「新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か?」の版間の差分
>パパ活也 (→没写真?) |
>貴洋のホルマリン漬 (→概要) |
||
(4人の利用者による、間の8版が非表示) | |||
3行目: | 3行目: | ||
== 概要 == | == 概要 == | ||
西田弁護士の経歴については[[西田弁護士インタビュー#概要]]を参照。 | |||
商事法務ポータルに掲載されており、正式名称は「◆SH4247◆新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー」である。 | 商事法務ポータルに掲載されており、正式名称は「◆SH4247◆新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー」である。 | ||
西田弁護士の問いに山岡が答える一問一答形式になっている。 | |||
前述の西田弁護士インタビューでは[[八雲法律事務所]]の採用基準についての話がメインだったが、今回は山岡の事務所開業経緯や留学時代の話、スタッフの評価や事業展開など山岡本人に更に深く切り込んだ内容となっている。同業者からも「感動した<ref>{{Archive|https://twitter.com/student_lawjpn/status/1606429379974041600|https://archive.md/mXseD|同業者のツイート}}</ref>」と称賛の声が寄せられている。 | |||
この対談記事はその1からその3の3つに分かれているが、当ページでは1つにまとめて掲載している。 | この対談記事はその1からその3の3つに分かれているが、当ページでは1つにまとめて掲載している。 | ||
正式名称に「第4回」とある通り、実は第1回から第3回が存在する。西田弁護士は山岡とは別に[[司法修習]]60期代の弁護士3名とも対談をしている<ref>{{Archive|1=https://www.shojihomu-portal.jp/article?articleId=19075207|2=https://archive.md/HJdZb|3=第1回(皆川克正弁護士)}}、{{Archive|1=https://www.shojihomu-portal.jp/article?articleId=19367920|2=https://archive.md/KRc1g|3=第2回(伊藤雅浩弁護士)}}、{{Archive|1=https://www.shojihomu-portal.jp/article?articleId=19497048|2=https://archive.md/z7RPY|3=第3回(染谷隆明弁護士)}}</ref>のだが、3名とも山岡に並ぶほど大がかりな特集は組まれていない。 | |||
== その1 == | == その1 == | ||
30行目: | 38行目: | ||
これまでに多数のインシデント・レスポンスに関わってきたおかげで、第一報を受けて被害状況をヒアリングした段階で、攻撃者の侵入経路、マルウェアの答 機能、被害の範囲等についてある程度見通しをつけることができるようになりました。この経験値から導かれる見通しを踏まえて初動対応を被害企業にお伝えしています。 | これまでに多数のインシデント・レスポンスに関わってきたおかげで、第一報を受けて被害状況をヒアリングした段階で、攻撃者の侵入経路、マルウェアの答 機能、被害の範囲等についてある程度見通しをつけることができるようになりました。この経験値から導かれる見通しを踏まえて初動対応を被害企業にお伝えしています。 | ||
問 第一報でもサイバー攻撃の種類を知る手掛かりがあるのですか。 | 問 第一報でもサイバー攻撃の種類を知る手掛かりがあるのですか。 | ||
答 たとえば、ランサムウェア攻撃を受けた事案の場合、ランサムノートという置き手紙に書かれたハッカー集団の名称と暗号化された電子ファイルの拡張子を確認できれば、大体、侵入経路を推測することができます。「この[[VPN]]の脆弱性を突いて侵入された可能性が高いので、パスワードを変更しましょう」と指示することもあれば、「バックドア<ref>ハッカーが侵入後に再度侵入できるようサーバ内部に設置するプログラム。</ref>が仕掛けられているだろうから、パスワードの変更に加えてバックドアの有無を全部チェックしましょう」と指示することもあります。 | 答 たとえば、ランサムウェア攻撃を受けた事案の場合、ランサムノートという置き手紙に書かれたハッカー集団の名称と暗号化された電子ファイルの拡張子を確認できれば、大体、侵入経路を推測することができます。「この[[VPN]]の脆弱性を突いて侵入された可能性が高いので、パスワードを変更しましょう」と指示することもあれば、「バックドア<ref group="注"><!--1--> ハッカーが侵入後に再度侵入できるようサーバ内部に設置するプログラム。</ref>が仕掛けられているだろうから、パスワードの変更に加えてバックドアの有無を全部チェックしましょう」と指示することもあります。 | ||
問 ハッカー集団には多数の種類が存在しているのですか。 | 問 ハッカー集団には多数の種類が存在しているのですか。 | ||
答 もともとの集団から分派しているので数は増えていますが、ルーツが同じだと使う手法も似ています。 | 答 もともとの集団から分派しているので数は増えていますが、ルーツが同じだと使う手法も似ています。 | ||
44行目: | 52行目: | ||
答 そこは、当事務所の技術的な知見が役立っています。たとえばログにある種の兆候があった場合、個人データが漏えいした可能性は否定できないので個人情報保護委員会への報告をしましょう、と技術的に自信を持ってアドバイスを差し上げています。 | 答 そこは、当事務所の技術的な知見が役立っています。たとえばログにある種の兆候があった場合、個人データが漏えいした可能性は否定できないので個人情報保護委員会への報告をしましょう、と技術的に自信を持ってアドバイスを差し上げています。 | ||
問 アドバイスに従わない経営者はいないのでしょうか。 | 問 アドバイスに従わない経営者はいないのでしょうか。 | ||
答 施行日から日が浅く、この速報・確報の義務が必ずしも浸透しているわけではないため、「まだ調査結果が出ておらず個人データが漏えいしたかは定かではないので報告しなくてもいいのではないか」とお考えになる方もいらっしゃいますが、[[ダークウェブ]]<ref>検索エンジンからは見つからず、ログインや専用ソフトを使いアクセスをする匿名性の高いウェブ空間。</ref>上で日本企業のデータが販売されている様子を実際にお示ししてみせた上で、「ハッカーはダークウェブ上で被害企業のデータを売っています。こうしたダークウェブ上にデータが流出することで貴社からデータが漏えいしていたことが判明したら、取引先や当局への説明に困りますよ。ハッカーが侵入した形跡があるならば、報告する方向で検討すべきです。」と説明すれば納得していただけます。 | 答 施行日から日が浅く、この速報・確報の義務が必ずしも浸透しているわけではないため、「まだ調査結果が出ておらず個人データが漏えいしたかは定かではないので報告しなくてもいいのではないか」とお考えになる方もいらっしゃいますが、[[ダークウェブ]]<ref group="注"><!--2--> 検索エンジンからは見つからず、ログインや専用ソフトを使いアクセスをする匿名性の高いウェブ空間。</ref>上で日本企業のデータが販売されている様子を実際にお示ししてみせた上で、「ハッカーはダークウェブ上で被害企業のデータを売っています。こうしたダークウェブ上にデータが流出することで貴社からデータが漏えいしていたことが判明したら、取引先や当局への説明に困りますよ。ハッカーが侵入した形跡があるならば、報告する方向で検討すべきです。」と説明すれば納得していただけます。 | ||
問 よくわかりました。それでは、次のフローは再発防止策の策定(④)となりますが、これは技術的な対応がメインになるのでしょうか。 | 問 よくわかりました。それでは、次のフローは再発防止策の策定(④)となりますが、これは技術的な対応がメインになるのでしょうか。 | ||
答 そうですね、再発防止策は、セキュリティベンダーと共に策定しますが、サイバー攻撃の真因は、経営層がセキュリティ部門に十分な予算を割いていなかったり、ガバナンスの問題に関わっていたりすることが多いので、弁護士としての役割も期待される部分です。 | 答 そうですね、再発防止策は、セキュリティベンダーと共に策定しますが、サイバー攻撃の真因は、経営層がセキュリティ部門に十分な予算を割いていなかったり、ガバナンスの問題に関わっていたりすることが多いので、弁護士としての役割も期待される部分です。 | ||
76行目: | 84行目: | ||
<poem> | <poem> | ||
問 サイバーセキュリティは、今でこそ、日本経済新聞でも連日のように取り上げられるテーマとなりましたが、山岡先生は、なぜ、この分野に注目されたのでしょうか。 | 問 サイバーセキュリティは、今でこそ、日本経済新聞でも連日のように取り上げられるテーマとなりましたが、山岡先生は、なぜ、この分野に注目されたのでしょうか。 | ||
答 私は元々、M&A、委任状争奪戦や渉外訴訟等の企業法務全般を扱う弁護士でした。周りにいる弁護士がみんな自分よりも経験豊富で優秀に見えてしまい、若手時代は劣等感が強かったですね。そこで、「既存の法分野では生き残ることができない」と見切りを付けて、2015年に独立<ref>2018年に[[八雲法律事務所]]を設立、2015年に[[法律事務所クロス|前身の法律事務所]]を開設。</ref>する際に、自分でも戦えるブルーオーシャンを探して考え抜いた末に見つけたのが、インターネット分野でした。 | 答 私は元々、M&A、委任状争奪戦や渉外訴訟等の企業法務全般を扱う弁護士でした。周りにいる弁護士がみんな自分よりも経験豊富で優秀に見えてしまい、若手時代は劣等感が強かったですね。そこで、「既存の法分野では生き残ることができない」と見切りを付けて、2015年に独立<ref group="注"><!--3-->2018年に[[八雲法律事務所]]を設立、2015年に[[法律事務所クロス|前身の法律事務所]]を開設。</ref>する際に、自分でも戦えるブルーオーシャンを探して考え抜いた末に見つけたのが、インターネット分野でした。 | ||
