IBMとPonemonによると、データ侵害の平均コストは驚異的な435万ドルに上ります。企業がサイバーセキュリティに多額の投資をする必要があるのも当然です。毎日大量の機密性の高い顧客データを扱うリーガルテック企業にとって、そのリスクはさらに高まります。直接的な金銭的影響を超えて、データ侵害は修復がはるかに困難な深刻な評判の損害を引き起こす可能性があり、サイバーセキュリティは法務専門家にとって最優先事項となっています。デジタル世界が進化するにつれて、機密情報を保護するための戦略も、ますます巧妙化する脅威に適応していく必要があります。
欧州リーガルテック協会(ELTA)は、今日の主要なサイバーセキュリティ専門家をデジタル会議室に集めました。Aikido Securityの共同創業者兼CROであるRoeland Delrue氏、Amberloの共同創業者兼プロダクト責任者であるAidas Kavalis氏、Henchmanの共同創業者兼CTOであるWouter Van Respaille氏、そしてHenchmanのグロース責任者であるMichiel Denis氏が、リーガルテック企業向けの堅牢なサイバーセキュリティフレームワークを構築する方法について、専門知識と洞察を共有しました。
サイバーセキュリティの重要性の高まり
すべてのリーガルテックアプリケーションが満たすべき基本的なサイバーセキュリティ標準とは何ですか?また、これらの標準は新たな脅威とともにどのように進化してきましたか?Aikido Securityの共同創設者兼CROであるRoeland Delrueは、セキュアなリーガルテックアプリケーションの開発はコードから始まると強調しています。
- プログラマーはアプリケーションをコードで記述します。セキュリティの第一層は、コード自体が安全であることを保証することです。
- コードの準備が整うと、通常、コンテナで出荷されます。これは、スキャンおよび監視が必要な第二層を表します。
- 第三層は、アプリケーションがデプロイされるクラウド環境です。
続いて第四層は、ユーザーがアプリケーションにアクセスするドメイン(login.comやapp.comなど)です。
コンプライアンスと継続的な監視
Henchmanの共同創設者兼CTOであるWouter Van Respaille氏は、ISO 27001やSOC 2といった業界標準への準拠の重要性を強調しました。これらの認証は単なるチェックボックスではなく、ベンダーがセキュリティに真剣に取り組んでいることの指標です。彼は、これらの認証を持たない企業は、必要なリソースやセキュリティへのコミットメントが不足している可能性があると指摘しました。
コンプライアンスに加え、継続的な監視とバグバウンティプログラムのような創造的なアプローチが不可欠です。これらのプログラムには、システムを継続的にテストする倫理的なハッカーが関与し、従来のスキャンツールを超えた追加のセキュリティレイヤーを提供します。Van Respaille氏はHenchmanでの彼らのアプローチを次のように述べています。「Aikidoは当社のインフラとコードの両方を継続的にスキャンしています。さらに、Intigritiを利用してバグバウンティハンティングを行っており、これはソーシャルハッカーの集団が創造的に当社のシステムを調査・探索するものです。従来のスキャンツールと比較して、このアプローチははるかに革新的です。また、Phishedを使用して全従業員にフィッシングシミュレーションを送信し、フィッシングとセキュリティへの意識を高めるとともに、ゲーミフィケーションの要素も加えています。機密データの絶え間ない流れを扱う企業として、すべてを自社で行うのではなく、これらのパートナーシップを持つことが重要です。」
サイバーセキュリティは複雑な問題であるため、Amberloの共同創設者兼製品責任者であるAidas Kavalis氏は、ベンダーを評価するために第三者を招き入れるのが賢明であると指摘しています。「その分野の専門家は、これまで考えもしなかったことを発見するのに役立ちます。ISO27001やSOC 2の標準が導入されていても、その証明書が実態と一致していることをどうすれば確認できるでしょうか?専門家は、適切な質問をし、事前に適切な事項が確認されるように支援します。」
法務データは非常に機密性が高く、価値があります。
パネリストたちは、法務テックアプリケーションが他のウェブアプリケーションと比較して独自のサイバーセキュリティ課題に直面しており、金融機関と並んでハッカーの主要な標的となっていることに同意しています。法務データは、金融データと同様に非常に機密性が高く、価値があります。「金融機関がお金を扱うのに対し、法律事務所は顧客情報を管理しており、侵害された場合にはより大きな損害を引き起こす可能性があります。最近、法律事務所がハッキングされ、その結果として顧客が個別に標的とされる攻撃がいくつか発生しています。そのため、法律事務所は間違いなく最もリスクの高い分野の一つであると私は考えています」とKavalis氏は述べています。
Delrue氏は、扱うデータの価値に留意するよう促しています。それは必要なセキュリティレベルに影響を与えるからです。「例えば、契約をレビューするだけで保存しない法務テックベンダーと、多数の顧客の実際の契約を保持するベンダーとの間には大きな違いがあります。より機密性の高いデータを保持すればするほど、ランサムウェアやデータ販売を通じて金銭を強要しようとするハッカーにとって魅力的な標的となります。したがって、法務テックベンダーであろうと消費者であろうと、潜在的な悪意のある行為者に対するデータの機密性と価値を評価すべきです。データが非常に価値のあるものである場合、一般的な企業よりも厳格なサイバーセキュリティ対策を講じることが不可欠です。」
法務テックセキュリティの評価
リーガルテック製品のセキュリティを評価する際、法律事務所は、取り扱うデータの機密性と量も考慮し、アプリケーションに必要なセキュリティ対策が講じられていることを確認する必要があります。
リーガルテックプロバイダーとして、Kavalisは顧客から3つのことを求められます。
- ISOまたはSOC 2認証、およびGDPRコンプライアンスに関する質問票。
- 外部サイバーセキュリティ評価:大規模な法律事務所は、外部の専門家を招いてAmberloを深く掘り下げ、適切な技術とポリシーが導入されているかを確認する技術セッションを求めることがよくあります。
- そして時折、セキュリティインシデントの履歴が求められます。「幸いなことに、これまで大きなセキュリティインシデントは経験しておらず、これは重要な成果だと考えています。2017年にAmberloを立ち上げて以来、いくつかの有名なハッカーの拠点から、システムへの侵入が日々試みられています」とKavalisは述べています。
企業がISO 27001またはSOC 2に準拠しているかを確認するのは簡単です。しかし、デルルー氏は、これらの認証が何を意味するのかを理解することの重要性を強調しています。デルルー氏は、ISO27001やSOC 2を、長いセキュリティ質問票の記入を短縮する手段と見ており、その質問票の3分の2は自動的にチェックできます。しかし、例えばSOC2ではカバーされていないマルウェアスキャンなど、認証ではカバーされない事項もあります。そのため、場合によっては標準的なISO認証だけでは不十分であり、より深い質問を追加する必要があるかもしれません。
オンプレミスかクラウドホスティングか?
