IBMとポネモンによると、データ漏洩の平均コストは435万ドル(約4億7000万円)にも上る!企業がサイバーセキュリティに多額の投資をする必要性を感じるのも無理はない。毎日大量の顧客データを扱うリーガルテック企業にとって、そのリスクはさらに高い。データ侵害は、直接的な金銭的影響だけでなく、深刻な風評被害を引き起こす可能性があり、その修復ははるかに困難であることが多いため、サイバーセキュリティは法律専門家にとって最優先事項となっています。デジタルの世界が進化するにつれ、機密情報を保護するための戦略も、ますます高度化する脅威に対応する必要があります。
欧州リーガルテック協会(ELTA)は、今日のサイバーセキュリティの第一人者をデジタル会議室に集めた。 ローランド・デルルーAikido Securityの共同設立者兼CRO、 アイダス・カヴァリスアンバーロ共同創業者兼製品責任者 ウーター・ヴァン・レスパイユHenchman共同創業者兼CTO ミヒエル・デニスHenchmanの成長責任者であるMichiel Denisが、リーガルテック企業に強固なサイバーセキュリティフレームワークを導入する方法について、それぞれの専門知識と見識を共有します。
高まるサイバーセキュリティの重要性
すべてのリーガルテック・アプリケーションが満たすべき基本的なサイバーセキュリティ基準とは何か、そしてこれらの基準は新たな脅威とともにどのように進化してきたのか。Aikido Securityの共同設立者兼CROであるRoeland Delrue氏は、安全なリーガルテック・アプリケーションの開発はコードから始まると強調する。
- プログラマーはコードでアプリを書いている。セキュリティの最初のレイヤーは、コード自体が安全であることを保証することだ。
- コードの準備が整うと、通常はコンテナで出荷される。コンテナはスキャンと監視が必要な第二のレイヤーとなる。
- 第3のレイヤーは、アプリケーションがデプロイされる クラウド環境だ。
第4のレイヤーは、ユーザがアプリケーションにアクセスするためのドメイン(login.comやapp.com)である。
コンプライアンスと継続的モニタリング
Henchmanの共同設立者兼CTOであるWouter Van Respaille氏は、次のような業界標準に準拠することの重要性を強調した。 ISO 27001や SOC 2.これらの認証は単なるチェックボックスではなく、ベンダーがセキュリティに真剣に取り組んでいることを示す指標である。同氏は、これらの認証を取得していない企業は、セキュリティに必要なリソースやコミットメントが不足している可能性があると指摘した。
コンプライアンスにとどまらず、継続的な監視とバグ報奨金プログラムのような独創的なアプローチは極めて重要である。これらのプログラムには、システムを継続的にテストする倫理的なハッカーが参加しており、従来のスキャン・ツールを超えるセキュリティの追加レイヤーを提供している。ヴァン・レスパイユ氏は、Henchman社のアプローチを次のように語っている。「Aikido 当社のインフラとコードの両方を継続的にスキャンしています。さらに、バグ賞金稼ぎのためにIntigritiを使用しています。これは、ソーシャルハッカーの集団が当社のシステムを創造的に調査・探索するものです。従来のスキャン・ツールに比べ、このアプローチははるかに革新的です。また、Phishedを使って全従業員にフィッシング・シミュレーションを送信し、ゲーミフィケーションの要素を加えながら、フィッシングやセキュリティに対する意識を高めています。終わりのない機密データを扱う企業として、すべてを自社で行うのではなく、このようなパートナーシップを持つことが重要です。"
サイバーセキュリティは複雑な問題であるため、Amberlo社の共同設立者兼製品責任者であるアイダス・カバリス氏は、ベンダーを評価するために第三者を入れることが賢明であると指摘する。「その分野の専門家であれば、自分では思いもつかなかったような発見をすることができます。ISO27001やSOC 2規格が導入されていても、その証明書が現実と一致しているかどうか、どうすれば確認できるのでしょうか?専門家は、適切な質問をし、適切な事項が前もってチェックされていることを確認するのに役立ちます。"
法的データは非常に機密性が高く、貴重である
パネリストは、リーガルテック・アプリケーションは他のウェブ・アプリケーションと比較してユニークなサイバーセキュリティの課題に直面しており、金融機関とともにハッカーの最重要ターゲットであることに同意している。法務データは、金融データと同様、非常に機密性が高く、貴重なものです。「金融機関が金銭を扱うのに対して、法律事務所は顧客情報を管理しており、侵害された場合、より大きな被害をもたらす可能性があるという違いがあります。最近、法律事務所がハッキングされ、そのクライアントを標的にした攻撃がいくつかありました。したがって、法律事務所は間違いなく最もリスクの高いセクターのひとつだと思います」とカバリスは言う。
Delrue氏は、取り扱うデータの価値は、必要とされるセキュリティのレベルに影響するため、留意するよう促している:「例えば、契約書を保管せずにレビューするだけのリーガルテック業者と、多数のクライアントの実際の契約書を保管している業者とでは、大きな違いがあります。保有する機密データが多ければ多いほど、ランサムウェアやデータの売却によって金銭を脅し取ろうとするハッカーにとって、魅力的なターゲットになります。したがって、あなたがリーガルテックのベンダーであろうと消費者であろうと、潜在的な悪意のある行為者にとってのあなたのデータの機密性と価値を評価する必要があります。データの価値が高い場合は、一般企業よりも厳格なサイバーセキュリティ対策を実施することが極めて重要である。"
リーガルテック・セキュリティの評価
リーガルテック製品のセキュリティを評価する際、法律事務所は扱うデータの機密性と量も考慮し、アプリケーションに必要なセキュリティ対策が施されていることを確認する必要がある。
リーガルテックのプロバイダーとして、カバリスは顧客から3つのことを求められる:
- ISOまたはSOC 2認証、GDPRコンプライアンス調査票。
- 外部のサイバーセキュリティ評価:大規模な法律事務所では、外部の専門家を招き、アンバーロに適切なテクノロジーとポリシーが導入されているかどうかを深く掘り下げる技術セッションを依頼することが多い。
- そして時折、セキュリティ・インシデントの歴史がある。「幸いなことに、これまで大きなセキュリティ・インシデントは発生していません。2017年にアンバーロを立ち上げて以来、有名なハッカーの拠点から我々のシステムに侵入しようとする試みを毎日のように目にしてきました」とカヴァリスは言う。
簡単にチェックできるのは、企業がISO 27001やSOC 2に準拠しているかどうかだ。しかし、Delrue氏は、これらの認証の内容を理解することの重要性を強調する。Delrue氏は、ISO27001やSOC 2は、長いセキュリティ・アンケートに答えるための近道であり、⅔のボックスに自動的にチェックが入るものだと考えている。しかし、SOC2ではカバーされないマルウェアスキャンなど、認証ではカバーされないものもあります。そのため、場合によっては標準的なISO認証では不十分で、より深い質問を追加した方がよいかもしれません。
オンプレミスかクラウドか?