問 独立直後からサイバーセキュリティ対応に取り組まれたのでしょうか。 | 問 独立直後からサイバーセキュリティ対応に取り組まれたのでしょうか。 | ||
答 最初は、インターネット上の誹謗中傷対応から始めました。2015年当時は、まだ黎明期でほかに扱う弁護士も少なかったため、仕事は順調に拡大しました。しばらくして、「インターネット上の法律問題で企業が困難に直面する問題は何か?」換言すれば、元々の企業法務の経験とインターネット上の法律問題が交叉する分野はないか、と考えるようになりました。それがサイバーセキュリティでした。このアイディアに至る過程において、法科大学院時代に取締役の義務をテーマに研究して修士論文を書いたことを思い出しました。 | 答 最初は、インターネット上の誹謗中傷対応から始めました。2015年当時は、まだ黎明期でほかに扱う弁護士も少なかったため、仕事は順調に拡大しました。しばらくして、「インターネット上の法律問題で企業が困難に直面する問題は何か?」換言すれば、元々の企業法務の経験とインターネット上の法律問題が交叉する分野はないか、と考えるようになりました。それがサイバーセキュリティでした。このアイディアに至る過程において、法科大学院時代に取締役の義務をテーマに研究して修士論文を書いたことを思い出しました。 | ||
115行目: | 123行目: | ||
答 ハッキングの授業の試験で、サイドチャネル攻撃、というのがありました。12桁のパスワードを突破する課題ですが、正攻法ではなく、サイドチャネル(物理的な特性の変化)を外部から観測・解析してハッキングするというものです。まず正攻法として12桁の数字を機械的に総当たりで試すと10の12乗、すなわち一兆通りを試すことになりますので、膨大な時間が掛かります。そこでアプローチを変えなければなりません。2週間試行錯誤しましたが全く解決の糸口が見えないので教授にヒントをお願いしたところ、3桁ずつ試しては? との助言をもらいました。3桁だけだったら10の3乗で1000通りなので数分で終わる。1000通りのレスポンスの時間を全て計測すると、ごく一部の組み合わせだけレスポンスに掛かる時間が0.001秒だけ早い。ただ、一組だけ早ければ解析は単純なのですが、ネットワークの混雑状況や端末のCPUやメモリの状況によって時間がズレることもあるので、何度も何度も繰り返して偶発的に生ずるノイズのようなズレを除去して統計的にレスポンスが早い組み合わせを抽出する。それを3桁ずつ全部試していく。1ヵ月程度を費やして、12桁の候補を抽出して、最後に入力すると画面に「Congratulation」という文字が表示されました。このときは本当に達成感がありました。 | 答 ハッキングの授業の試験で、サイドチャネル攻撃、というのがありました。12桁のパスワードを突破する課題ですが、正攻法ではなく、サイドチャネル(物理的な特性の変化)を外部から観測・解析してハッキングするというものです。まず正攻法として12桁の数字を機械的に総当たりで試すと10の12乗、すなわち一兆通りを試すことになりますので、膨大な時間が掛かります。そこでアプローチを変えなければなりません。2週間試行錯誤しましたが全く解決の糸口が見えないので教授にヒントをお願いしたところ、3桁ずつ試しては? との助言をもらいました。3桁だけだったら10の3乗で1000通りなので数分で終わる。1000通りのレスポンスの時間を全て計測すると、ごく一部の組み合わせだけレスポンスに掛かる時間が0.001秒だけ早い。ただ、一組だけ早ければ解析は単純なのですが、ネットワークの混雑状況や端末のCPUやメモリの状況によって時間がズレることもあるので、何度も何度も繰り返して偶発的に生ずるノイズのようなズレを除去して統計的にレスポンスが早い組み合わせを抽出する。それを3桁ずつ全部試していく。1ヵ月程度を費やして、12桁の候補を抽出して、最後に入力すると画面に「Congratulation」という文字が表示されました。このときは本当に達成感がありました。 | ||
問 大学院でハッキング手法を学ばれたことが、サイバー攻撃の初動対応でハッカー目線で状況を分析することに役立っているのですね。 | 問 大学院でハッキング手法を学ばれたことが、サイバー攻撃の初動対応でハッカー目線で状況を分析することに役立っているのですね。 | ||
答 IDとパスワードをダークマーケット<ref>ダークウェブ上で電子取引を行うサイト。</ref>で入手して侵入してくる攻撃者はさておき、高度な技術力を持ったハッカーは、セキュリティレベルの高いシステムに足跡を残さずに侵入してくるのは、色々な工夫が必要なはずです。ハッカー側が用いているアプローチ手法は学んだのは良い経験でした。 | 答 IDとパスワードをダークマーケット<ref group="注"><!--3--> ダークウェブ上で電子取引を行うサイト。</ref>で入手して侵入してくる攻撃者はさておき、高度な技術力を持ったハッカーは、セキュリティレベルの高いシステムに足跡を残さずに侵入してくるのは、色々な工夫が必要なはずです。ハッカー側が用いているアプローチ手法は学んだのは良い経験でした。 | ||
問 山岡先生から見ると、ハッカーの中には「敵ながらあっぱれ」という人がいるのですね。 | 問 山岡先生から見ると、ハッカーの中には「敵ながらあっぱれ」という人がいるのですね。 | ||
答 大企業から標的型の攻撃を受けたという相談を受けて調査すると、「これはどうやって侵入したんだろう?」と驚かされることもあります。「内部者とつながらずに外部から攻撃したならば、こちらの想像力を超えたどんな手法を使ったんだろう?」と好奇心を奮い立てさせられます。 | 答 大企業から標的型の攻撃を受けたという相談を受けて調査すると、「これはどうやって侵入したんだろう?」と驚かされることもあります。「内部者とつながらずに外部から攻撃したならば、こちらの想像力を超えたどんな手法を使ったんだろう?」と好奇心を奮い立てさせられます。 | ||
148行目: | 156行目: | ||
答 労働法分野の依頼も増えています。取引先企業への従業員のデータ管理をどうすべきかとか、データを持ち出したかもしれない従業員の調査や処分に関する相談です。こうした相談については、使用者側の労働法務で有名事務所に所属していた[[唐澤貴洋Wiki:チラシの裏/星野悠樹|星野弁護士]]が活躍してくれています。 | 答 労働法分野の依頼も増えています。取引先企業への従業員のデータ管理をどうすべきかとか、データを持ち出したかもしれない従業員の調査や処分に関する相談です。こうした相談については、使用者側の労働法務で有名事務所に所属していた[[唐澤貴洋Wiki:チラシの裏/星野悠樹|星野弁護士]]が活躍してくれています。 | ||
問 データの持ち出しに関するアドバイスでは、労働法に加えて技術の知見も求められそうですね。 | 問 データの持ち出しに関するアドバイスでは、労働法に加えて技術の知見も求められそうですね。 | ||
答 はい、証拠を残しておくためのログの取り方を工夫しなければなりません。不正競争防止法上も、秘密として管理しなければならないですが、どうやって秘密として管理するかはシステムの話になってきます。笠置弁護士の競争法しかり、星野弁護士の労働法しかり、既存の専門性がサイバーセキュリティと交叉することで、八雲の業務範囲を広がるとともに、彼らの専門性にも新たな価値が加わりキャリアが拡がっていくのは嬉しいですね。 | |||
問 八雲法律事務所の業務範囲が広がっていくことは確実なのでしょうが、将来的にどの程度の規模の事務所を目指されているのでしょうか。 | |||
答 設立から4年で弁護士13人の事務所に成長しました。数を追うつもりはありませんが、案件に必要な弁護士を確保していくだけでも、当面は採用に積極的です。 | |||
問 所属弁護士数が増えていくと、仕事の質を担保するためのトレーニングの問題が出てくると思いますが、意識していることはありますか。 | 問 所属弁護士数が増えていくと、仕事の質を担保するためのトレーニングの問題が出てくると思いますが、意識していることはありますか。 | ||
答 「法律×テクノロジー」というユニークなキャリア形成を実現するためのトレーニング方法は4つ意識しています。1つ目は、やはりオン・ザ・ジョブ・トレーニング(OJT)。インシデント・レスポンスでは、必ず3人でチームを組んで対応します。その中で問題となっているハッキングを私が実演して見せたりして、技術的な理解を深めてもらっています。2つ目は、情報処理安全確保支援士の国家試験の受験を推奨しています。体系的にセキュリティを学ぶことで実務経験との相乗効果が期待できます。3つ目は執筆です。私が2016年から2017年に掛けて初めて執筆して出版社を行脚した頃とは隔世の感がありますが、ありがたいことに常時執筆のオファーをいただけるようになりました。最近は私、中堅、若手の3名で共同執筆するようにして、若手が実務経験を言語化して体系的に思考を整理する機会にしています。若手も執筆実績が増えるので意欲的に取り組んでくれています。4つ目は、外部講師を招いた勉強会です。経験豊富なエンジニアに来てもらって、最新の技術やIT業界のトレンドに触れる機会を提供しています。技術的知見を高めるだけでなく、好奇心を刺激する場にもなっています。 | 答 「法律×テクノロジー」というユニークなキャリア形成を実現するためのトレーニング方法は4つ意識しています。1つ目は、やはりオン・ザ・ジョブ・トレーニング(OJT)。インシデント・レスポンスでは、必ず3人でチームを組んで対応します。その中で問題となっているハッキングを私が実演して見せたりして、技術的な理解を深めてもらっています。2つ目は、情報処理安全確保支援士の国家試験の受験を推奨しています。体系的にセキュリティを学ぶことで実務経験との相乗効果が期待できます。3つ目は執筆です。私が2016年から2017年に掛けて初めて執筆して出版社を行脚した頃とは隔世の感がありますが、ありがたいことに常時執筆のオファーをいただけるようになりました。最近は私、中堅、若手の3名で共同執筆するようにして、若手が実務経験を言語化して体系的に思考を整理する機会にしています。若手も執筆実績が増えるので意欲的に取り組んでくれています。4つ目は、外部講師を招いた勉強会です。経験豊富なエンジニアに来てもらって、最新の技術やIT業界のトレンドに触れる機会を提供しています。技術的知見を高めるだけでなく、好奇心を刺激する場にもなっています。 | ||
