現在マヨケーがダウンしています。避難所にはカクケーモリケーがあります。

「新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か?」の版間の差分

ナビゲーションに移動 検索に移動
編集の要約なし
>パパ活也
>鬼畜康太
編集の要約なし
3行目: 3行目:


== 概要 ==
== 概要 ==
西田弁護士の経歴については[[西田弁護士インタビュー#概要]]を参照。
商事法務ポータルに掲載されており、正式名称は「◆SH4247◆新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー」である。
商事法務ポータルに掲載されており、正式名称は「◆SH4247◆新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か? 第4回 山岡裕明弁護士インタビュー」である。
前述の西田弁護士インタビューでは[[八雲法律事務所]]の採用基準についての話がメインだったが、今回は山岡の事務所開業経緯や留学時代の話、スタッフの評価や事業展開など山岡本人に更に深く切り込んだ内容となっている。


この対談記事はその1からその3の3つに分かれているが、当ページでは1つにまとめて掲載している。
この対談記事はその1からその3の3つに分かれているが、当ページでは1つにまとめて掲載している。
30行目: 34行目:
これまでに多数のインシデント・レスポンスに関わってきたおかげで、第一報を受けて被害状況をヒアリングした段階で、攻撃者の侵入経路、マルウェアの答 機能、被害の範囲等についてある程度見通しをつけることができるようになりました。この経験値から導かれる見通しを踏まえて初動対応を被害企業にお伝えしています。
これまでに多数のインシデント・レスポンスに関わってきたおかげで、第一報を受けて被害状況をヒアリングした段階で、攻撃者の侵入経路、マルウェアの答 機能、被害の範囲等についてある程度見通しをつけることができるようになりました。この経験値から導かれる見通しを踏まえて初動対応を被害企業にお伝えしています。
問 第一報でもサイバー攻撃の種類を知る手掛かりがあるのですか。
問 第一報でもサイバー攻撃の種類を知る手掛かりがあるのですか。
答 たとえば、ランサムウェア攻撃を受けた事案の場合、ランサムノートという置き手紙に書かれたハッカー集団の名称と暗号化された電子ファイルの拡張子を確認できれば、大体、侵入経路を推測することができます。「この[[VPN]]の脆弱性を突いて侵入された可能性が高いので、パスワードを変更しましょう」と指示することもあれば、「バックドア<ref>ハッカーが侵入後に再度侵入できるようサーバ内部に設置するプログラム。</ref>が仕掛けられているだろうから、パスワードの変更に加えてバックドアの有無を全部チェックしましょう」と指示することもあります。
答 たとえば、ランサムウェア攻撃を受けた事案の場合、ランサムノートという置き手紙に書かれたハッカー集団の名称と暗号化された電子ファイルの拡張子を確認できれば、大体、侵入経路を推測することができます。「この[[VPN]]の脆弱性を突いて侵入された可能性が高いので、パスワードを変更しましょう」と指示することもあれば、「バックドア<ref group="注"><!--1--> ハッカーが侵入後に再度侵入できるようサーバ内部に設置するプログラム。</ref>が仕掛けられているだろうから、パスワードの変更に加えてバックドアの有無を全部チェックしましょう」と指示することもあります。
問 ハッカー集団には多数の種類が存在しているのですか。
問 ハッカー集団には多数の種類が存在しているのですか。
答 もともとの集団から分派しているので数は増えていますが、ルーツが同じだと使う手法も似ています。
答 もともとの集団から分派しているので数は増えていますが、ルーツが同じだと使う手法も似ています。
44行目: 48行目:
答 そこは、当事務所の技術的な知見が役立っています。たとえばログにある種の兆候があった場合、個人データが漏えいした可能性は否定できないので個人情報保護委員会への報告をしましょう、と技術的に自信を持ってアドバイスを差し上げています。
答 そこは、当事務所の技術的な知見が役立っています。たとえばログにある種の兆候があった場合、個人データが漏えいした可能性は否定できないので個人情報保護委員会への報告をしましょう、と技術的に自信を持ってアドバイスを差し上げています。
問 アドバイスに従わない経営者はいないのでしょうか。
問 アドバイスに従わない経営者はいないのでしょうか。
