編集の要約なし
>麺包超人に強い弁護士 |
>貴洋のホルマリン漬 編集の要約なし |
||
| 42行目: | 42行目: | ||
答 被害企業が自ら報告されても構わないのですが、被害企業としてはサイバー被害自体初めであることが多いため速報・確報に慣れていらっしゃるわけではないですし、復旧に向けて日夜ご尽力されている現場のご担当者にとって速報・確報の負担は軽くありません。そのため、当事務所で受任した場合には、当事務所で当局とのコミュニケーションを代理し、依頼企業には業務復旧に注力してもらいます | 答 被害企業が自ら報告されても構わないのですが、被害企業としてはサイバー被害自体初めであることが多いため速報・確報に慣れていらっしゃるわけではないですし、復旧に向けて日夜ご尽力されている現場のご担当者にとって速報・確報の負担は軽くありません。そのため、当事務所で受任した場合には、当事務所で当局とのコミュニケーションを代理し、依頼企業には業務復旧に注力してもらいます | ||
問 当局に報告する前段階の「そもそも報告するべきか?」という判断では、会社側には「できれば報告したくない」という要望もありそうですが、この点はいかがでしょうか。 | 問 当局に報告する前段階の「そもそも報告するべきか?」という判断では、会社側には「できれば報告したくない」という要望もありそうですが、この点はいかがでしょうか。 | ||
答 そこは、当事務所の技術的な知見が役立っています。たとえばログにある種の兆候があった場合、個人データが漏えいした可能性は否定できないので個人情報保護委員会への報告をしましょう、と技術的に自信を持ってアドバイスを差し上げています。 | |||
問 アドバイスに従わない経営者はいないのでしょうか。 | |||
答 施行日から日が浅く、この速報・確報の義務が必ずしも浸透しているわけではないため、「まだ調査結果が出ておらず個人データが漏えいしたかは定かではないので報告しなくてもいいのではないか」とお考えになる方もいらっしゃいますが、[[ダークウェブ]]<ref>検索エンジンからは見つからず、ログインや専用ソフトを使いアクセスをする匿名性の高いウェブ空間。</ref>上で日本企業のデータが販売されている様子を実際にお示ししてみせた上で、「ハッカーはダークウェブ上で被害企業のデータを売っています。こうしたダークウェブ上にデータが流出することで貴社からデータが漏えいしていたことが判明したら、取引先や当局への説明に困りますよ。ハッカーが侵入した形跡があるならば、報告する方向で検討すべきです。」と説明すれば納得していただけます。 | |||
問 よくわかりました。それでは、次のフローは再発防止策の策定(④)となりますが、これは技術的な対応がメインになるのでしょうか。 | |||
答 そうですね、再発防止策は、セキュリティベンダーと共に策定しますが、サイバー攻撃の真因は、経営層がセキュリティ部門に十分な予算を割いていなかったり、ガバナンスの問題に関わっていたりすることが多いので、弁護士としての役割も期待される部分です。 | |||
問 ガバナンスの問題、というのは具体的にはどういう問題でしょうか。 | |||
答 セキュリティを外部のベンダーに丸投げしてたり、内部のセキュリティ部門が脆弱性を報告していたにも関わらず、経営層がその報告を放置していたことがサイバー攻撃の被害につながった、という場合が典型事例です。最近は、サイバーインシデントが発生した組織において第三者委員会を設置してガバナンスの観点から問題を検証する事例が増えています。 | |||
問 なるほど。そして、真因を洗い出した調査結果を踏まえて、次のフローである紛争対応(⑤)を担当されるのですね。 | |||
答 その通りです。取引先や顧客からの損害賠償請求においては、サイバー攻撃の原因が何だったのか、攻撃を防ぐセキュリティ対応の義務があったのか、攻撃は予見可能だったのか、といった点を、ハッカー集団の特徴やサイバー攻撃の種類、導入していたシステムの機能など技術的見地から法律上の義務違反の有無を精査した上で、紛争対応に臨みます。裁判例が少ない分野ですので、ひとつひとつの紛争対応が先例になり得ることを考えると、弁護士として非常にやりがいがあります。 | |||
問 紛争対応の代理人業務はとても弁護士らしい仕事ですが、訴訟活動の前提には技術的専門性に基づく分析が必要となるのですね。インシデントが起きた後の対応だけでなく、事前に予防法務の依頼も受けているのでしょうか。 | |||
答 BCP策定のご依頼は増えています。特に、ランサムウェア攻撃を受けた場合に誰が責任者となるか、どの部署が対策チームを構成するか、どの専門家に調査を依頼するか、緊急時のコミュニケーションの確保、バックアップの運用等を盛り込んだプラン作りの仕事です。 | |||
問 予防法務というよりも、技術的なコンサルなのでしょうか。 | |||
答 コンサルティングの側面は確かに強いですが、内部統制システムの一環ですので、プランへの落とし込みには常に会社法を意識しています。 | |||