181行目: | 188行目: | ||
以 上 | 以 上 | ||
</poem> | </poem> | ||
=== 注 === | |||
<references group="注" /> | |||
== 未開示部分について == | == 未開示部分について == | ||
209行目: | 219行目: | ||
== 没写真? == | == 没写真? == | ||
202212山岡先生西田先生対談2.pngは記事中で使用されていないものの写真自体は存在しているため、何らかの理由で没にされたと推定される<ref>{{Archive|https://ensaimada.xyz/test/read.cgi/43044/1661439305/433|https://archive.md/qlAwQ|【山岡裕明】八雲、名古屋・山本法律事務所事実追及スレ【山本祥平】★2>>443}}</ref>。 | 202212山岡先生西田先生対談2.pngは記事中で使用されていないものの写真自体は存在しているため、何らかの理由で没にされたと推定される<ref>{{Archive|https://ensaimada.xyz/test/read.cgi/43044/1661439305/433|https://archive.md/qlAwQ|【山岡裕明】八雲、名古屋・山本法律事務所事実追及スレ【山本祥平】★2>>443}}</ref>。[[唐澤貴洋Wiki:チラシの裏/メスイキ|例のスレ]]では前回の西田弁護士インタビューと同じくいかがわしい書き込み<ref>{{Archive|https://ensaimada.xyz/test/read.cgi/43044/1670468949/59-64|https://archive.md/NJeoF|【山岡裕明】からさん、あッ…ダメ…いく、いっちゃう、中に出して…★3>>59-64}}- マヨケー</ref>がされていた。 | ||
<gallery> | <gallery> | ||
ファイル:202212山岡先生西田先生対談2.png|202212山岡先生西田先生対談2.png | ファイル:202212山岡先生西田先生対談2.png|202212山岡先生西田先生対談2.png | ||
</gallery> | </gallery> | ||
== 今回明らかになったこと == | |||
*グローバルなインシデント事案については司令塔となる日本の本社から依頼を受けて対応しており、法律事務所やセキュリティベンダーとも連携しているということ。 | |||
*八雲セキュリティコンサルティングは2022年10月からフォレンジックサービスを開始し、国内の調査案件であれば自前で調査を受けることもできる体制が整ったということ。 | |||
*2022年4月1日に個人情報保護法の改正法が施行されてからの8ヵ月で、速報・確報を既に数十件担当しているということ。 | |||
*紛争対応は裁判例が少ない分野であるため、ひとつひとつの紛争対応が先例になり得ることを考えると非常にやりがいがあると述べていること。 | |||
*企業に対して最も注意を促しておきたい点はと尋ねられて「サイバーリスクの変容」と回答していること。 | |||
*クロス参画以前はM&A、委任状争奪戦や渉外訴訟等の企業法務全般を扱う弁護士であったが、周りにいる弁護士がみんな自分よりも経験豊富で優秀に見え若手時代は劣等感が強く抱いてしまい、「既存の法分野では生き残ることができない」と見切りを付けてインターネット分野に足を踏み入れたということ。 | |||
**クロス参画以前に所属していた法律事務所が[[唐澤洋]]と間接的な繋がりがあったことが確認されているため、インターネット分野に足を踏み入れる過程で唐澤洋を経由し息子である唐澤貴洋がインターネット分野の案件を取り扱っていたことを知り接近した可能性がある。 | |||
*クロス参画直後はインターネット上の誹謗中傷対応が主な仕事であったということ。 | |||
*元々の企業法務の経験とインターネット上の法律問題が交叉する分野は何かを考え、サイバーセキュリティに辿り着いたということ。 | |||
*中央大学の法科大学院では論文執筆は義務とされてはいないものの、選択科目で論文を執筆したということ。 | |||
*論文については落合誠一教授や大杉謙一教授が指導教官、副査を担当していたということ。 | |||
*当時どのようにしてサイバーセキュリティを弁護士の専門性として確立していくのかが分からなかったため情報処理技術者取得を目指したということ。 | |||
**現在は八雲所属弁護士に情報処理技術者の取得を推奨している。 | |||
*基本情報処理技術者と情報セキュリティスペシャリストはそれぞれ半年間の勉強で合格したということ。 | |||
*試験合格後もサイバーセキュリティの仕事は全くなく、次に取り組んだのは論文執筆であったということ。 | |||
*ビジネス法務「サイバーセキュリティと企業法務」の論文執筆の際には落合教授の指導を再度の指導をお願いしたということ。 | |||
*2015年から2016年に掛けては情報処理技術者試験の勉強、2016年の秋から2017年の春までは論文の執筆、それ以降は留学に向けたTOEFLとGMATの勉強に励んだということ。 | |||
*2019年にUCバークレーのロースクールに客員研究員として渡米し、最初に聴講したサイバーセキュリティの授業で衝撃を受け、School of Information(情報大学院)というコンピュータサイエンスの大学院に入学することを決めたということ。 | |||
*情報大学院の中でChris Jay Hoofnagle教授の授業で最も強い衝撃を受けたということ。 | |||
*School of Informationの大学院の同期は15名いたが、大半はエンジニアであり、入学面接の際に「最初のロイヤー」と言われたということ。 | |||
*同期にはミドルキャリアもいて、マイクロソフトのエンジニアや米国空軍のエンジニアもいたということ。 | |||
*同期の多くはシリコンバレー企業のセキュリティエンジニアとして就職しており、卒業後もSlackで日常的にコミュニケーションをとっており、彼らから米国におけるサイバーセキュリティの情報や意見をもらっているということ。 | |||
*Hoofnagle教授以外にはオバマ政権時代のセキュリティオフィサーだった教授や有名な企業のChief Information Security Officerが指導に来ていたということ。 | |||
*Hoofnagle教授はサイバーセキュリティ総論的に、ペンタゴンが、対ロシア、対中国との関係でサイバーセキュリティをどう捉えているか、米国におけるサイバーセキュリティ法制はどのように変遷しているかという授業を担当していたということ。 | |||
*他にも暗号、数学、プログラミング、ハッキングのクラスも受講していたということ。 | |||
*グループワークの一環として自分でPythonなどを用いてプログラムを書き、スマホのスパイウエアを探知するアプリケーションを作ったということ。 | |||
*ハッキングの授業の試験でサイドチャネル攻撃(12桁のパスワードを突破する課題)をしたということ。 | |||
*留学の費用はすべて自腹であるということ。 | |||
*事務所の業務の8割がサイバー攻撃を受けた企業からのご依頼対応であるが、他の法分野(例としてデータ・プライバシーの相談、システム開発紛争、独占禁止法に関連した依頼、労働法分野の依頼を挙げている)の領域の仕事も増えているということ。 | |||
*笠置泰平については「公取委で優越的地位の濫用に関する事件を始めとするさまざまな事件を担当していたので、競争法が関わる事案では本当に助かっています。」と評価しているということ。 | |||
*取引先企業への従業員のデータ管理をどうすべきかとか、データを持ち出したかもしれない従業員の調査や処分に関する相談については星野悠樹の活躍を期待しているということ。 | |||
*案件に必要な弁護士を確保していくために当面は採用に積極的な姿勢を表明していること。 | |||
*「法律×テクノロジー」というユニークなキャリア形成を実現するためのトレーニング方法の4ヶ条として「オン・ザ・ジョブ・トレーニング(OJT)」、「情報処理安全確保支援士の受験の推奨」、「論文執筆」、「外部講師を招いた勉強会」を挙げているということ。 | |||
*インシデント・レスポンスでは必ず3人でチームを組んで対応しており、ハッキングを実演して見せたりして、技術的な理解を深めているということ。 | |||
*論文執筆については山岡、中堅、若手の3名で共同執筆するようにして、若手が実務経験を言語化して体系的に思考を整理する機会にしているということ。 | |||
**以前は山岡+1名での執筆が多かったが、2022年後半頃よりその傾向が顕著に見られるようになった。一例が「ECサイトからのクレジットカード情報漏えい事案における法的留意点」では山岡、[[町田力]]、[[柏原陽平]]の3名で寄稿している。 | |||
*経験豊富なエンジニアに来てもらって、最新の技術やIT業界のトレンドに触れる機会を提供しているということ。 | |||