答 施行日から日が浅く、この速報・確報の義務が必ずしも浸透しているわけではないため、「まだ調査結果が出ておらず個人データが漏えいしたかは定かではないので報告しなくてもいいのではないか」とお考えになる方もいらっしゃいますが、[[ダークウェブ]]<ref>検索エンジンからは見つからず、ログインや専用ソフトを使いアクセスをする匿名性の高いウェブ空間。</ref>上で日本企業のデータが販売されている様子を実際にお示ししてみせた上で、「ハッカーはダークウェブ上で被害企業のデータを売っています。こうしたダークウェブ上にデータが流出することで貴社からデータが漏えいしていたことが判明したら、取引先や当局への説明に困りますよ。ハッカーが侵入した形跡があるならば、報告する方向で検討すべきです。」と説明すれば納得していただけます。
答 施行日から日が浅く、この速報・確報の義務が必ずしも浸透しているわけではないため、「まだ調査結果が出ておらず個人データが漏えいしたかは定かではないので報告しなくてもいいのではないか」とお考えになる方もいらっしゃいますが、[[ダークウェブ]]<ref group="注"><!--2--> 検索エンジンからは見つからず、ログインや専用ソフトを使いアクセスをする匿名性の高いウェブ空間。</ref>上で日本企業のデータが販売されている様子を実際にお示ししてみせた上で、「ハッカーはダークウェブ上で被害企業のデータを売っています。こうしたダークウェブ上にデータが流出することで貴社からデータが漏えいしていたことが判明したら、取引先や当局への説明に困りますよ。ハッカーが侵入した形跡があるならば、報告する方向で検討すべきです。」と説明すれば納得していただけます。
問 よくわかりました。それでは、次のフローは再発防止策の策定(④)となりますが、これは技術的な対応がメインになるのでしょうか。
問 よくわかりました。それでは、次のフローは再発防止策の策定(④)となりますが、これは技術的な対応がメインになるのでしょうか。
答 そうですね、再発防止策は、セキュリティベンダーと共に策定しますが、サイバー攻撃の真因は、経営層がセキュリティ部門に十分な予算を割いていなかったり、ガバナンスの問題に関わっていたりすることが多いので、弁護士としての役割も期待される部分です。
答 そうですね、再発防止策は、セキュリティベンダーと共に策定しますが、サイバー攻撃の真因は、経営層がセキュリティ部門に十分な予算を割いていなかったり、ガバナンスの問題に関わっていたりすることが多いので、弁護士としての役割も期待される部分です。
76行目: 80行目:
<poem>
<poem>
問 サイバーセキュリティは、今でこそ、日本経済新聞でも連日のように取り上げられるテーマとなりましたが、山岡先生は、なぜ、この分野に注目されたのでしょうか。
問 サイバーセキュリティは、今でこそ、日本経済新聞でも連日のように取り上げられるテーマとなりましたが、山岡先生は、なぜ、この分野に注目されたのでしょうか。
答 私は元々、M&A、委任状争奪戦や渉外訴訟等の企業法務全般を扱う弁護士でした。周りにいる弁護士がみんな自分よりも経験豊富で優秀に見えてしまい、若手時代は劣等感が強かったですね。そこで、「既存の法分野では生き残ることができない」と見切りを付けて、2015年に独立<ref>2018年に[[八雲法律事務所]]を設立、2015年に[[法律事務所クロス|前身の法律事務所]]を開設。</ref>する際に、自分でも戦えるブルーオーシャンを探して考え抜いた末に見つけたのが、インターネット分野でした。
答 私は元々、M&A、委任状争奪戦や渉外訴訟等の企業法務全般を扱う弁護士でした。周りにいる弁護士がみんな自分よりも経験豊富で優秀に見えてしまい、若手時代は劣等感が強かったですね。そこで、「既存の法分野では生き残ることができない」と見切りを付けて、2015年に独立<ref group="注"><!--3-->2018年に[[八雲法律事務所]]を設立、2015年に[[法律事務所クロス|前身の法律事務所]]を開設。</ref>する際に、自分でも戦えるブルーオーシャンを探して考え抜いた末に見つけたのが、インターネット分野でした。
問 独立直後からサイバーセキュリティ対応に取り組まれたのでしょうか。
問 独立直後からサイバーセキュリティ対応に取り組まれたのでしょうか。
答 最初は、インターネット上の誹謗中傷対応から始めました。2015年当時は、まだ黎明期でほかに扱う弁護士も少なかったため、仕事は順調に拡大しました。しばらくして、「インターネット上の法律問題で企業が困難に直面する問題は何か?」換言すれば、元々の企業法務の経験とインターネット上の法律問題が交叉する分野はないか、と考えるようになりました。それがサイバーセキュリティでした。このアイディアに至る過程において、法科大学院時代に取締役の義務をテーマに研究して修士論文を書いたことを思い出しました。
答 最初は、インターネット上の誹謗中傷対応から始めました。2015年当時は、まだ黎明期でほかに扱う弁護士も少なかったため、仕事は順調に拡大しました。しばらくして、「インターネット上の法律問題で企業が困難に直面する問題は何か?」換言すれば、元々の企業法務の経験とインターネット上の法律問題が交叉する分野はないか、と考えるようになりました。それがサイバーセキュリティでした。このアイディアに至る過程において、法科大学院時代に取締役の義務をテーマに研究して修士論文を書いたことを思い出しました。
