法律事務所は、その業務上の機密性から、サイバー攻撃に直面する可能性が高いとは言えないまでも、それと同じ程度にはあります。 弁護士やその他のスタッフにサイバーセキュリティの基本を教えることは、会社を守るために大いに役立ちますが、より多くの法的業務がクラウド上で行われるようになると、自動化されたサービスが自動的に保護を提供できるようになってきています。
契約書などの重たい書類をFAXや封筒で送る時代は(ほとんど)終わりました。 多くの企業では、デジタル署名された文書がインターネット上を瞬時に駆け巡り、クライアントに届くなど、最先端のビジネス効率を要求しています。 これらの文書は、自動化されたサービスによって作成されることが多くなっており、弁護士が監督と重要な知識を提供することで、法律のペースはますます加速しています。
会計から文書・案件管理まで、多くの法律事務所が徐々にクラウドサービスを導入するようになり、コンプライアンスとビジネスの両面から、あらゆる段階でデータを確実に保護することが求められています。 米国法曹協会の最新の クラウドコンピューティング調査は、多くの法律事務所が頭を悩ませている「クラウドは法律事務所にとって十分に安全なのか」という疑問に対して、質問と回答を行っています。データセキュリティが重視される中、クラウドベースのソフトウェアは、法律事務所にとって強力な手段となり得るのです。”
1 人間はまだ弱者である
これまでと同様、セキュリティは人から始まるのです。 弁護士、弁護士秘書、その他すべてのスタッフは、財務情報を求める急な要求、電子メールの添付ファイル、さらには「シニアパートナー」からかもしれないが、犯罪的詐欺の一部かもしれない電話を疑うよう、初日から教えなければならない。
ファイアウォールやマルウェアスキャナーで電子メールやファイルを一つ一つチェックすることは技術的に有効ですが、入社時のしっかりとしたトレーニングや、スタッフが適切な情報ストアにアクセスできるようにすることが、ビジネスを守ることにつながります。 また、インターンやパラリーガルなどのスタッフが部署を異動したり退職したりする際には、すべての権限を削除することで、内部関係者や不満を持った離職者の攻撃や権力の乱用からビジネスを守ることができます。
2 強力なアクセス保護の構築
企業はすでに、パスワードの代わりにパスフレーズを使用し、数カ月ごとに更新して、パスワードによる情報漏えいのリスクを最小限に抑えるようスタッフに求めているはずです。 パスワードの使い回しをしないようにと言われても、ほとんどの人が数個のパスワードしか使っていないのが現状です。 そのため、社員が会社のメールアドレスを使って事務用品を購入したというショッピングサイトへの1件の侵入は、ハッカーによる企業への侵入になりやすいのです。
弁護士が自宅や出張先で仕事をする場合、SMSメッセージやAuthenticatorなどのアプリケーションを利用して、ビジネス用のモバイルデバイスで二次的なセキュリティを確保することも、2ファクタ認証(2FA)などの手段によるセキュリティ向上が有効でしょう。
3 ビジネス全体の暗号化
サーバーのローカル暗号化は、ファイルレベルで文書を保護するリーガル・オペレーションの一般的な方法です。 これにより、別途送付されたキーを持つ受信者だけが文書を読むことができるようになります。 しかし、ファイルが複数のアプリケーションやサービス間を移動することが多くなり、ネットワークやクラウド上でデータを暗号化する必要があります。
法律事務所は、国内外の保管規則を遵守するため、電子メールやVPNなど、すべての方法に弱点があるように、セキュリティを強化する必要があります。 エンド・ツー・エンドの暗号化により、ネットワーク上での安全なファイル保存と共有が可能になりますが、会社のITチームは、クラウド上の暗号化の層とレベルを理解する必要があります。
例えば、”Google Cloudは、静止状態で保存されているすべてのお客様のコンテンツを、お客様からのアクションを必要とせずに、1つ以上の暗号化メカニズムを使用して暗号化します。”とあります。 しかし、だからといって、Googleのクラウドを離れれば、あなたのデータは安全ではありません。
4 ロードバランサーはクラウドのためのマルチツール
大規模な企業では、多くのクラウドサーバーやサービスが運用されています。 ロードバランサーは、もともとユーザー間でリソースを公平に共有していましたが、よりスマートなツールに進化し、事前承認やシングルサインオンなどのアプリケーションセキュリティ機能を提供するようになりました。
Webアプリケーションファイアウォールや高度なトラフィックマネジメントをサービスの一部として提供し、法的データを保護します。
5 ファイアウォールだらけ
ファイアウォールやアンチウイルス、マルウェアツールは、依然としてあらゆるビジネス・セキュリティ対策の要ですが、クラウド形態ではより柔軟性があり、しばしば他のソリューションの一部となっています(ロードバランサーの項を参照)。 しかし、特にITに豊富なリソースを持たない企業では、1つのファイアウォールですべてをまかなうことができると考えがちです。
しかし、オフィスのファイアウォールは、ソフトウェアであれハードウェアであれ、受信したデータを保護するだけで、安全かどうかを判断することはできません。 方法としては、パケットフィルタリング、ルールベースのアプローチ、プロキシサーバーやアプリケーションゲートウェイを使用して特定の種類のデータを許可またはブロックする方法などがあります。 クラウドとWebアプリケーションのファイアウォールは、同様の仕事を行いますが、業務外の法的文書やサービスを保護し、アプリケーションに向かう悪意のあるインターネットトラフィックをブロックすることでWebアプリケーションを保護し、さらにポリシーベースのツールによって不正なデータがアプリケーションから離れることを防ぎます。 自動化が進む中、ファイアウォールは法律事務所を守るために限りない力を発揮しています。
6 コンプライアンス自動化の威力
コンプライアンスは、法律や規制のある業界において重要な課題です。そのため、多くのクラウドサービスが自動コンプライアンス監視機能を提供しているのは当然のことで、企業は該当する法規制を選択するだけで、コンプライアンスツールがサービスや文書をチェックし、問題があれば管理者に知らせてくれます。
法律事務所とその法的文書やサービスを保護するためには、自由に使えるツールのほとんどまたはすべてを使用する、多層的な防御が最適な方法です。