IBMとポネモンによると、データ漏洩の平均コストは435万ドル(約4億7000万円)にも上る!企業がサイバーセキュリティに多額の投資をする必要性を感じるのも無理はない。毎日大量の顧客データを扱うリーガルテック企業にとって、そのリスクはさらに高い。データ侵害は、直接的な金銭的影響だけでなく、深刻な風評被害を引き起こす可能性があり、その修復ははるかに困難であることが多いため、サイバーセキュリティは法律専門家にとって最優先事項となっています。デジタルの世界が進化するにつれ、機密情報を保護するための戦略も、ますます高度化する脅威に対応する必要があります。
欧州リーガルテック協会(ELTA)は、デジタル会議室に現代を代表するサイバーセキュリティ専門家数名を招集した。Aikido (CROAikido のロエランド・デルルー、アンバーロ共同創業者兼プロダクト責任者のアイダス・カヴァリス、ヘンチマン共同創業者兼最高技術責任者(CTO)のウーター・ヴァン・レスパイユ、ヘンチマン成長部門責任者のミヒエル・デニスが、リーガルテック企業向けに堅牢なサイバーセキュリティ基盤を構築する方法について専門知識と洞察を共有した。
高まるサイバーセキュリティの重要性
すべてのリーガルテックアプリケーションが満たすべき基本的なサイバーセキュリティ基準とは何か、そしてこれらの基準は新たな脅威の出現とともにどのように進化してきたのか?Aikido 共同創業者兼最高収益責任者(CRO)であるRoeland Delrueは、安全なリーガルテックアプリケーションの開発はコードから始まると強調する。
- プログラマーはコードでアプリを書いている。セキュリティの最初のレイヤーは、コード自体が安全であることを保証することだ。
- コードの準備が整うと、通常はコンテナで出荷される。コンテナはスキャンと監視が必要な第二のレイヤーとなる。
- 第3のレイヤーは、アプリケーションがデプロイされる クラウド環境だ。
第4のレイヤーは、ユーザがアプリケーションにアクセスするためのドメイン(login.comやapp.com)である。
コンプライアンスと継続的モニタリング
Henchman社の共同設立者兼CTOであるWouter Van Respaille氏は、ISO 27001や SOC 2といった業界標準への準拠の重要性を強調した。これらの認証は単なるチェックボックスではなく、ベンダーがセキュリティに真剣に取り組んでいることを示す指標となる。同氏は、これらの認証を取得していない企業は、必要なリソースやセキュリティへのコミットメントが不足している可能性があると指摘した。
コンプライアンスを超え、継続的な監視やバグ報奨金プログラムのような創造的なアプローチが不可欠です。これらのプログラムでは倫理的ハッカーがシステムを継続的にテストし、従来のスキャンツールを超える追加のセキュリティ層を提供します。Van RespailleはHenchmanでの取り組みをこう説明します:「Aikido インフラとコードの両方をAikido スキャンします。さらに、Intigritiを活用したバグ報奨金プログラムでは、ソーシャルハッカーの集団が創造的にシステムを探索・検証します。 従来のスキャンツールと比較すると、この手法ははるかに革新的です。またPhishedを活用し、全従業員にフィッシングシミュレーションを送信。ゲーミフィケーションの要素を加えつつ、フィッシングやセキュリティへの意識向上を図っています。絶え間なく流れる機密データを扱う企業として、全てを自社で行うのではなく、こうしたパートナーシップを構築することが重要です」
サイバーセキュリティは複雑な問題であるため、Amberlo社の共同設立者兼製品責任者であるアイダス・カバリス氏は、ベンダーを評価するために第三者を入れることが賢明であると指摘する。「その分野の専門家であれば、自分では思いもつかなかったような発見をすることができます。ISO27001やSOC 2規格が導入されていても、その証明書が現実と一致しているかどうか、どうすれば確認できるのでしょうか?専門家は、適切な質問をし、適切な事項が前もってチェックされていることを確認するのに役立ちます。"
法的データは非常に機密性が高く、貴重である
パネリストは、リーガルテック・アプリケーションは他のウェブ・アプリケーションと比較してユニークなサイバーセキュリティの課題に直面しており、金融機関とともにハッカーの最重要ターゲットであることに同意している。法務データは、金融データと同様、非常に機密性が高く、貴重なものです。「金融機関が金銭を扱うのに対して、法律事務所は顧客情報を管理しており、侵害された場合、より大きな被害をもたらす可能性があるという違いがあります。最近、法律事務所がハッキングされ、そのクライアントを標的にした攻撃がいくつかありました。したがって、法律事務所は間違いなく最もリスクの高いセクターのひとつだと思います」とカバリスは言う。
Delrue氏は、取り扱うデータの価値は、必要とされるセキュリティのレベルに影響するため、留意するよう促している:「例えば、契約書を保管せずにレビューするだけのリーガルテック業者と、多数のクライアントの実際の契約書を保管している業者とでは、大きな違いがあります。保有する機密データが多ければ多いほど、ランサムウェアやデータの売却によって金銭を脅し取ろうとするハッカーにとって、魅力的なターゲットになります。したがって、あなたがリーガルテックのベンダーであろうと消費者であろうと、潜在的な悪意のある行為者にとってのあなたのデータの機密性と価値を評価する必要があります。データの価値が高い場合は、一般企業よりも厳格なサイバーセキュリティ対策を実施することが極めて重要である。"
リーガルテック・セキュリティの評価
リーガルテック製品のセキュリティを評価する際、法律事務所は扱うデータの機密性と量も考慮し、アプリケーションに必要なセキュリティ対策が施されていることを確認する必要がある。
リーガルテックのプロバイダーとして、カバリスは顧客から3つのことを求められる:
- ISOまたはSOC 2認証、GDPRコンプライアンス調査票。
- 外部のサイバーセキュリティ評価:大規模な法律事務所では、外部の専門家を招き、アンバーロに適切なテクノロジーとポリシーが導入されているかどうかを深く掘り下げる技術セッションを依頼することが多い。
- そして時折、セキュリティ・インシデントの歴史がある。「幸いなことに、これまで大きなセキュリティ・インシデントは発生していません。2017年にアンバーロを立ち上げて以来、有名なハッカーの拠点から我々のシステムに侵入しようとする試みを毎日のように目にしてきました」とカヴァリスは言う。
簡単にチェックできるのは、企業がISO 27001やSOC 2に準拠しているかどうかだ。しかし、Delrue氏は、これらの認証の内容を理解することの重要性を強調する。Delrue氏は、ISO27001やSOC 2は、長いセキュリティ・アンケートに答えるための近道であり、⅔のボックスに自動的にチェックが入るものだと考えている。しかし、SOC2ではカバーされないマルウェアスキャンなど、認証ではカバーされないものもあります。そのため、場合によっては標準的なISO認証では不十分で、より深い質問を追加した方がよいかもしれません。
オンプレミスかクラウドか?