*育成方針の一環として2022年より留学支援制度を設けたということ。 | |||
*留学の学費は事務所が全額負担しているということ。 | |||
*3年程度は八雲で実力を付けてもらいたいと思っているが、留学については本人任せな面が強く、特に大きな指定はないということ。 | |||
*採用基準については専門分野があること、またはクライアントである企業からの要求水準を理解し必要十分な対応ができる素養があることを挙げているということ。 | |||
*司法試験の成績は提出を求めておらず、日々の学習への真面目さを示す学生時代のGPAの方を参考にしているということ。 | |||
*他には技術、IT分野、サイバーセキュリティ分野に対する好奇心も考慮しているということ。 | |||
*サイバーセキュリティ分野については未経験者歓迎であり、今いるメンバーも八雲に入所後にキャッチアップしているということ。 | |||
== 脚注 == | == 脚注 == |
2023年1月27日 (金) 11:46時点における最新版
当ページは西田弁護士インタビューとは異なります。 |
新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か?とは、第一東京弁護士会に所属する西田章弁護士と山岡裕明とのインタビュー記事である。
概要
西田弁護士の経歴については西田弁護士インタビュー#概要を参照。
商事法務ポータルに掲載されており、正式名称は「◆SH4247◆新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー」である。
西田弁護士の問いに山岡が答える一問一答形式になっている。
前述の西田弁護士インタビューでは八雲法律事務所の採用基準についての話がメインだったが、今回は山岡の事務所開業経緯や留学時代の話、スタッフの評価や事業展開など山岡本人に更に深く切り込んだ内容となっている。同業者からも「感動した[1]」と称賛の声が寄せられている。
この対談記事はその1からその3の3つに分かれているが、当ページでは1つにまとめて掲載している。
正式名称に「第4回」とある通り、実は第1回から第3回が存在する。西田弁護士は山岡とは別に司法修習60期代の弁護士3名とも対談をしている[2]のだが、3名とも山岡に並ぶほど大がかりな特集は組まれていない。
その1
新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー(1/3)(魚拓)より
八雲法律事務所
弁護士 山 岡 裕 明
聞き手 西 田 章
若手弁護士にとって、企業法務の「新規分野」を開拓することは容易ではない。優秀な若手であれば、「既存分野」でも相応の活躍をすることができるから、「新規分野」に先行投資する必要性に迫られることがない。他方、平凡な若手が「新規分野」に投資しても、クライアントから信頼を得るまでのパフォーマンスを挙げることができない。新規分野の開拓は、「優秀な若手」が、敢えてリスクを取ってまで「新規分野」に賭けてみよう、という挑戦をした時にのみ実現するのではなかろうか。
「サイバーセキュリティ」の分野で、これを実現させつつあるのが、山岡裕明弁護士(八雲法律事務所代表弁護士)だ。今年5月30日に内閣府サイバーセキュリティセンターに設置された「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」の委員名簿を見ると、西村あさひと森・濱田松本という弁護士業界最大手の法律事務所に所属する弁護士と肩を並べて、まだ設立4年の八雲法律事務所の山岡弁護士が名前を連ねている。司法修習63期の弁護士が立ち上げた事務所が、サイバーセキュリティという最先端の業務分野でトップランナーとして活躍できているのはなぜか? サイバーセキュリティの分野の実務とは? インタビューの模様を、以下、3回にわたってご紹介していきたい(取材日:2022年11月11日。場所:商事法務会議室)。
第1部 サイバーセキュリティ分野の実務
問 今日(2022年11月11日)の日本経済新聞の朝刊には「サイバー防衛、欧米が先行」という見出しの下に「日本企業のサイバー攻撃への対策が遅れている」と指摘する記事で、山岡先生のコメントが紹介されていました。山岡先生のお仕事としては、海外の事案もフォローされているのでしょうか。
答 はい。たとえば、報道で日本企業がランサムウェアの被害を受けたというニュースが流れても、内容をよく見ると、被害が出ているのはほとんどが欧米の現地法人です。こうしたグローバルなインシデント事案について、司令塔となる日本の本社から依頼を受けて対応しています。グローバルな法律事務所やセキュリティベンダーと連携して、法律・技術・英語というこれまでのキャリアで培った知見をフルに駆使して対応しています。
問 サイバー攻撃を受けた企業から依頼を受けた後の対応は、どのような流れになるのでしょうか。
答 フローとしては、①初動対応、②フォレンジック調査、③当局対応、④再発防止策の策定、⑤紛争対応、という流れになります。
問 攻撃を受けた企業の中には、誰も経験者がいないでしょうから、まず何をすればいいのかもわからないですよね。
これまでに多数のインシデント・レスポンスに関わってきたおかげで、第一報を受けて被害状況をヒアリングした段階で、攻撃者の侵入経路、マルウェアの答 機能、被害の範囲等についてある程度見通しをつけることができるようになりました。この経験値から導かれる見通しを踏まえて初動対応を被害企業にお伝えしています。
問 第一報でもサイバー攻撃の種類を知る手掛かりがあるのですか。
答 たとえば、ランサムウェア攻撃を受けた事案の場合、ランサムノートという置き手紙に書かれたハッカー集団の名称と暗号化された電子ファイルの拡張子を確認できれば、大体、侵入経路を推測することができます。「このVPNの脆弱性を突いて侵入された可能性が高いので、パスワードを変更しましょう」と指示することもあれば、「バックドア[注 1]が仕掛けられているだろうから、パスワードの変更に加えてバックドアの有無を全部チェックしましょう」と指示することもあります。
問 ハッカー集団には多数の種類が存在しているのですか。
答 もともとの集団から分派しているので数は増えていますが、ルーツが同じだと使う手法も似ています。
問 奥が深い世界ですね。初動対応(①)の次は、フォレンジック調査(②)ですが、これは、調査会社に外注するのですか。
答 規模が大きかったり海外調査が必要となるような事案であれば、グローバルのセキュリティベンダーに依頼することもあります。ただ、私が設立した八雲SECURITY & CONSULTINGという調査会社でも、この10月からフォレンジックサービスを開始しました。国内の調査案件であれば自前で調査を受けることもできる体制が整いました。これにより八雲グループでワンストップのインシデント・レスポンスサービスが可能になりました。
問 業務フローの次に来る当局対応とは、どんな作業でしょうか。
答 個人情報保護法やGDPR等に基づいて、当局に報告し、その後も当局とコミュニケーションを担当する業務になります。
問 個人情報保護法の改正でデータの漏えい発生時に個人情報保護委員会への報告が義務化されたのですね。確かに、インシデント対応をされている弁護士が担うべき領域ですね。
答 4月1日に改正法が施行されてからの8ヵ月で、八雲法律事務所では、速報・確報を既に数十件担当しています。
問 本当に多いですね。当事者である会社が報告するものかと思っていました。
答 被害企業が自ら報告されても構わないのですが、被害企業としてはサイバー被害自体初めであることが多いため速報・確報に慣れていらっしゃるわけではないですし、復旧に向けて日夜ご尽力されている現場のご担当者にとって速報・確報の負担は軽くありません。そのため、当事務所で受任した場合には、当事務所で当局とのコミュニケーションを代理し、依頼企業には業務復旧に注力してもらいます
問 当局に報告する前段階の「そもそも報告するべきか?」という判断では、会社側には「できれば報告したくない」という要望もありそうですが、この点はいかがでしょうか。
答 そこは、当事務所の技術的な知見が役立っています。たとえばログにある種の兆候があった場合、個人データが漏えいした可能性は否定できないので個人情報保護委員会への報告をしましょう、と技術的に自信を持ってアドバイスを差し上げています。
問 アドバイスに従わない経営者はいないのでしょうか。
答 施行日から日が浅く、この速報・確報の義務が必ずしも浸透しているわけではないため、「まだ調査結果が出ておらず個人データが漏えいしたかは定かではないので報告しなくてもいいのではないか」とお考えになる方もいらっしゃいますが、ダークウェブ[注 2]上で日本企業のデータが販売されている様子を実際にお示ししてみせた上で、「ハッカーはダークウェブ上で被害企業のデータを売っています。こうしたダークウェブ上にデータが流出することで貴社からデータが漏えいしていたことが判明したら、取引先や当局への説明に困りますよ。ハッカーが侵入した形跡があるならば、報告する方向で検討すべきです。」と説明すれば納得していただけます。
問 よくわかりました。それでは、次のフローは再発防止策の策定(④)となりますが、これは技術的な対応がメインになるのでしょうか。
答 そうですね、再発防止策は、セキュリティベンダーと共に策定しますが、サイバー攻撃の真因は、経営層がセキュリティ部門に十分な予算を割いていなかったり、ガバナンスの問題に関わっていたりすることが多いので、弁護士としての役割も期待される部分です。
問 ガバナンスの問題、というのは具体的にはどういう問題でしょうか。
答 セキュリティを外部のベンダーに丸投げしてたり、内部のセキュリティ部門が脆弱性を報告していたにも関わらず、経営層がその報告を放置していたことがサイバー攻撃の被害につながった、という場合が典型事例です。最近は、サイバーインシデントが発生した組織において第三者委員会を設置してガバナンスの観点から問題を検証する事例が増えています。
問 なるほど。そして、真因を洗い出した調査結果を踏まえて、次のフローである紛争対応(⑤)を担当されるのですね。