GPTやその他のAI技術がもたらす急速な進歩に伴い、法律事務所におけるテクノロジーの評価はますます重要になってきている。しかし、オンプレミスかクラウドホスティングかという議論は常に存在する。これが何を意味するのか、まず見てみよう:
- オンプレミス型ソフトウェア:顧客が物理的にサーバーを所有し、そこでアプリケーションをホストする。
- プライベート・クラウド:マイクロソフト・アジュール、グーグル・クラウド・プラットフォーム、AWSを採用し、自社のネットワーク内ですべてのアプリケーションを実行する。
- クラウド:アプリケーションは完全にクラウド上で実行され、顧客はその技術を適応させる。
「車にはねられたくないから、ずっと家にいる。あるいは、実際にどこかに行って、道を渡るときはまず左右を見て安全を確認する。"
ヴァン・レスパイユはこの例えを使って、オンプレミスとクラウドを比較している。彼の見解では、オンプレミスに留まることは時代遅れである。「それは、多くのイノベーションから排除されることを意味します。すべての法律事務所にアドバイスしたいのは、クラウドを全面的に受け入れつつも、思慮深くアプローチすることです。セキュリティ・チェックリストがあることも知っておいてください。これらのチェックリストは、過度に複雑であったり、リソースを必要とするものである必要はなく、採用したいツールを評価するための基本的なアンケートで十分です。このアプローチにより、セキュリティの初期レイヤーが構築され、実際に何を購入するのかを明確に理解することができる。要約すると、「フルクラウド化を進めるが、どのツールを採用するかは知っておこう!」ということだ。
一定の基準を満たせば、デルル氏はオンプレミスも正当な選択肢だと考えている:「一流のオンプレミス・プログラムがあり、オンプレミスの管理方法を熟知した専任のセキュリティ担当者がいるのであれば、オンプレミスは間違いなく有効な選択肢です。しかし、質の高いオンプレミスのセキュリティは稀だと彼は考えている。「非常に専門性の高いクラウド・プロバイダーを相手にしていて、オンプレミスを管理する社内リソースがないのであれば、クラウド版を利用した方が安全でしょう。つまり、基本的にはリスクアセスメントなのだ。リスクをどこに置き、誰にそのリスクを管理させるか。
「オンプレミスは単一障害点になることが非常に多い。「一つの境界が突破されると、他のシステムにも簡単にアクセスできてしまう。オンプレミスのサイバーセキュリティにおいて、各アプリケーションが別々のセキュリティゾーンに隔離されているようなレイヤーアプローチはほとんど見たことがありません。
着想から展開まで
もちろん、リーガルテックのベンダーは、製品を作る前から、セキュリティの基準と対策を統合しておくべきである。
「ソフトウェア開発者のノートパソコンから始まる。開発者がコードを書き、そこで最初のチェックができる。それがAikido 仕事です」とDelrueは言う。「コードであれ、コンテナであれ、クラウドであれ、ドメインであれ、開発ライフサイクルのあらゆる部分で、Aikido セキュリティ・チェックを行うことができます」。しかし、厳しすぎると、開発プロセスが非常に遅くなります。Delrue氏が、脆弱性とセキュリティ問題のリスク分類(低、中、高、重要)を賢く利用するようアドバイスするのはそのためだ。もし、「中」でブロックし始めると、開発が遅くなります。修正すべきセキュリティ・チェックがあるために、すべてのステップで止められてしまうからです。クリティカルな問題」だけをブロックして、「ハイな問題」は後で集中的に修正する方が少し楽な場合もある。
開発ライフサイクル全体を通じて、適切なセキュリティ態勢をとるために、さまざまなチェックを行うことができる。セキュリティ製品の世界では、これを「左遷」と呼ぶ。「これは、サイクルの早い段階で誰かを捕まえることを意味します。その時点でダメージは終わっているのですから」。とDelrueは言う。
データ漏えいで数百万ドルの損害が発生し、評判が糸でつながれたような時代では、サイバーセキュリティはリーガルテック企業にとってもはやオプションではなく、必要不可欠なものであることは明らかです。クラウドかオンプレミスか、あるいは新しい技術ソリューションを評価するにしても、デジタル時代において、サイバーセキュリティに投資するよりも高くつくのは、投資しないことだということを忘れないでください。
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
