見出し画像

身近な疑問に答える情報セキュリティ対策【法律事務所向け】 その2

山本了宣

こんにちは。山本了宣です。

セキュリティ対策は、日常の業務に深く関わってくるものです。

「これまで○○してきたけど、これってそもそもOKだったのだろうか?」
「常識で考えたらこのくらい大丈夫そうに思うけど、実際のところはどう?」

そういった様々な疑問がわく場面もあるのではないでしょうか。

さる2022年、私の所属する大阪弁護士会の会員向け雑誌で、情報セキュリティについてのインタビューを受けました。

セキュリティについて予備知識が無くても分かるように、身近な疑問をベースに質問を投げてもらっています。

結果としてできあがった記事は、IT関連も、IT関連ではないことも含めて、身近なところから幅広く扱われた内容となり、お読みいただくと色々な疑問の解消に役立ちそうに思いました。

上記雑誌では、インタビューを受けた本人が自分のブログ等に記事を転載することが認められています。せっかくですので、ここでご紹介します。(内容に影響しない範囲で微修正した箇所があります)

今回は第2回です。

このインタビューは、基本的な取扱方法のサンプル(日弁連発行・意見照会等の段階のもの)の項目を参考にご質問いただいています。

1.組織体制についての考え方(人的・組織的な安全管理)

質問 まず、情報セキュリティの体制づくりには、人と組織と物と技術という4つの分野があると されています。人や組織という点については、どういった対策をしたらよいでしょうか。  

山本 小規模の事務所だと、⑴事務所として、セキュリティの担当者(1〜数人)を決める、(2)事務所としてのセキュリティルールを整備して、意思統一する、⑶各自が研修を受けたりしてリテラシーを高める、などが考えられると思います。

質問 事務員さんも入れて10人未満の事務所というイメージで今回はおたずねしていますけれども、そういった規模でも組織体制やルール作りは重要になるのでしょうか。  

山本 派手な組織編成をする話ではないと思いますが、事務所全体で意思統一できることは重要です。1つ分かりやすい例を挙げると、Wi-Fiのパスワードを依頼者に教えるというのは、回避すべきことです(後述)。でも事務所に5人のメンバーがいて、3人は分かっていても、2人が分かっていなければ、その2人が知らずにパスワードを教えてしまうかもしれません。セキュリティは、袋に1か所穴が空いたら水が全部漏れるというところがあり、全員の認識がそろっていなければ、お互いに迷惑をかけることになります。認識をそろえるためには、やはりルール作りが必要になってきます。

質問 基本的な取扱方法を決めて、これを読んでおいてというだけでは、やはりうまくいきませんよね。  

山本 普通に考えると、それでは無理だと思います。基本的な取扱方法については、日弁連から今後「サンプル」が提供されると思いますが、 それを自分で読解して、「はい分かりました、実行できます」という人はなかなか居ないと思います。実践的には、日常業務に即して、重要なポイントを箇条書にしたようなものを別途作るのが有効だと思います。たとえば、「Wi-Fiのパスワードをお客さんに教えたら駄目」ということは、1行書けば分かると思うので、そういったポイントを2〜3枚の紙にまとめて、それは全員で共有しておいたほうがいいと思います。口 だけだと忘れるので、紙でつくり、かつ、全員で眺めて、説明もして、認識をそろえるというイメージです。

質問 日常業務を基にポイントとなることを箇条書にしたものを2〜3枚でつくり、それを全員で読み合わせをするとか確認する、そういったことが重要だということですね。  

山本 覚書というイメージでいいと思っています。カチカチの文書では実践に落とせないので、日常に即してまとめた文書を考えたほうがいいと思います。むしろ、覚書からボトムアップで進むほうが、自分たちの活動を見直すという観点では有効になると思います。

質問 違う事務所の弁護士と共同受任するときや弁護団を組むときに、特別に注意することはありますか。  

山本 データの管理の仕方などについて認識をそろえる必要があります。実践論として真っ先に注意したほうがいいのは、クラウドサービスを使う場合だと思います。たとえば、うちの弁護団では全てこのサービスで共有するようにしましょう、メール添付は無しにしましょう、といった意思統一を事前にしておきます。連絡手段も、ビジネスチャットに統一するパターンも今は普通にあります。原則的なデータ共有方法は何か、原則的な連絡手段は何かなどについて、認識をそろえておきます。1〜2枚の文書に要点をまとめるだけでわかりやすくなります。もう一つ、クラウド系を使うときは、アカウントのログインの強さをそろえたほうがいいです。たとえば、お互いに二要素認証は確実にかけましょうといったことを決めます。