問 インシデント発生後の事後対応のノウハウは、予防策のプラン作りにも役立っていますか。 | |||
答 はい、まさに。たとえば、ランサムウェアの現場において、メールサーバも暗号化された結果、社内の伝達手段が止められてしまったことがあり、その経験から、事前のBCPにWebメールやチャットツールなど予備のコミュニケーションツールの確保を提案するようになりました。インシデント対応の経験を活かして常に改良を続けています。 | |||
問 山岡先生のところには、最新の事例が集まっていますものね。サイバーセキュリティ対応で、山岡先生が、企業に対して、最も注意を促しておきたい点は何ですか。 | |||
答 サイバーリスクの変容です。「サイバーリスクって何ですか?」と尋ねてみると、多くの経営層の方が「個人情報の漏えいでしょ?」と仰います。これは、2014年に起きたベネッセの個人情報流出事件が念頭にあるのだと思われますが、残念ながら、サイバーリスクはそこから大きく変容しています | |||
問 現在のリスクは何なのでしょうか。 | |||
答 昨今話題になっているランサムウェアの本当の怖さはシステムを止めるところにあります。米国では、2021年5月に石油のパイプラインの輸送が停止に追い込まれました。リスクマネジメントの観点では、リスク評価は、顕在化した場合の深刻度合いと発生確率を掛け合わせて行われます。会社のシステムを止める、という点で、サイバー攻撃は、地震や津波と同じレベルの脅威であると認識していただきたいです。そして、発生確率について言えば、サイバー攻撃は人為的に引き起こされ、かつ、逮捕されにくく、地震や津波よりはるかに発生確率は高いといえます。深刻度合い×発生確率で言えば、サイバーリスクは企業が直面するリスクの中での最大級のコーポレートリスクになっていると言っても過言ではないでしょう。 | |||
問 ハッカーは会社のシステムを止めることができるのでしょうか。 | |||
答 「ランサムウェアが電子ファイルを暗号化する」と聞くと、多くの人は「WordやExcelで作ったドキュメントが暗号化される」という被害をイメージされがちなのですが、スマホのアプリケーションも、医療システムも、工場の制御システムも、銀行の送金システムも、拡張子が違うだけで、すべて電子ファイルから作られています。そのため、事業を支えるあらゆる基幹システムが暗号化により止められてしまうリスクが存在します。企業のDX化が進めば進むほど、ハッカーが攻撃できる対象は会社システムのすべてに広がっていくことになります。 | |||
問 それは企業としても無視できないリスクですね。サイバーセキュリティーの重要性に加え、技術的要素が強いと思っていたサイバーセキュリティにおいて八雲法律事務所がどのように関わっているのかよくわかりました。 | |||
(続く) | |||
</poem> | </poem> | ||
== その2 == | == その2 == | ||
| 81行目: | 103行目: | ||
答 授業を終えた教授を捕まえて、「自分は日本から来た弁護士で、どうしてもUCバークレーの大学院でサイバーセキュリティを勉強したい」と訴えかけました。彼はLaw School とSchool of Informationの教授を務めており、サイバーセキュリティを学ぶためにはやはり技術を学ぶ必要がある、それにはSchool of Informationが最適だという助言をもらいました。技術的バックグランドが無い私が合格できたのは、Hoofnagle教授とのご縁があったおかげだと感謝しています。 | 答 授業を終えた教授を捕まえて、「自分は日本から来た弁護士で、どうしてもUCバークレーの大学院でサイバーセキュリティを勉強したい」と訴えかけました。彼はLaw School とSchool of Informationの教授を務めており、サイバーセキュリティを学ぶためにはやはり技術を学ぶ必要がある、それにはSchool of Informationが最適だという助言をもらいました。技術的バックグランドが無い私が合格できたのは、Hoofnagle教授とのご縁があったおかげだと感謝しています。 | ||
問 コンピュータサイエンスの大学院には、弁護士も多いのでしょうか。 | 問 コンピュータサイエンスの大学院には、弁護士も多いのでしょうか。 | ||
答 School of Informationの大学院の同期は15名いますが、エンジニアばかりでした。入学時の面接の際に、私は「最初のロイヤー」と言われた記憶があります。私の後には米国人の弁護士が2名入学して来て、事務局から紹介を受けました。同期は、学部から上がってきた学生もいれば、私のようなミドルキャリアもいて、マイクロソフトのエンジニアや米国空軍のエンジニアもいました。 | |||
問 同期の方々は、卒業後にどのようなキャリアを歩まれるのでしょうか。 | |||