115行目: 119行目:
答 ハッキングの授業の試験で、サイドチャネル攻撃、というのがありました。12桁のパスワードを突破する課題ですが、正攻法ではなく、サイドチャネル(物理的な特性の変化)を外部から観測・解析してハッキングするというものです。まず正攻法として12桁の数字を機械的に総当たりで試すと10の12乗、すなわち一兆通りを試すことになりますので、膨大な時間が掛かります。そこでアプローチを変えなければなりません。2週間試行錯誤しましたが全く解決の糸口が見えないので教授にヒントをお願いしたところ、3桁ずつ試しては? との助言をもらいました。3桁だけだったら10の3乗で1000通りなので数分で終わる。1000通りのレスポンスの時間を全て計測すると、ごく一部の組み合わせだけレスポンスに掛かる時間が0.001秒だけ早い。ただ、一組だけ早ければ解析は単純なのですが、ネットワークの混雑状況や端末のCPUやメモリの状況によって時間がズレることもあるので、何度も何度も繰り返して偶発的に生ずるノイズのようなズレを除去して統計的にレスポンスが早い組み合わせを抽出する。それを3桁ずつ全部試していく。1ヵ月程度を費やして、12桁の候補を抽出して、最後に入力すると画面に「Congratulation」という文字が表示されました。このときは本当に達成感がありました。
答 ハッキングの授業の試験で、サイドチャネル攻撃、というのがありました。12桁のパスワードを突破する課題ですが、正攻法ではなく、サイドチャネル(物理的な特性の変化)を外部から観測・解析してハッキングするというものです。まず正攻法として12桁の数字を機械的に総当たりで試すと10の12乗、すなわち一兆通りを試すことになりますので、膨大な時間が掛かります。そこでアプローチを変えなければなりません。2週間試行錯誤しましたが全く解決の糸口が見えないので教授にヒントをお願いしたところ、3桁ずつ試しては? との助言をもらいました。3桁だけだったら10の3乗で1000通りなので数分で終わる。1000通りのレスポンスの時間を全て計測すると、ごく一部の組み合わせだけレスポンスに掛かる時間が0.001秒だけ早い。ただ、一組だけ早ければ解析は単純なのですが、ネットワークの混雑状況や端末のCPUやメモリの状況によって時間がズレることもあるので、何度も何度も繰り返して偶発的に生ずるノイズのようなズレを除去して統計的にレスポンスが早い組み合わせを抽出する。それを3桁ずつ全部試していく。1ヵ月程度を費やして、12桁の候補を抽出して、最後に入力すると画面に「Congratulation」という文字が表示されました。このときは本当に達成感がありました。
問 大学院でハッキング手法を学ばれたことが、サイバー攻撃の初動対応でハッカー目線で状況を分析することに役立っているのですね。
問 大学院でハッキング手法を学ばれたことが、サイバー攻撃の初動対応でハッカー目線で状況を分析することに役立っているのですね。
答 IDとパスワードをダークマーケット<ref>ダークウェブ上で電子取引を行うサイト。</ref>で入手して侵入してくる攻撃者はさておき、高度な技術力を持ったハッカーは、セキュリティレベルの高いシステムに足跡を残さずに侵入してくるのは、色々な工夫が必要なはずです。ハッカー側が用いているアプローチ手法は学んだのは良い経験でした。
答 IDとパスワードをダークマーケット<ref group="注"><!--3--> ダークウェブ上で電子取引を行うサイト。</ref>で入手して侵入してくる攻撃者はさておき、高度な技術力を持ったハッカーは、セキュリティレベルの高いシステムに足跡を残さずに侵入してくるのは、色々な工夫が必要なはずです。ハッカー側が用いているアプローチ手法は学んだのは良い経験でした。
問 山岡先生から見ると、ハッカーの中には「敵ながらあっぱれ」という人がいるのですね。
問 山岡先生から見ると、ハッカーの中には「敵ながらあっぱれ」という人がいるのですね。
答 大企業から標的型の攻撃を受けたという相談を受けて調査すると、「これはどうやって侵入したんだろう?」と驚かされることもあります。「内部者とつながらずに外部から攻撃したならば、こちらの想像力を超えたどんな手法を使ったんだろう?」と好奇心を奮い立てさせられます。
答 大企業から標的型の攻撃を受けたという相談を受けて調査すると、「これはどうやって侵入したんだろう?」と驚かされることもあります。「内部者とつながらずに外部から攻撃したならば、こちらの想像力を超えたどんな手法を使ったんだろう?」と好奇心を奮い立てさせられます。
181行目: 185行目:
以 上
以 上
</poem>
</poem>
=== 注 ===
<references group="注" />


== 未開示部分について ==
== 未開示部分について ==
匿名利用者

案内メニュー