質問 二要素認証は全員個別にしなければいけないということですね。  

山本 個々人のアカウントに適用される設定ですので、個々人がおこなうことになります。1アカウントに対しては1回だけ設定をすればよいので、弁護団が1個生まれるたびに毎回設定をするということではありません。

2.職員の採用・教育など

質問 職員を採用した場合、情報セキュリティの観点から何をしなければいけないでしょうか。  

山本 職員を採用された場合は大きく3つあるかと思います。1番目に、契約レベルで秘密保持をきちっとうたっておくことです。一般企業であれば、常識として実施されていると思います。もし弁護士事務所でこれをおこなっていないとすると、「紺屋の白袴」になってしまいますし、依頼者から法律事務所に対する信頼という点から考えても、通常おこなわれるべきものと思います。2番目に、これからはクラウドサービスを使うケースも増えると予想されますが、職員のアカウントをどうするかという整理が要ります。 わかりやすく悪いパターンを挙げると、「新職員Aさんのメールアドレスが必要だ→その人が昔から使っているGmailのアカウントをそのまま持ち込んで業務を始めてもらった→業務中のあらゆるデータが個人Gmailに蓄積される→その個人アドレスを持ったまま退職する」 というものです。業務期間中のデータが全部外に出て行く結果になるのが分かると思います。こういうあたり、ITと物理とで全然違うところですね。よいやり方は、組織版のライセンスなどを使って、職員にアカウントを配る(貸す)という形にすることです。従業員100人の企業を想像すると分かりやすいですけれども、こういう場合、企業としてサービスを契約して、従業員にアカウントを配る形が自然ですよね。これと同じことで、弁護士または法律事務所としてサービスを契約し、事務員さんにアカウントを配るという発想にします。退職した場合は、そのアカウントを停止するだけで、中のデータは全部回収できます。3番目は、先ほどの教育の話です。うちはこういうやり方だからと、トレーニング的に分かりやすく説明することです。

質問 弁護士のアカウント情報やパスワードを全て事務員さんと共有してしまうのは問題でしょうか。  

山本 原則論として、通常は回避すべきものです。理由は大きく 3つあって、第1に、そもそも規約で禁止されているケースが多いです。第2に、禁止されていなくても、複数の人がアカウ ントを触ると、誰が何の操作をしたのかが分からなくなるし、誤操作で消えたりするリスクも増えます。第3にログイン管理がおかしくなりがちで、共有するのでパスワードが漏洩しやすくなりますし、「複数人でログインしたいから二要素認証は無しにする」、なんてことが起きます。今どきのクラウドサービスであれば、1アカウント=1自然人として設計されていることが多いです。複数人で触りたい場合には、各自が自分のアカウントを持った上で、サービス内のデータ共有機能を使うのが一般的です。「オペレーター」のようなユーザー追加ができる枠組みもあります。ただ、例外論的な話をすると、上記のように整理されたサービスは、ある程度新しいサービ スとも言えます。もっと古いサービス、あるいは、新しくても簡略化された設計のサービスだと、数人程度でアカウントを共有することが想定されている場合もあります。身近な例でいくと、ある著名レンタルサーバー(Webサイトを載せるもの)の安めのプランでは、ユーザー追加機能がそもそもなく、組織内で数人程度は同一アカウントを利用していく想定に見えました。ですので、思考手順としては、「アカウント情報の共有は回避すべし」と考えてみた上で、「これこれの特殊事情があるから、例外的なケースかも?」と検討するイメージになると思います。

3.物理的な安全管理措置

質問 物理的な安全管理措置としてはどのようなことをしておけばいいでしょうか。  

山本 典型的には入退室の管理があります。誰かがすっと中に入ってきて、気づかれずに行動できてしまうというような動線が作れると問題があるのは分かると思います。部屋の構造は変えられないことも多いと思うので、人の配置などでも対策できます。あとは警備システムの導入などがあります。