答 その通りです。取引先や顧客からの損害賠償請求においては、サイバー攻撃の原因が何だったのか、攻撃を防ぐセキュリティ対応の義務があったのか、攻撃は予見可能だったのか、といった点を、ハッカー集団の特徴やサイバー攻撃の種類、導入していたシステムの機能など技術的見地から法律上の義務違反の有無を精査した上で、紛争対応に臨みます。裁判例が少ない分野ですので、ひとつひとつの紛争対応が先例になり得ることを考えると、弁護士として非常にやりがいがあります。
問 紛争対応の代理人業務はとても弁護士らしい仕事ですが、訴訟活動の前提には技術的専門性に基づく分析が必要となるのですね。インシデントが起きた後の対応だけでなく、事前に予防法務の依頼も受けているのでしょうか。
答 BCP策定のご依頼は増えています。特に、ランサムウェア攻撃を受けた場合に誰が責任者となるか、どの部署が対策チームを構成するか、どの専門家に調査を依頼するか、緊急時のコミュニケーションの確保、バックアップの運用等を盛り込んだプラン作りの仕事です。
問 予防法務というよりも、技術的なコンサルなのでしょうか。
答 コンサルティングの側面は確かに強いですが、内部統制システムの一環ですので、プランへの落とし込みには常に会社法を意識しています。
問 インシデント発生後の事後対応のノウハウは、予防策のプラン作りにも役立っていますか。
答 はい、まさに。たとえば、ランサムウェアの現場において、メールサーバも暗号化された結果、社内の伝達手段が止められてしまったことがあり、その経験から、事前のBCPにWebメールやチャットツールなど予備のコミュニケーションツールの確保を提案するようになりました。インシデント対応の経験を活かして常に改良を続けています。
問 山岡先生のところには、最新の事例が集まっていますものね。サイバーセキュリティ対応で、山岡先生が、企業に対して、最も注意を促しておきたい点は何ですか。
答 サイバーリスクの変容です。「サイバーリスクって何ですか?」と尋ねてみると、多くの経営層の方が「個人情報の漏えいでしょ?」と仰います。これは、2014年に起きたベネッセの個人情報流出事件が念頭にあるのだと思われますが、残念ながら、サイバーリスクはそこから大きく変容しています
問 現在のリスクは何なのでしょうか。
答 昨今話題になっているランサムウェアの本当の怖さはシステムを止めるところにあります。米国では、2021年5月に石油のパイプラインの輸送が停止に追い込まれました。リスクマネジメントの観点では、リスク評価は、顕在化した場合の深刻度合いと発生確率を掛け合わせて行われます。会社のシステムを止める、という点で、サイバー攻撃は、地震や津波と同じレベルの脅威であると認識していただきたいです。そして、発生確率について言えば、サイバー攻撃は人為的に引き起こされ、かつ、逮捕されにくく、地震や津波よりはるかに発生確率は高いといえます。深刻度合い×発生確率で言えば、サイバーリスクは企業が直面するリスクの中での最大級のコーポレートリスクになっていると言っても過言ではないでしょう。
問 ハッカーは会社のシステムを止めることができるのでしょうか。
答 「ランサムウェアが電子ファイルを暗号化する」と聞くと、多くの人は「WordやExcelで作ったドキュメントが暗号化される」という被害をイメージされがちなのですが、スマホのアプリケーションも、医療システムも、工場の制御システムも、銀行の送金システムも、拡張子が違うだけで、すべて電子ファイルから作られています。そのため、事業を支えるあらゆる基幹システムが暗号化により止められてしまうリスクが存在します。企業のDX化が進めば進むほど、ハッカーが攻撃できる対象は会社システムのすべてに広がっていくことになります。
問 それは企業としても無視できないリスクですね。サイバーセキュリティーの重要性に加え、技術的要素が強いと思っていたサイバーセキュリティにおいて八雲法律事務所がどのように関わっているのかよくわかりました。
(続く)
その2
新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー(2/3)(魚拓)より
サイバーセキュリティの専門家である山岡裕明弁護士へのインタビューの第1回である前回は、サイバー攻撃発生時に、サイバーセキュリティを専門とする弁護士が具体的にどのような業務を行っているのかを中心にお伺いした。第2回の今回は、サイバーセキュリティという新規分野に関する専門性をどのようにして磨いて来たのかを尋ねている。論文の執筆や米国留学は、大規模な法律事務所においても、弁護士の専門性を磨くために有益な手段と認識されているが、アソシエイトの立場からは、所属事務所による支援を期待してしまいがちである。山岡弁護士が、自ら事務所を経営しながら、掲載の当てもない論文執筆に取り組み、最先端の実務を学ぶために米国のコンピュータサイエンスの大学院で修士号を取得したストーリーからは、新規分野における専門性は「リスクを取ったチャレンジ」の先にこそ拓かれるものではないかと考えさせられる(取材日:2022年10月11日。場所:商事法務会議室)。
第2部 どのように専門分野を確立したか?
問 サイバーセキュリティは、今でこそ、日本経済新聞でも連日のように取り上げられるテーマとなりましたが、山岡先生は、なぜ、この分野に注目されたのでしょうか。
答 私は元々、M&A、委任状争奪戦や渉外訴訟等の企業法務全般を扱う弁護士でした。周りにいる弁護士がみんな自分よりも経験豊富で優秀に見えてしまい、若手時代は劣等感が強かったですね。そこで、「既存の法分野では生き残ることができない」と見切りを付けて、2015年に独立[注 3]する際に、自分でも戦えるブルーオーシャンを探して考え抜いた末に見つけたのが、インターネット分野でした。
問 独立直後からサイバーセキュリティ対応に取り組まれたのでしょうか。
答 最初は、インターネット上の誹謗中傷対応から始めました。2015年当時は、まだ黎明期でほかに扱う弁護士も少なかったため、仕事は順調に拡大しました。しばらくして、「インターネット上の法律問題で企業が困難に直面する問題は何か?」換言すれば、元々の企業法務の経験とインターネット上の法律問題が交叉する分野はないか、と考えるようになりました。それがサイバーセキュリティでした。このアイディアに至る過程において、法科大学院時代に取締役の義務をテーマに研究して修士論文を書いたことを思い出しました。
問 山岡先生が卒業された中央大学の法科大学院では論文執筆は義務とされてはいないですよね。教授の指導の下に論文を執筆なされたのでしょうか。
答 はい、卒業に必要なわけではありませんが、選択科目で論文を執筆しました。商事法で高名な落合誠一教授が指導教官を引き受けてくださいました。論文の内容自体は裁判例の分析が中心でしたが、落合教授からご指導をいただけたことに加え、同じく高名な大杉謙一教授にも副査を務めていただく幸運を得られました。
問 司法試験対策だけでない法科大学院時代を過ごされたのは素晴らしいですね。そして、弁護士になって企業法務の経験を積まれて、独立してインターネット上の誹謗中傷対応に取り組まれる中で、改めてどのようにサイバーセキュリティに注目し始めたのでしょうか
答 経営層が困るほどの問題、というのは、取締役としての善管注意義務が問われる場面と考えました。次に、事業継続が脅かされるコーポレートリスクを、インターネットに関連して考えてみると、サイバー攻撃による情報漏えいやシステム障害に思い当たりました。それらを合わせると、企業において適切なサイバーセキュリティ体制を構築してサイバー攻撃から企業を守ることは取締役の法律上の義務ではないか、という問題意識を持ちました。そして、取締役の義務であるならば有事の際の株主代表訴訟やサイバー攻撃に備えるための予防法務的な案件が今後増えるのではないか、とも思いました。ただし、問題意識が明確になり、サイバーセキュリティという自分の目指すべき方向性が定まっても、どのようにしてサイバーセキュリティを弁護士の専門性として確立していくのかはノーアイディアで、Whatは決まったがHowが分からない状況でした。そこで、まずはサイバーセキュリティに関する国家試験の取得から始めました。
問 サイバーセキュリティに国家試験とはどの試験のことでしょうか。
答 IPA(独立行政法人情報処理推進機構)が実施している情報処理技術者試験です。2015年秋に基本情報処理技術者を受けて、2016年春には情報セキュリティスペシャリスト(現在の情報処理安全確保支援士)を受けました。国家試験だけあって問題がよく出来ており、受験勉強を通じて体系的に技術やセキュリティを学ぶことができました。
問 弁護士として事務所を経営しながらの受験勉強は大変だったのではないですか。合格までの期間や勉強時間はどの程度だったのでしょうか。
答 基本情報処理技術者も、情報セキュリティスペシャリストもそれぞれ半年間、勉強しました。独立したばかりで将来も不安でしたので、少しでも自分のキャリアを広げるため、一心不乱に勉強しました。
問 国家試験を受験していた当時から、サイバーセキュリティの仕事が来る見込みがあったのでしょうか。
答 そんな見込みはありません(笑)。合格してからも、サイバーセキュリティの仕事は全くありませんでした。
問 続いて取り組んだのが論文ですね。2017年に、「サイバーセキュリティと企業法務」(ビジネス法務2017年10月号〜2018年1月号)や「情報漏えいと取締役の情報セキュリティ体制整備義務」(中央ロー・ジャーナル14巻3号)として発表なされていますが、これらはひとりでご執筆なされたのでしょうか。
答 修士論文でお世話になった落合教授に再度の指導をお願いしたところ、ありがたいことに快く引き受けてくださいました(?)。
問 論文についても、サイバーセキュリティの仕事につながる見込みはあったのですか。