GPTやその他のAI技術がもたらす急速な進歩に伴い、法律事務所におけるテクノロジーの評価はますます重要になってきている。しかし、オンプレミスかクラウドホスティングかという議論は常に存在する。これが何を意味するのか、まず見てみよう:
- オンプレミス型ソフトウェア:顧客が物理的にサーバーを所有し、そこでアプリケーションをホストする。
- プライベート・クラウド:マイクロソフト・アジュール、グーグル・クラウド・プラットフォーム、AWSを採用し、自社のネットワーク内ですべてのアプリケーションを実行する。
- クラウド:アプリケーションは完全にクラウド上で実行され、顧客はその技術を適応させる。
「車にはねられたくないから、ずっと家にいる。あるいは、実際にどこかに行って、道を渡るときはまず左右を見て安全を確認する。"
ヴァン・レスパイユはこの例えを使って、オンプレミスとクラウドを比較している。彼の見解では、オンプレミスに留まることは時代遅れである。「それは、多くのイノベーションから排除されることを意味します。すべての法律事務所にアドバイスしたいのは、クラウドを全面的に受け入れつつも、思慮深くアプローチすることです。セキュリティ・チェックリストがあることも知っておいてください。これらのチェックリストは、過度に複雑であったり、リソースを必要とするものである必要はなく、採用したいツールを評価するための基本的なアンケートで十分です。このアプローチにより、セキュリティの初期レイヤーが構築され、実際に何を購入するのかを明確に理解することができる。要約すると、「フルクラウド化を進めるが、どのツールを採用するかは知っておこう!」ということだ。
一定の基準を満たせば、デルル氏はオンプレミスも正当な選択肢だと考えている:「一流のオンプレミス・プログラムがあり、オンプレミスの管理方法を熟知した専任のセキュリティ担当者がいるのであれば、オンプレミスは間違いなく有効な選択肢です。しかし、質の高いオンプレミスのセキュリティは稀だと彼は考えている。「非常に専門性の高いクラウド・プロバイダーを相手にしていて、オンプレミスを管理する社内リソースがないのであれば、クラウド版を利用した方が安全でしょう。つまり、基本的にはリスクアセスメントなのだ。リスクをどこに置き、誰にそのリスクを管理させるか。
「オンプレミスは単一障害点になることが非常に多い。「一つの境界が突破されると、他のシステムにも簡単にアクセスできてしまう。オンプレミスのサイバーセキュリティにおいて、各アプリケーションが別々のセキュリティゾーンに隔離されているようなレイヤーアプローチはほとんど見たことがありません。
着想から展開まで
もちろん、リーガルテックのベンダーは、製品を作る前から、セキュリティの基準と対策を統合しておくべきである。
「ソフトウェア開発者のノートパソコンから始まります。開発者がコードを書く段階で、最初のチェックが可能です。それがAikido 」とデルルーは説明する。「コード、コンテナ、クラウド、ドメインを問わず、開発ライフサイクルのあらゆる段階でAikido セキュリティチェックAikido 」。ただし厳しすぎると開発プロセスが大幅に遅延する。 だからこそデルルーは、脆弱性やセキュリティ問題のリスク分類(低・中・高・重大)を賢く活用するよう助言する。「中程度のリスクからブロックし始めると、開発が遅れる。修正が必要なセキュリティチェックのために、一歩ごとに足止めされることになる」 時には『重大』な問題だけをブロックし、『高』は後で集中して修正する方が、むしろ楽な場合もある」
開発ライフサイクル全体を通じて、適切なセキュリティ態勢をとるために、さまざまなチェックを行うことができる。セキュリティ製品の世界では、これを「左遷」と呼ぶ。「これは、サイクルの早い段階で誰かを捕まえることを意味します。その時点でダメージは終わっているのですから」。とDelrueは言う。
データ漏えいで数百万ドルの損害が発生し、評判が糸でつながれたような時代では、サイバーセキュリティはリーガルテック企業にとってもはやオプションではなく、必要不可欠なものであることは明らかです。クラウドかオンプレミスか、あるいは新しい技術ソリューションを評価するにしても、デジタル時代において、サイバーセキュリティに投資するよりも高くつくのは、投資しないことだということを忘れないでください。
今すぐソフトウェアを保護しましょう
.jpg)
.avif)