質問 例えばキャビネットに鍵をかける必要があるかどうかなど、先生の感覚としてはいかがでしようか。  

山本 意外と悩ましいところだと思います。記録は貴重品ですが仕事道具でもあり、出し入れが多いと思いますので。このあたり、「鍵は当然こまめにかけます!」とでも答えておけばある意味では無難なのですが、ただ、実益の乏しいルールや、過度に利便性を落とすルールは、結局は形骸化や潜脱的な運用(たとえば鍵は差しっぱなし)を招いてしまい、マイナスになりうるということも言えます。鍵の目的としては、⑴部外者が触れない、⑵ 内部でも権限の無い人に触らせない、⑶そもそも外に出る機会を限定することで想定外の事態を防止、といったことが挙げられます。ですので、このあたりがコントロールできるか、リスクが現実にどの程度かなど、事務所の実情で意思決定していくことになるように思います。

質問 相談室の音漏れはどうでしょうか。小さい事務所だと、パーティションで区切っただけというところもあります。  

山本 形式論を言えば、相談の声が漏れたら困りますよねというのはそのとおりです。しかし、物理的に無理だという事務所もあると思います。あまり打合せが重ならないようにするとか、声を落とすとか、ある程度運用で工夫する場面も出てくるように思います。関連で、事件記録や背表紙が、お客さんから見える状態がよくないということは言えます。 ここは努力で何とかなるはずです。背表紙の情報も十分にセンシティブですので。

質問 背表紙に罪名と被告人名が書いてあれば、普通はドキッとしますね。  

山本 一般の方でも、誰と誰が知り合いかなんて分からないわけですし、知っている人の名前が見えたということもあります。そうでなくても、今の時代、名前をインターネットで検索したら個人を簡単に特定出来たりもします。この辺は10年前とはずいぶん違ってきていると思いま す。

4.技術的な安全管理措置アアカウント管理及びアクセス制御

質問 例えばクラウドやeメールにアクセスするためのパスワードを忘れてしまうので、最近ではいつも同じパスワードを使っているというのは問題ですか。  

山本 これは危険です。パスワードの「使い回し」と呼ばれるものです。クラウドサービスに事件記録を入れるということを想定すると、そこに大量の情報が蓄積されることになります。ログインが破られたら、そこにある情報は全部漏洩ということになります。たとえば、事件記録が300件漏洩しましたとかいうことになります。パスワードの使い回しが危ないのは、別のサービスからパスワードが漏れることがあるからです。有名な事例では、数年前に、ファイル転送を提供する著名サービスから480万件のパスワードが読める状態で漏洩したことがあります。もし 「使い回し」をしていると、その漏れたパスワードで、別のサービスにログインできてしまいます。

質問 複雑なものをつくればつくるほど、そんなにたくさん覚えられないので、複雑なものをつくったときは、それを使い回しているということがありますね。  

山本 それが言わば落とし穴です。

質問 なにかいい対策はないでしょうか。  

山本 自分でつくったり考えたりしないというのが1つのアプローチです。パスワードマネージャーと呼ばれるジャンルの製品があって、自動でランダムなパスワードをつくって覚えてお いてくれるんです。これであれば、楽だし、使い回しはしなくていいし、予想できるものにもならないし、私はこちらのほうが現実的な対策だろうと思っています。

質問 逆に、そっちから漏れないかなとの不安はありませんか。  

山本 銘柄にもよりますが、技術的には、ほぼ破れないなという感じで安全につくられています。多くの場合は、パスワード自体をPC上で暗号化してから保存しているので、預かる業者自身もパスワードは読むことができません。もちろんこの世に絶対というのは無いのですが、ただ 「結局、弱いパスワードを作ったり、使い回しをしたりする」という現実を考えると、総合的にはパスワードマネージャーのほうが安全だと判断しています。

質問 自分で管理する場合に、いいパスワードをつくるコツみたいなものはありますか。  

山本 よく言われているのはパスフレーズというもので、ある程度意味のある単語をたくさんつなげるという方法です。ただ、これもアカウント数が増えると段々つらくなってきます。