答 全くありませんでした(笑)。ただ、待っていてもサイバーセキュリティの案件がやってくるわけではありませんので、思いつくことは全てやろうと思いました。誰からも頼まれておらず、それがどうキャリアに活きるかもまったくわからない中で、2015年から2016年に掛けては情報処理技術者試験の勉強、2016年の秋から2017年の春までは論文の執筆、それ以降は留学に向けたTOEFLとGMATの勉強を続けました。土日も年末年始の休みも返上で没頭していました。振り返ると独立してからの数年は生き残るために必死ですね(笑)。
問 論文についてさすがに掲載の当てはあったのでしょうか。
答 それもありませんでした(笑)。2017年の春頃に書き上げた論文を複数の出版社に持ち込んで掲載を依頼したところ、当時は全くの無名であったため仕方ありませんが、なかなか前向きなお返事は得られませんでした。そのため、完成してから掲載していただくまで半年以上の期間を要しました。
問 今やこの法分野の第一人者である山岡先生でも当初はそのようなご苦労をなされていたのですね。そして、さらに米国でも研究したいと感じられたのですか。
答 2019年にUCバークレーのロースクールに客員研究員として渡米しました。最初に聴講したサイバーセキュリティの授業で、米国ではこんなに進んでいるのかと衝撃を受けました。そこから願書を出して、School of Information(情報大学院)というコンピュータサイエンスの大学院に入学しました。
問 衝撃を受けられたのは、どのような教授の授業だったのでしょうか。
答 Chris Jay Hoofnagle教授[3]です。弁護士でもあり、彼の著作は、日本でも板倉陽一郎先生らが翻訳なされた『アメリカプライバシー法――連邦取引委員会の法と政策』(勁草書房、2018)が出版されています。
問 Hoofnagle教授には何かアプローチされたのでしょうか。
答 授業を終えた教授を捕まえて、「自分は日本から来た弁護士で、どうしてもUCバークレーの大学院でサイバーセキュリティを勉強したい」と訴えかけました。彼はLaw School とSchool of Informationの教授を務めており、サイバーセキュリティを学ぶためにはやはり技術を学ぶ必要がある、それにはSchool of Informationが最適だという助言をもらいました。技術的バックグランドが無い私が合格できたのは、Hoofnagle教授とのご縁があったおかげだと感謝しています。
問 コンピュータサイエンスの大学院には、弁護士も多いのでしょうか。
答 School of Informationの大学院の同期は15名いますが、エンジニアばかりでした。入学時の面接の際に、私は「最初のロイヤー」と言われた記憶があります。私の後には米国人の弁護士が2名入学して来て、事務局から紹介を受けました。同期は、学部から上がってきた学生もいれば、私のようなミドルキャリアもいて、マイクロソフトのエンジニアや米国空軍のエンジニアもいました。
問 同期の方々は、卒業後にどのようなキャリアを歩まれるのでしょうか。
答 多くの同期は、卒業後に、SalesforceやGoogleなどのシリコンバレー企業のセキュリティエンジニアとして就職しています。卒業後もSlackで日常的にコミュニケーションをとっているので、彼らから米国におけるサイバーセキュリティの情報や意見をもらえるのはとてもありがたいです。留学で貴重な人脈を作ることができました。
問 Hoofnagle教授以外にはコンピュータサイエンスの大学院ではどのような教授がいらっしゃったのですか。
答 オバマ政権時代のセキュリティオフィサーだった教授もいます。また、キャンパスがシリコンバレーに近いので、有名な企業のChief Information Security Officerが指導に来てくれたこともあります。
問 どのような科目を受講されたのですか。それは実務に役立つような内容なのでしょうか。
答 文系的な科目で言えば、Hoofnagle教授は、サイバーセキュリティ総論的に、ペンタゴンが、対ロシア、対中国との関係でサイバーセキュリティをどう捉えているか、米国におけるサイバーセキュリティ法制はどのように変遷しているか、というような授業を担当されました。オバマ政権のセキュリティオフィサーは、「Fifth(5番目の)・ドメイン(領域)」というテーマを担当していました。米軍は、陸・海・空・宇宙に続いて、サイバー空間を5番目の重要なドメインとして捉えている、という話です。よりコンピューターサイエンス的な授業としては、暗号、数学、プログラミング、ハッキングのクラスを受講しました。大学院の2年弱の期間が、自分の技術力を爆発的に高めてくれました、
問 プログラミングやハッキングの手法を授業で学ぶのですか。
答 グループワークでスマホのスパイウエアを探知するアプリケーションを作ったりしました。ハッキングは、教授が用意したシステムを攻撃してみろ、という課題です。自分でPhythonなどを用いてプログラムを書いて、色々な手法の攻撃を試します。あれは楽しかったです。
問 文系の自分には想像もつかない課題です。
答 ハッキングの授業の試験で、サイドチャネル攻撃、というのがありました。12桁のパスワードを突破する課題ですが、正攻法ではなく、サイドチャネル(物理的な特性の変化)を外部から観測・解析してハッキングするというものです。まず正攻法として12桁の数字を機械的に総当たりで試すと10の12乗、すなわち一兆通りを試すことになりますので、膨大な時間が掛かります。そこでアプローチを変えなければなりません。2週間試行錯誤しましたが全く解決の糸口が見えないので教授にヒントをお願いしたところ、3桁ずつ試しては? との助言をもらいました。3桁だけだったら10の3乗で1000通りなので数分で終わる。1000通りのレスポンスの時間を全て計測すると、ごく一部の組み合わせだけレスポンスに掛かる時間が0.001秒だけ早い。ただ、一組だけ早ければ解析は単純なのですが、ネットワークの混雑状況や端末のCPUやメモリの状況によって時間がズレることもあるので、何度も何度も繰り返して偶発的に生ずるノイズのようなズレを除去して統計的にレスポンスが早い組み合わせを抽出する。それを3桁ずつ全部試していく。1ヵ月程度を費やして、12桁の候補を抽出して、最後に入力すると画面に「Congratulation」という文字が表示されました。このときは本当に達成感がありました。
問 大学院でハッキング手法を学ばれたことが、サイバー攻撃の初動対応でハッカー目線で状況を分析することに役立っているのですね。
答 IDとパスワードをダークマーケット[注 4]で入手して侵入してくる攻撃者はさておき、高度な技術力を持ったハッカーは、セキュリティレベルの高いシステムに足跡を残さずに侵入してくるのは、色々な工夫が必要なはずです。ハッカー側が用いているアプローチ手法は学んだのは良い経験でした。
問 山岡先生から見ると、ハッカーの中には「敵ながらあっぱれ」という人がいるのですね。
答 大企業から標的型の攻撃を受けたという相談を受けて調査すると、「これはどうやって侵入したんだろう?」と驚かされることもあります。「内部者とつながらずに外部から攻撃したならば、こちらの想像力を超えたどんな手法を使ったんだろう?」と好奇心を奮い立てさせられます。
問 ちなみに留学の費用は、すべて自腹、ですよね。
答 そうですね、完全に自腹です。しかも、事務所を経営しながら。我ながら無謀なチャレンジだったと思いますが、幸いなことにサイバーセキュリティ分野が注目を集め始めましたので、その投資は、帰国後の実務ですぐに回収できたと思っています。
問 UCバークレーのコンピュータサイエンスの大学院を修了された、というのは、クライアント企業からの信頼確保にも役立ちそうですね。
答 Master of Information and Cybersecurityというサイバーセキュリティの修士号は珍しいので、クライアントに覚えてもらいやすいかもしれません。技術力が上がっただけではなく、キャリアの差別化の観点からも良かったと思います。
(続く)
その3
新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー(3/3)(魚拓)より
山岡裕明弁護士へのインタビューの第2回である前回は、法科大学院時代の恩師である落合誠一教授に指導を求めて、仕事の合間を縫って論文を執筆したことで「サイバーセキュリティ」分野での名乗りを上げ、米国UCバークレーのコンピュータサイエンスの大学院でハッカーの攻撃手法を学ぶことで実践的な知見を獲得していった経緯をお伺いした。最終回の今回は、サイバーインシデント対応から派生する法律問題全般に業務が拡大している状況を踏まえて、法律事務所としてどのような方針で採用と人材育成に取り組んでいるのかをお尋ねする。自らはリスクを取って専門分野を確立した山岡弁護士が、経営者としては、留学制度を含めて、アソシエイトが専門性を磨きやすい環境を整備することに取り組んでいるのは興味深い(取材日:2022年10月11日。場所:商事法務会議室)。
第3部 業務拡大の方向性とアソシエイトの採用・育成
問 まだまだ山岡先生のお話をお伺いしていたいのですが、時間も限られているため、八雲法律事務所の業務について話題を移させてください。まず、事務所の名称の由来を教えていただけないでしょうか。
答 私は島根県出雲市出身なのですが、古事記においてスサノオノミコトが詠んだとされる日本初の和歌に「八雲立つ 出雲八重垣」とあることと、近年世界的に普及しているクラウドコンピューティングの「クラウド」も雲を意味していますので、「八雲」と名付けました。
問 インターネット分野のサイバーセキュリティを専門とする山岡先生の業務にぴったりの事務所名ですね。八雲では、現在、サイバーインシデント対応の仕事が何割くらいを占めているのでしょうか。
答 事務所の業務の8割が、サイバー攻撃を受けた企業からのご依頼対応で占めています。ただ、不思議なことに、サイバーセキュリティの専門性が認知されていくほどに、他の法分野の領域の仕事も増えているのが実情です。
問 たとえば、どのような法分野でしょうか。
答 分かりやすいところでは、データ・プライバシーの相談です。使う法律としては個人情報保護法ですね。先ほど、サイバーインシデント対応の一環である当局対応(③)として、個人データ漏えい等に関する個人情報保護委員会への報告業務があると述べましたが、それ以外にもIT企業からの利用規約の見直しやデータ管理の方法の相談は常に来ています。IPO段階のスタートアップ企業からデータ管理の適法性・適切性についての意見書の依頼もあります。