GPTやその他のAIテクノロジーによる急速な進歩に伴い、法律事務所におけるテクノロジーの評価はますます重要になっています。しかし、オンプレミスとクラウドホスティングの議論は常に存在していました。まず、これが何を意味するのかを見てみましょう。
- オンプレミスソフトウェア:顧客が物理的にサーバーを所有し、そこにアプリケーションをホストします。
- プライベートクラウド:顧客はMicrosoft Azure、Google Cloud Platform、またはAWSを採用し、それらのネットワーク内で全てのアプリケーションを実行します。
- クラウド:アプリケーションは完全にクラウド上で実行され、顧客はそのテクノロジーを導入します。
「車に轢かれたくないから、ずっと家にいよう。それとも、実際に出かけて、道を渡るときは、安全を確認するためにまず左右を見ることもできる。」
Van Respaille氏は、オンプレミスとクラウドを比較するためにこのたとえ話を使っています。彼の見解では、オンプレミスに留まることは時代遅れです。「それは、多くのイノベーションから取り残されることを意味します。すべての法律事務所への私のアドバイスは、クラウドを全面的に採用しつつ、慎重に取り組むことです。利用可能なセキュリティチェックリストがあることを認識してください。これらは過度に複雑であったり、リソースを大量に消費したりする必要はありません。基本的なアンケートで、導入したいツールを評価するのに十分です。このアプローチは、セキュリティの初期層を構築し、実際に購入しているものを明確に理解できるようにします。要するに、『完全にクラウドに移行しつつ、どのツールを導入するかを把握してください!』」
特定の基準が満たされている場合、Delrue氏はオンプレミスを正当な選択肢と見なしています。「オンプレミスを管理する方法を知っている専任のセキュリティ担当者がいる一流のオンプレミスプログラムがあるなら、それは間違いなく実行可能な選択肢です。」しかし、彼は高品質なオンプレミスセキュリティは稀であると考えています。「非常にプロフェッショナルなクラウドプロバイダーと取引しており、オンプレミスを管理するための社内リソースがない場合、オンプレミスには多くのセキュリティリスクがあるため、クラウドバージョンを選択する方がおそらく安全です。」つまり、それはリスクアセスメントです。リスクをどこに置きたいのか、そして誰にそのリスクを管理してほしいのか、ということです。
Adias氏は、「多くの場合、オンプレミスは単一障害点になります」と付け加えます。「1つの境界が侵害されると、他のすべてのシステムも非常に簡単にアクセスできるようになることがよくあります。各アプリケーションが個別のセキュリティゾーンに隔離されているような、オンプレミスサイバーセキュリティへの多層的なアプローチはめったに見たことがありません。」
構想からデプロイまで
もちろん、リーガルテックベンダーは、製品が構築される前であっても、最初からセキュリティ標準と対策を統合すべきです。
「ソフトウェア開発者のラップトップから始まります。開発者がコードを書き、そこで最初のチェックを行うことができます。それがAikidoの役割だとDelrue氏は言います。「コード、コンテナ、クラウド、ドメインなど、開発ライフサイクルのあらゆる部分で、Aikidoはセキュリティチェックを実行できます。」しかし、厳しすぎると開発プロセスが大幅に遅れる可能性があります。そのため、Delrue氏は脆弱性やセキュリティ問題のリスク分類(低、中、高、クリティカル)を賢く利用することを推奨しています。「中程度の問題でブロックし始めると、開発が遅くなります。修正が必要なセキュリティチェックのために、開発者はあらゆる段階で停止させられることになります。時には、「クリティカルな問題」のみをブロックし、その後、「高い問題」は集中的なタイミングで修正する方が少し簡単です。」」
開発ライフサイクル全体を通して、適切なセキュリティ体制を維持するためにさまざまなチェックを実行できます。セキュリティ製品の世界では、これは「シフトレフト」と呼ばれています。「これは、サイクルのできるだけ早い段階で問題を特定することを意味し、顧客に提供された後に修正するよりも容易になります。その時点ではすでに損害が発生しているからです。」とDelrue氏は述べています。
データ侵害が数百万ドルの費用を要し、評判が危機に瀕する時代において、リーガルテック企業にとってサイバーセキュリティはもはや選択肢ではなく、必要不可欠なものであることは明らかです。したがって、クラウドとオンプレミスのどちらを議論している場合でも、新しい技術ソリューションを評価している場合でも、覚えておいてください。デジタル時代において、サイバーセキュリティへの投資よりも高価な唯一のものは、それに投資しないことです。