質問 次に、二要素認証(多要素認証)について教えていただけますか。  

山本 これは非常に大事です。条件反射的に、「つけられるものは全部つける」というぐらいに 思ったほうがいいと思います。よくあるのはSMS 認証です。自分の携帯電話番号をサービスに登録しておくと、新しいPCなどからログインするときには、ショートメッセージで数字などが送られてきます。この数字を入力して初めてログインできます。つまり、もし赤の他人が、パスワードを予測するところまで成功してしまったとしても、携帯電話は奪えていないので、この数字が分からなくて、ログインに失敗することになります。パスワードが仮に弱くても、二要素認証のほうでかなりの確率で助かります。簡単で強力なので、非常におすすめです。もしパスワードが弱いと思ったら、優先順位としては、先に二要素認証を設定して、そのあとでパスワードを強化してください。補足ですが、最近では、「パスワードレス」 というキーワードがあります。人間はパスワー ドを覚えられないし、使い回しするし、不正ログインのかなりの割合がパスワード由来なので、パスワードという存在は仕組み自体に限界があると言われています。パスワードを使わずにログインできる枠組がベターだというわけです。自分のアカウントは、パスワードに依存せずに守られているかと考えてみるのが有効です。 SMS 認証などは、パスワード以外でアカウントを守る一方策と言えます。

質問 山本先生ご自身は、二要素認証で何を使っておられますか。  

山本 私の場合は、スマートフォンに入っているMicrosoft Authenticatorなどでやっていることが多いんですけれども、多分ハードルが上がるので、SMS認証でよいと思います。前者のほうが幾分安全とされますが、詳しくない方にとっては誤差の範囲だと思います。

ソフトウェア及びサービス  

質問 次に、ソフトウェアなどについてですけれども、事務所内で使うソフトウェアをあらかじめ 統一・制限しておいたほうがいいのでしょうか。  

山本 事務員さんのクラウドは明確に管理した方がよいです。事務員さんが自分の判断で勝手にクラウドサービスのアカウントを作って、色々バックアップしているんですみたいになると、 情報の所在が管理できてないことになります。 先ほど説明した退職時の問題も出てきますよ ね。少なくとも事務員さんに関しては、「公式」 サービスを明確にし、それ以外は勝手に使って はいけないというメッセージが要ります。ソフトウェアという話になると、クラウドサービスとニュアンスが変わってくるところがあります。ソフトウェアはたくさん種類があって、一々全部列挙し切れないので、事務員さんの場合は弁護士に一声かけて確認といったやり方が考えられます。フリーソフトを何も考えずにぽんぽん落として使うというのは、意識が低い状態ですので、気をつけてください。弁護士同士の場合は結構話が難しくなってきます。まず、事務所として統一的な体制を敷いているところは、「公式」を決めたらよいと思います。逆に、お互いに活動の仕方が全然違って独立性が高い場合、個々の弁護士が責任を持って何かしら選定するしかないという部分が出てくると思います。その場合でも、安全なクラウドサービスの選び方とか、ログインの守り方とかの、最低線の認識をそろえることはしたほうがいいと思います。

質問 クラウドにデータをアップロードして、ダウンロードできるサービスで、パスワードを入れなくてもダウンロードできる場合があるけれども、あれは安全なんですか。  

山本 一時リンクですね。一般論としては、そのURLが1週間とか短期間しか効力がなく、予測できないランダムで長いものになっている、そして、当該サービスが情報を秘匿する想定でつくられているなら、「パスワードが無いから危険」という話ではないです。ただ、サービス自体の銘柄の善し悪しは気にしてください。また、可能であれば、共有フォルダなど、特定のアカウントでログインしなければ見られないエリアにデータを置くやり方が確実です。

質問 事務所のメールの設定を業者に委託する場合に気をつけなければいけないことはありますか。  

山本  設定自体に関しては、信頼できる業者に依頼すること、セキュリティ上プラスになる設定を考えてもらうこと、設定内容をきちんと書き残してもらうことなどが考えられるかと思います。関連で気になったのは、今使っているメールサービスが本当に信頼できるか、見直していただくことは有益と思います。メールの信頼性には、ウイルス対策の有無やなりすまし対策の有無、送受信経路の暗号化、などのファクターがあります。このあたり、サービスによってはほとんど頑張っていないことがあります。たとえばインターネットプロバイダのメールとかレンタルサーバーのメールで、「20年前のまま止まっているな」という印象のサービスを複数見たことがあります。逆に、たとえばGoogleや Microsoftのメールだと、前記のようなことはかなりの程度対策されており、簡単に言うと 「サービス側が色々と防御してくれる」感じです(ウイルスが全くこないという意味ではありません)。