問 なるほど。ほかにはどのような法分野があるのでしょうか。
答 システム開発紛争のご相談も増えています。サイバーセキュリティ事案対応を通じて向上したプログラミングやネットワークの知識は、エンジニアやIT企業からの信頼を得るためには大きく役立っています。また、実際の紛争対応においても、事実関係を把握して主張、立証を組み立てるにあたって、技術の知識があると有利だと思います。建築紛争において建築の知識がある場合や医療紛争で医療の知識がある場合に有利なのと似ていますね。
問 ほかにも関連する法分野があるのでしょうか。
答 最近は、独占禁止法に関連した依頼も増えています。サイバーセキュリティでは、サプライチェーン問題があり、取引先にサイバーセキュリティ体制の構築を要請するニーズがあるのですが、「過度な要求をして、優越的地位の濫用の問題が生じないかどうか?」という相談もあります。
問 そういえば、八雲法律事務所の笠置泰平先生は、公正取引委員会の審査局に勤務されていたのですよね。
答 はい、笠置弁護士は、公取委で優越的地位の濫用に関する事件を始めとするさまざまな事件を担当していたので、競争法が関わる事案では本当に助かっています。
問 そのほかにも関連する法分野があるのでしょうか。
答 労働法分野の依頼も増えています。取引先企業への従業員のデータ管理をどうすべきかとか、データを持ち出したかもしれない従業員の調査や処分に関する相談です。こうした相談については、使用者側の労働法務で有名事務所に所属していた星野弁護士が活躍してくれています。
問 データの持ち出しに関するアドバイスでは、労働法に加えて技術の知見も求められそうですね。
答 はい、証拠を残しておくためのログの取り方を工夫しなければなりません。不正競争防止法上も、秘密として管理しなければならないですが、どうやって秘密として管理するかはシステムの話になってきます。笠置弁護士の競争法しかり、星野弁護士の労働法しかり、既存の専門性がサイバーセキュリティと交叉することで、八雲の業務範囲を広がるとともに、彼らの専門性にも新たな価値が加わりキャリアが拡がっていくのは嬉しいですね。
問 八雲法律事務所の業務範囲が広がっていくことは確実なのでしょうが、将来的にどの程度の規模の事務所を目指されているのでしょうか。
答 設立から4年で弁護士13人の事務所に成長しました。数を追うつもりはありませんが、案件に必要な弁護士を確保していくだけでも、当面は採用に積極的です。
問 所属弁護士数が増えていくと、仕事の質を担保するためのトレーニングの問題が出てくると思いますが、意識していることはありますか。
答 「法律×テクノロジー」というユニークなキャリア形成を実現するためのトレーニング方法は4つ意識しています。1つ目は、やはりオン・ザ・ジョブ・トレーニング(OJT)。インシデント・レスポンスでは、必ず3人でチームを組んで対応します。その中で問題となっているハッキングを私が実演して見せたりして、技術的な理解を深めてもらっています。2つ目は、情報処理安全確保支援士の国家試験の受験を推奨しています。体系的にセキュリティを学ぶことで実務経験との相乗効果が期待できます。3つ目は執筆です。私が2016年から2017年に掛けて初めて執筆して出版社を行脚した頃とは隔世の感がありますが、ありがたいことに常時執筆のオファーをいただけるようになりました。最近は私、中堅、若手の3名で共同執筆するようにして、若手が実務経験を言語化して体系的に思考を整理する機会にしています。若手も執筆実績が増えるので意欲的に取り組んでくれています。4つ目は、外部講師を招いた勉強会です。経験豊富なエンジニアに来てもらって、最新の技術やIT業界のトレンドに触れる機会を提供しています。技術的知見を高めるだけでなく、好奇心を刺激する場にもなっています。
問 英語力を伸ばすためのトレーニングは何か制度を設けられているのでしょうか。
答 育成方針の一環として、今年、留学支援制度を設けました。私も米国留学で大きな学びを得たので、同じようにキャリアを広げてもらいたいと願っています。
問 それは留学中の休職を認めるだけでなく、留学費用の援助も含まれるのでしょうか。
答 学費は事務所が全額負担することにしています。
問 設立4年の事務所で学費の全額負担はすごいですね。留学の権利を得るための要件や留学先の選定には縛りがあるのでしょうか。
答 あまり厳格なルールは定めていませんが、3年程度は八雲で実力を付けてもらいたいと思っています。留学先は本人に任せていますが、テクノロジーは米国が最も進んでいるので、テクノロジー分野を専門として決めているならば、米国に行くことを推奨しています。
問 山岡先生自身は自腹で留学されながら、アソシエイトの留学は事務所で支援する、というのは太っ腹ですね(笑)。
問 最後に採用基準についてお伺いさせてください。どのような要素を重視されているのでしょうか。
答 まだまだ試行錯誤を重ねているところではありますが、専門分野があると良いですね。既に高めた専門性と八雲の専門性との相乗効果が期待できます。専門性がない場合は、クライアントである企業からの要求水準を理解して、それに対して必要十分な対応ができる素養を期待していますね。
問 サイバーインシデント対応は、新しく生まれる攻撃方法との戦いでもあるので、マニュアル化できない仕事が多そうですね。そういう意味では、論理的思考力が求められるのでしょうか。
答 まさにそのとおりです。最近法律がひとつも出てこない意見書を起案しました。
問 法律意見書ではないのですか。
答 特定のサイバー攻撃の手法と被害範囲についての意見書です。あまり詳しくはお話できませんが。その時も三段論法は強く意識しました。前提事実を丁寧に認定して、信頼できる技術的な論文やセキュリティレポートを調べて規範的部分として引用し、最後に当てはめるというロジックを展開する、日頃大手法律事務所とやり取りしている大企業の担当者が読んでも違和感がないだけの論理性がある成果物を作り上げる。こういう仕事を担ってもらうためにも、うちに来てもらうアソシエイトには論理的思考力は重要だと思っています。
問 ちなみにその意見書に対するクライアントからの評価はどうだったのでしょうか。
答 クライアント企業内のエンジニアから「この意見書は本当に弁護士が書いたのか?」と驚いてくれるほどに高く評価していただけました。弁護士を12年もしていれば、既存の分野については経験知からある程度の見通しをつけることができるようになりました。しかし、サイバーセキュリティという新しい分野ではゼロベースで臨まざるを得ない事案が多くいまだに緊張感があります。それでも何とか順調に成果を出せているのは頼もしいチームのおかげです。
問 素晴らしい仕事のことをお伺いした直後に俗っぽい質問ですいませんが、アソシエイトの採用選考において、そういう論理的思考力の素養の有無を判断するために、司法試験の合格順位とかって考慮されますか。
答 司法試験の成績は提出を求めていないですね。一発勝負の試験の結果よりも、日々の学習への真面目さを示す学生時代のGPAの方が参考になると思っています。
問 ほかに考慮する要素はありますか。
答 技術、IT分野、サイバーセキュリティ分野に対する好奇心でしょうか。ダークウェブって何?このサイバー攻撃はどういった手法を使ったのか?ランサムウェア攻撃事案ではどのような法律問題があるのか?好奇心が強いと、私が説明したりリサーチを指示する前に自発的に調べ上げています。そして気がつけば私よりも技術に詳しくなっている(笑)。頼もしい限りです。
問 採用選考において、サイバーセキュリティ分野についての経験を求めていますか。それとも、入所後に勉強してくれたら、未経験者でも歓迎、と考えていますか。
答 未経験者歓迎です。今いるメンバーも、皆、八雲に入所後にキャッチアップしていますので、その点は心配していません。
問 法律的思考には自信はあるけど、既存の法分野の中で専門分野を切り拓いていくことに閉塞感を抱いている若手にはとても魅力のある事務所ですね。本日はどうもありがとうございました。
以 上
注
未開示部分について
この記事は一部会員限定となっているが、2022年12月28日に未開示部分も開示されたため、当wikiページでは全文掲載している。
【山岡裕明】八雲、名古屋・山本法律事務所事実追及スレ【山本祥平】★2>>426(魚拓) 426 :[´・ω・`] onion.xor.sc:2022/12/28(水) 19:25:49.56 ID:kGqZjM9l0 何とは言わんが未開時部分も更新しましたのでぜひご覧下さい 一応こんな感じでした 1/3 https://i.imgur.com/yIPMyM6.jpg(魚拓) https://i.imgur.com/MSxNFpB.jpg(魚拓) https://i.imgur.com/qOTdTR8.jpg(魚拓) https://i.imgur.com/i3Nx4Sx.jpg(魚拓) https://i.imgur.com/SDmXKMG.jpg(魚拓) 2/3 https://i.imgur.com/DOERVxq.jpg(魚拓) https://i.imgur.com/bdMO2G1.jpg(魚拓) https://i.imgur.com/DLWgLsd.jpg(魚拓) https://i.imgur.com/kk5dTPH.jpg(魚拓) 3/3 https://i.imgur.com/drrWL3r.jpg(魚拓) https://i.imgur.com/8Iaiio1.png(魚拓) 202212山岡先生西田先生対談4 https://i.imgur.com/gMuMR3I.jpg(魚拓) https://i.imgur.com/RnOOZDx.jpg(魚拓) https://i.imgur.com/F3C4UOQ.jpg(魚拓) https://i.imgur.com/5pROHBH.png(魚拓) 202212山岡先生西田先生対談5
没写真?