答 多くの同期は、卒業後に、SalesforceやGoogleなどのシリコンバレー企業のセキュリティエンジニアとして就職しています。卒業後もSlackで日常的にコミュニケーションをとっているので、彼らから米国におけるサイバーセキュリティの情報や意見をもらえるのはとてもありがたいです。留学で貴重な人脈を作ることができました。 | |||
問 Hoofnagle教授以外にはコンピュータサイエンスの大学院ではどのような教授がいらっしゃったのですか。 | |||
答 オバマ政権時代のセキュリティオフィサーだった教授もいます。また、キャンパスがシリコンバレーに近いので、有名な企業のChief Information Security Officerが指導に来てくれたこともあります。 | |||
問 どのような科目を受講されたのですか。それは実務に役立つような内容なのでしょうか。 | |||
答 文系的な科目で言えば、Hoofnagle教授は、サイバーセキュリティ総論的に、ペンタゴンが、対ロシア、対中国との関係でサイバーセキュリティをどう捉えているか、米国におけるサイバーセキュリティ法制はどのように変遷しているか、というような授業を担当されました。オバマ政権のセキュリティオフィサーは、「Fifth(5番目の)・ドメイン(領域)」というテーマを担当していました。米軍は、陸・海・空・宇宙に続いて、サイバー空間を5番目の重要なドメインとして捉えている、という話です。よりコンピューターサイエンス的な授業としては、暗号、数学、プログラミング、ハッキングのクラスを受講しました。大学院の2年弱の期間が、自分の技術力を爆発的に高めてくれました、 | |||
問 プログラミングやハッキングの手法を授業で学ぶのですか。 | |||
答 グループワークでスマホのスパイウエアを探知するアプリケーションを作ったりしました。ハッキングは、教授が用意したシステムを攻撃してみろ、という課題です。自分でPhythonなどを用いてプログラムを書いて、色々な手法の攻撃を試します。あれは楽しかったです。 | |||
問 文系の自分には想像もつかない課題です。 | |||
答 ハッキングの授業の試験で、サイドチャネル攻撃、というのがありました。12桁のパスワードを突破する課題ですが、正攻法ではなく、サイドチャネル(物理的な特性の変化)を外部から観測・解析してハッキングするというものです。まず正攻法として12桁の数字を機械的に総当たりで試すと10の12乗、すなわち一兆通りを試すことになりますので、膨大な時間が掛かります。そこでアプローチを変えなければなりません。2週間試行錯誤しましたが全く解決の糸口が見えないので教授にヒントをお願いしたところ、3桁ずつ試しては? との助言をもらいました。3桁だけだったら10の3乗で1000通りなので数分で終わる。1000通りのレスポンスの時間を全て計測すると、ごく一部の組み合わせだけレスポンスに掛かる時間が0.001秒だけ早い。ただ、一組だけ早ければ解析は単純なのですが、ネットワークの混雑状況や端末のCPUやメモリの状況によって時間がズレることもあるので、何度も何度も繰り返して偶発的に生ずるノイズのようなズレを除去して統計的にレスポンスが早い組み合わせを抽出する。それを3桁ずつ全部試していく。1ヵ月程度を費やして、12桁の候補を抽出して、最後に入力すると画面に「Congratulation」という文字が表示されました。このときは本当に達成感がありました。 | |||
問 大学院でハッキング手法を学ばれたことが、サイバー攻撃の初動対応でハッカー目線で状況を分析することに役立っているのですね。 | |||
答 IDとパスワードをダークマーケット<ref>ダークウェブ上で電子取引を行うサイト。</ref>で入手して侵入してくる攻撃者はさておき、高度な技術力を持ったハッカーは、セキュリティレベルの高いシステムに足跡を残さずに侵入してくるのは、色々な工夫が必要なはずです。ハッカー側が用いているアプローチ手法は学んだのは良い経験でした。 | |||
問 山岡先生から見ると、ハッカーの中には「敵ながらあっぱれ」という人がいるのですね。 | |||
答 大企業から標的型の攻撃を受けたという相談を受けて調査すると、「これはどうやって侵入したんだろう?」と驚かされることもあります。「内部者とつながらずに外部から攻撃したならば、こちらの想像力を超えたどんな手法を使ったんだろう?」と好奇心を奮い立てさせられます。 | |||
問 ちなみに留学の費用は、すべて自腹、ですよね。 | |||
答 そうですね、完全に自腹です。しかも、事務所を経営しながら。我ながら無謀なチャレンジだったと思いますが、幸いなことにサイバーセキュリティ分野が注目を集め始めましたので、その投資は、帰国後の実務ですぐに回収できたと思っています。 | |||
問 UCバークレーのコンピュータサイエンスの大学院を修了された、というのは、クライアント企業からの信頼確保にも役立ちそうですね。 | |||