質問 取扱方法のモデル案では、委託するときには守秘義務を取り交わせと書いてあるんですけれども、一般的なサービスで可能なのでしょうか。  

山本 形式論としては委託時の契約内容をコントロールせよということになるのですが、クラウドサービスなどで、実際に契約内容をカスタムできるサービスは少ないと思います。多くの場合は、規約に問題の無いサービスを選ぶ、ということになると思います。

質問 規約を読んでも結局解釈に悩むなんてことも起きそうですが、何かいい対策はないでしょうか。  

山本 規約を読んでも問題あるか無いか確定できないというのは、現実には起きてくると思います。実践論としては、例えば政府の調達基準を満たしているサービスなどであれば、規約の心配は余りしなくてよさそうです。「ISMAPクラウドサービスリスト」というキーワードで検索してもらうとすぐに出てきます。また、定評あるビジネス向け•有料のサービスであれば、規約の問題は少なそうだという 「期待」は成り立ちます。一方で、個人向け•無料などとなると、規約をより神経質に読む必要が出てくると思います。

ハードウェア  

質問 次に、ハードウェアについてお伺いしたいと思います。サーバーはあったほうがいいのでしょうか。 業者から、サーバーは高額なので安価なNASを勧められたんですけれども、サーバーと NASの違いなど、そのあたりはいかがでしょ うか。  

山本 今後は、事件記録の原則形態がデータになることが予想されます。すると、データ喪失の影響が甚大なものになります。データのバックアップは必要ですし、サイバー攻撃対策なども必要になってきます。今から買うという場面を想定した場合、そもそも所内基盤がどこまで実践的かという問題があります。所内の設備で対応するのは技術的にも費用的にも実はかなりハードルが高いため、 数人程度の事務所であれば、もうクラウドサービスに行くほうが簡単で、安全性も確保しやすい(正しく使う必要はあるものの、機械を維持管理するよりは簡単)という感覚を私は持っています。また、データは必要な人だけに見えるように絞るのが基本で、これを「アクセス管理」と言います。アクセス管理もだいたいクラウドのほうがやりやすいです。

質問 アクセス管理というのがイメージしにくいのですが、具体的にどんな風にできるのでしょ う。そもそも誰ができるのかといったことなのですが。  

山本 弁護士業務に即して言うと、どの案件のデータを誰が見られるんですかという話になります。このフォルダは依頼者Aさんの案件、このフォルダは依頼者Bさんの案件というふうに 分かれているとします。大方のクラウドサービスでは、そのフォルダを右クリックしたら、誰にそのフォルダを見せるかという設定ができます。フォルダをつくった人自身が最初の設定をできるというのが一般的です。なので、日常の業務で言うと、事務員さんがフォルダを作り、そのまま共有の操作をして、誰々弁護士と誰々事務員だけが見えるようにすることになると思います。

質問 所内のサーバーだとどうなるでしょうか。  

山本 基本的には似た感じです。ただ、操作が簡単かどうかという話があって、大体は、クラウドのほうが簡単に設定できます。

質問 バックアップは何日に1度すればいいでしょうか。  

山本 明確なルールがあるものではないですが、最悪何日戻れたらいいのかという考え方になります。本当にこの機械が壊れたときに、何日戻せたら助かると思いますかということです。それなりの企業であれば、1時間に1回バックアップをとっているなんていうのもあります。これも自前でやると大変なわけですが、クラウドサービスだと、月1000円やそこらのプランでも、秒単位で常時バックアップができ、ファイルの更新が100世代残っていて、いつでも巻き戻せたりします。

インターネット接続  

質問 続いて、インターネット接続についてですけれども、イメージとして、所内でWi-Fiを飛ばすと盗聴されないかという不安がありますが、やはり有線でつないだほうが安全なんでしょう か。  