202212山岡先生西田先生対談2.pngは記事中で使用されていないものの写真自体は存在しているため、何らかの理由で没にされたと推定される[4]。例のスレでは前回の西田弁護士インタビューと同じくいかがわしい書き込み[5]がされていた。
今回明らかになったこと
- グローバルなインシデント事案については司令塔となる日本の本社から依頼を受けて対応しており、法律事務所やセキュリティベンダーとも連携しているということ。
- 八雲セキュリティコンサルティングは2022年10月からフォレンジックサービスを開始し、国内の調査案件であれば自前で調査を受けることもできる体制が整ったということ。
- 2022年4月1日に個人情報保護法の改正法が施行されてからの8ヵ月で、速報・確報を既に数十件担当しているということ。
- 紛争対応は裁判例が少ない分野であるため、ひとつひとつの紛争対応が先例になり得ることを考えると非常にやりがいがあると述べていること。
- 企業に対して最も注意を促しておきたい点はと尋ねられて「サイバーリスクの変容」と回答していること。
- クロス参画以前はM&A、委任状争奪戦や渉外訴訟等の企業法務全般を扱う弁護士であったが、周りにいる弁護士がみんな自分よりも経験豊富で優秀に見え若手時代は劣等感が強く抱いてしまい、「既存の法分野では生き残ることができない」と見切りを付けてインターネット分野に足を踏み入れたということ。
- クロス参画以前に所属していた法律事務所が唐澤洋と間接的な繋がりがあったことが確認されているため、インターネット分野に足を踏み入れる過程で唐澤洋を経由し息子である唐澤貴洋がインターネット分野の案件を取り扱っていたことを知り接近した可能性がある。
- クロス参画直後はインターネット上の誹謗中傷対応が主な仕事であったということ。
- 元々の企業法務の経験とインターネット上の法律問題が交叉する分野は何かを考え、サイバーセキュリティに辿り着いたということ。
- 中央大学の法科大学院では論文執筆は義務とされてはいないものの、選択科目で論文を執筆したということ。
- 論文については落合誠一教授や大杉謙一教授が指導教官、副査を担当していたということ。
- 当時どのようにしてサイバーセキュリティを弁護士の専門性として確立していくのかが分からなかったため情報処理技術者取得を目指したということ。
- 現在は八雲所属弁護士に情報処理技術者の取得を推奨している。
- 基本情報処理技術者と情報セキュリティスペシャリストはそれぞれ半年間の勉強で合格したということ。
- 試験合格後もサイバーセキュリティの仕事は全くなく、次に取り組んだのは論文執筆であったということ。
- ビジネス法務「サイバーセキュリティと企業法務」の論文執筆の際には落合教授の指導を再度の指導をお願いしたということ。
- 2015年から2016年に掛けては情報処理技術者試験の勉強、2016年の秋から2017年の春までは論文の執筆、それ以降は留学に向けたTOEFLとGMATの勉強に励んだということ。
- 2019年にUCバークレーのロースクールに客員研究員として渡米し、最初に聴講したサイバーセキュリティの授業で衝撃を受け、School of Information(情報大学院)というコンピュータサイエンスの大学院に入学することを決めたということ。
- 情報大学院の中でChris Jay Hoofnagle教授の授業で最も強い衝撃を受けたということ。
- School of Informationの大学院の同期は15名いたが、大半はエンジニアであり、入学面接の際に「最初のロイヤー」と言われたということ。
- 同期にはミドルキャリアもいて、マイクロソフトのエンジニアや米国空軍のエンジニアもいたということ。
- 同期の多くはシリコンバレー企業のセキュリティエンジニアとして就職しており、卒業後もSlackで日常的にコミュニケーションをとっており、彼らから米国におけるサイバーセキュリティの情報や意見をもらっているということ。
- Hoofnagle教授以外にはオバマ政権時代のセキュリティオフィサーだった教授や有名な企業のChief Information Security Officerが指導に来ていたということ。
- Hoofnagle教授はサイバーセキュリティ総論的に、ペンタゴンが、対ロシア、対中国との関係でサイバーセキュリティをどう捉えているか、米国におけるサイバーセキュリティ法制はどのように変遷しているかという授業を担当していたということ。
- 他にも暗号、数学、プログラミング、ハッキングのクラスも受講していたということ。
- グループワークの一環として自分でPythonなどを用いてプログラムを書き、スマホのスパイウエアを探知するアプリケーションを作ったということ。
- ハッキングの授業の試験でサイドチャネル攻撃(12桁のパスワードを突破する課題)をしたということ。
- 留学の費用はすべて自腹であるということ。
- 事務所の業務の8割がサイバー攻撃を受けた企業からのご依頼対応であるが、他の法分野(例としてデータ・プライバシーの相談、システム開発紛争、独占禁止法に関連した依頼、労働法分野の依頼を挙げている)の領域の仕事も増えているということ。
- 笠置泰平については「公取委で優越的地位の濫用に関する事件を始めとするさまざまな事件を担当していたので、競争法が関わる事案では本当に助かっています。」と評価しているということ。
- 取引先企業への従業員のデータ管理をどうすべきかとか、データを持ち出したかもしれない従業員の調査や処分に関する相談については星野悠樹の活躍を期待しているということ。
- 案件に必要な弁護士を確保していくために当面は採用に積極的な姿勢を表明していること。
- 「法律×テクノロジー」というユニークなキャリア形成を実現するためのトレーニング方法の4ヶ条として「オン・ザ・ジョブ・トレーニング(OJT)」、「情報処理安全確保支援士の受験の推奨」、「論文執筆」、「外部講師を招いた勉強会」を挙げているということ。
- インシデント・レスポンスでは必ず3人でチームを組んで対応しており、ハッキングを実演して見せたりして、技術的な理解を深めているということ。
- 論文執筆については山岡、中堅、若手の3名で共同執筆するようにして、若手が実務経験を言語化して体系的に思考を整理する機会にしているということ。
- 経験豊富なエンジニアに来てもらって、最新の技術やIT業界のトレンドに触れる機会を提供しているということ。
- 育成方針の一環として2022年より留学支援制度を設けたということ。
- 留学の学費は事務所が全額負担しているということ。
- 3年程度は八雲で実力を付けてもらいたいと思っているが、留学については本人任せな面が強く、特に大きな指定はないということ。
- 採用基準については専門分野があること、またはクライアントである企業からの要求水準を理解し必要十分な対応ができる素養があることを挙げているということ。
- 司法試験の成績は提出を求めておらず、日々の学習への真面目さを示す学生時代のGPAの方を参考にしているということ。
- 他には技術、IT分野、サイバーセキュリティ分野に対する好奇心も考慮しているということ。
- サイバーセキュリティ分野については未経験者歓迎であり、今いるメンバーも八雲に入所後にキャッチアップしているということ。
脚注
関連項目
- 西田弁護士インタビュー - 同じく西田弁護士が山岡を取材した記事