキュリティ責任者がいる法律事務所は、弁護士数100~499人規模で13%、500人以上の規模で16%と、一部の大規模事務所に限られています*2。
クライアント企業の重要な情報を持つ法律事務所は、組織専門のセキュリティ責任者を雇うべきですが、経済的な理由などで後回しになっていることが考えられます。
サイバー攻撃者が法律事務所に侵入を仕掛ける手口
フィッシングメール攻撃
- なりすましメールに添付しているファイルを解凍、実行させ、マルウェアに感染
- メールに記載されているURLリンクに誘導し、遷移先のWebページでマルウェアに感染
ウェブサイトから感染
- 改ざんされた正規のウェブサイトにアクセスして感染
- 不正ネット広告を閲覧することで感染
- ウェブサイトからダウンロードしたファイルを解凍・実行して感染
VPN機器からの感染
- 旧型VPN端末の脆弱性を狙われて感染
- ソフトウェアのアップデートが遅れ、脆弱性を狙われ感染
- 公衆Wi-Fi(空港やカフェなどに設置されているWi-Fi)の通信が暗号化されていなく、VPNのアクセス情報が漏れて感染(偽アクセスポイントのケースもあり、接続してしまうと情報を盗聴されてしまう恐れがある)
リモートデスクトップからの感染
- Windowsのリモートデスクトップ用プロトコル(RDP)機能で外部ポートを公開している端末に対して、ID/パスワードの総当たり攻撃(ブルートフォース攻撃)で侵入されて感染
- RDP機能でクライアントからの接続待ちとなっているポートに対してBluekeep攻撃で感染
法律事務所のサイバーセキュリティで求められる要件
上記で述べた通り、専任のセキュリティ担当者が不在ある状況を鑑みる必要があります。専門の知識を必要とせず、運用業務がなくても防御性能を低下させないセキュリティソリューションが必要ではないでしょうか。
具体的には、法律事務所の方へサイバーセキュリティ対策を提案する場合、以下のことを考慮する必要があるでしょう。
■システム負荷
- 古いPC/OSを利用していることを想定とすること
- 過去、ベンダに委託し開発した独自のアプリケーションを使用しており、アプリケーションの動作に影響を与えないこと
■運用
- セキュリティ専任者が存在しないことを前提として、セキュリティ運用の作業負荷がかからないこと
- 誤検知、過検知が発生せず運用の負担が増えないこと
■導入の手間
- 専門知識が不要で、設定が容易かつ短時間の作業で完結すること
- 導入時に他のアプリケーションの設定変更が不要なこと
■防御性能
- 侵入経路に依存せず全方位で対応できること
- ゼロデイ攻撃などの最新かつ高度な攻撃にも対応していること
- マルウェアが既知、未知を問わず対策ができること
法律事務所が持つ重要な情報を守るセキュリティ製品を提供
法律事務所のセキュリティ要件を満たすセキュリティソリューションは限られています。しかし、このような要件を満たしているセキュリティ製品を弊社で取り扱っています。
Morphisec(モルフィセック)という、セキュリティ製品は上記の法律事務所のサイバーセキュリティ要件を満たしており、セキュリティ専任者が不在な病院などにも問題がなく導入・運用されています。
Morphisec(モルフィセック) | 攻撃を成立させないエンドポイントセキュリティソリューション
Morphisec(モルフィセック)は、マルウェアの攻撃そのものを成立させない「エンドポイントセキュリティ(EPP)」です。セキュリティ製品として既知・ゼロデイ攻撃の対策、多層防御での活用、オフライン端末の保護の理由から選ばれています。シグネチャ不要の防御手法のため、頻繁な更新、オフライン環境、端末動作が軽いことも特徴です。
従来型のアンチウイルスは、防御性能を低下させないためにもアップデートを必須としています。しかし、Morphisecは船舶内や工場内などのアップデートが行えないネットワークに接続されていない環境においても導入が進んでおり、万が一アップデートをし忘れたとしても防御性能を低下させません。
法律事務所から大企業、船舶や工場、病院といった幅広い規模、業界に導入実績があるため、詳細な案内が必要であればお気軽にお問合せください。
脚注(参考文献一覧)
※1 ABA|2022 Cybersecurity(参考日:2023-02-14)
※2 ABA|2021 Cybersecurity(参考日:2023-02-14)