山本 Wi-Fiが駄目というところまでの話ではないですけれども、もし有線が使えるんだったら、 そのほうが安全性は確保しやすいと思います。私自身は結構有線を使います。Wi-Fiのパスワードはきっちり強くしていただく必要はあります。それと、依頼者に事務所のメインの LANのWi-Fiにつながせるというのは、やっては駄目です。設定によりますが、所内サーバーの中身が見えたりします。

質問 事務所にお客さんが来て、ちょっとインターネットにつなぎたいんですけどと言われたら、 どのようにつないでもらうのがいいんでしょうか。  

山本 ゲストWi-Fiというのを使ってもらうのが一般的です。最近の機械で、ほどほどのグレードの機種だったら、多少の設定で使えるようになっていると思います。それを使うと基本の LANとは分離した接続がつくれますので、それで使っていただくという感じです。

リモート接続  
質問 コロナ禍で事務員さんにリモートで働いてもらっているところもあります。リモートで所内のパソコンにアクセスしてもらう場合に注意すべきことはありますか。  

山本 リモートでデータを触るという観点では、そもそも論としていくつかのアプローチがあります。総務省の『テレワークセキュリティガイドライン』(第5版、2021.5)という文書では、 7つの類型に整理されています。「リモートで所内のパソコンにアクセス」となると、リモートデスクトップと呼ばれるタイプですが、このアクセス経路を利用してマルウェア(ウイルス)を送りこまれる事例も多いのと、技術者がいない前提だと設定ミス•管理ミスのリスクも無視できないので注意が必要です。有名どころでは、2020年4月にNTT東日本とIPAが共同開発した「シン•テレワークシステム」は、目立った問題は報告されていないのと、設定ミスをしにくいものになっており(重要)、選択肢になりそうです。あとは、クラウド化を進めている事務所であれば、原則的にクラウド上で仕事をしてもらうというやり方もあります。本当にクラウドで完結できるならば、「Chrome Book」などの、安価で管理のききやすい端末も候補に入ります。

※1 弁護士情報セキュリティ規程:令和4年(2022年)6月10日の日本弁護士連合会第73回定期総会で成立。成立の日から2年を超えない範囲内において理事会で定める日から施行される。

※2 組織編成について:たくさんの従業員を抱えている会社であれば、セキュリティ担当の役員を設置したり、事故対応のチームを作ったりといった、文字通りの組織作りが期待されます。数人規模の法律事務所では、相応にシンプルな形になると思います。

※3 サンプルの性格:弁護士情報セキュリティ規程の枠組みでは、法律事務所のセキュリティルールは、個々の法律事務所が自らの責任で定めることとなっています。弁護士情報セキュリティ規程には、セキュリティ対策の抽象的な大枠だけが定められています。また、「サンプル」に規範としての性質はありません。

※4 二要素認証:ビジネスアカウント(組織向けに提供されるもの)の配下で作られているアカウントなどであれば、管理者設定で、二要素認証を強制することもできます。

※5 アカウントの共有:禁止はしていないが、非推奨という書き方の場合もあります。

※6 二要素認証:サービスで表示されるQRコードをスマホアプリで撮影しておくと、以後、30秒ごとに切り替わる使い捨ての数字(一時パスワード)がスマホアプリに出てくるようになります。

※7 メールでデータを送る:Dropboxなどのサービスを例に取ると、「フォルダを作る→見せたい相手のアカウントを指定して、そのフォルダを共有する→フォルダにデータを入れる→フォルダにデータを入れたことをメールで伝える」という手順になります。メール上を一度も秘密情報が流れないことに着目してください。

※8 GoogleやMicrosoftのメール:」もし利用する場合はビジネス版を利用してください。

※9 総務省テレワークセキュリティガイドラインの7類型:VPN方式、リモートデスクトップ方式、仮想デスクトップ(VDI)方式、セキュアコンテナ方式、セキュアブラウザ方式、クラウドサービス方式、スタンドアロン方式の7つです。

本記事は、月刊大阪弁護士会2022年10月号「会員お役立ち情報 第3回 情報セキュリティ ~対応編(安全管理措置)」を掲載したものです。
上記記事について、「同誌掲載記事の執筆者や同誌掲載インタビューの対象者が自ら発行する書籍・雑誌等の媒体、及び同人が自ら管理するホームページ・ブログ等に転載可能」であることにつき、大阪弁護士会に確認済みです。

この記事が気に入ったらサポートをしてみませんか?