答 Master of Information and Cybersecurityというサイバーセキュリティの修士号は珍しいので、クライアントに覚えてもらいやすいかもしれません。技術力が上がっただけではなく、キャリアの差別化の観点からも良かったと思います。 | |||
(続く) | |||
</poem> | </poem> | ||
== その3 == | == その3 == | ||
| 117行目: | 158行目: | ||
問 それは留学中の休職を認めるだけでなく、留学費用の援助も含まれるのでしょうか。 | 問 それは留学中の休職を認めるだけでなく、留学費用の援助も含まれるのでしょうか。 | ||
答 学費は事務所が全額負担することにしています。 | 答 学費は事務所が全額負担することにしています。 | ||
問 設立4年の事務所で学費の全額負担はすごいですね。留学の権利を得るための要件や留学先の選定には縛りがあるのでしょうか。 | |||
答 あまり厳格なルールは定めていませんが、3年程度は八雲で実力を付けてもらいたいと思っています。留学先は本人に任せていますが、テクノロジーは米国が最も進んでいるので、テクノロジー分野を専門として決めているならば、米国に行くことを推奨しています。 | |||
問 山岡先生自身は自腹で留学されながら、アソシエイトの留学は事務所で支援する、というのは太っ腹ですね(笑)。 | |||
問 最後に採用基準についてお伺いさせてください。どのような要素を重視されているのでしょうか。 | |||
答 まだまだ試行錯誤を重ねているところではありますが、専門分野があると良いですね。既に高めた専門性と八雲の専門性との相乗効果が期待できます。専門性がない場合は、クライアントである企業からの要求水準を理解して、それに対して必要十分な対応ができる素養を期待していますね。 | |||
問 サイバーインシデント対応は、新しく生まれる攻撃方法との戦いでもあるので、マニュアル化できない仕事が多そうですね。そういう意味では、論理的思考力が求められるのでしょうか。 | |||
答 まさにそのとおりです。最近法律がひとつも出てこない意見書を起案しました。 | |||
問 法律意見書ではないのですか。 | |||
答 特定のサイバー攻撃の手法と被害範囲についての意見書です。あまり詳しくはお話できませんが。その時も三段論法は強く意識しました。前提事実を丁寧に認定して、信頼できる技術的な論文やセキュリティレポートを調べて規範的部分として引用し、最後に当てはめるというロジックを展開する、日頃大手法律事務所とやり取りしている大企業の担当者が読んでも違和感がないだけの論理性がある成果物を作り上げる。こういう仕事を担ってもらうためにも、うちに来てもらうアソシエイトには論理的思考力は重要だと思っています。 | |||
問 ちなみにその意見書に対するクライアントからの評価はどうだったのでしょうか。 | |||
答 クライアント企業内のエンジニアから「この意見書は本当に弁護士が書いたのか?」と驚いてくれるほどに高く評価していただけました。弁護士を12年もしていれば、既存の分野については経験知からある程度の見通しをつけることができるようになりました。しかし、サイバーセキュリティという新しい分野ではゼロベースで臨まざるを得ない事案が多くいまだに緊張感があります。それでも何とか順調に成果を出せているのは頼もしいチームのおかげです。 | |||
問 素晴らしい仕事のことをお伺いした直後に俗っぽい質問ですいませんが、アソシエイトの採用選考において、そういう論理的思考力の素養の有無を判断するために、司法試験の合格順位とかって考慮されますか。 | |||
答 司法試験の成績は提出を求めていないですね。一発勝負の試験の結果よりも、日々の学習への真面目さを示す学生時代のGPAの方が参考になると思っています。 | |||
問 ほかに考慮する要素はありますか。 | |||
答 技術、IT分野、サイバーセキュリティ分野に対する好奇心でしょうか。ダークウェブって何?このサイバー攻撃はどういった手法を使ったのか?ランサムウェア攻撃事案ではどのような法律問題があるのか?好奇心が強いと、私が説明したりリサーチを指示する前に自発的に調べ上げています。そして気がつけば私よりも技術に詳しくなっている(笑)。頼もしい限りです。 | |||
問 採用選考において、サイバーセキュリティ分野についての経験を求めていますか。それとも、入所後に勉強してくれたら、未経験者でも歓迎、と考えていますか。 | |||
答 未経験者歓迎です。今いるメンバーも、皆、八雲に入所後にキャッチアップしていますので、その点は心配していません。 | |||
問 法律的思考には自信はあるけど、既存の法分野の中で専門分野を切り拓いていくことに閉塞感を抱いている若手にはとても魅力のある事務所ですね。本日はどうもありがとうございました。 | |||
以 上 | |||
</poem> | </poem> | ||
== 脚注 == | == 脚注 == | ||