事務所ができるハッカー対策10のポイント

機密情報や個人情報を取り扱う弁護士事務所や特許事務所へのサイバーアタックが問題になってきています。情報の安全と管理が求められる中、今回は事務所でもできるハッカー対策10のポイントを紹介します。

1. 従業員への教育

情報セキュリティにおいて一番弱いリンクが人間です。ハッカーは人をだましてネットワークに侵入したり、情報を盗んだりするのが常套手段になっているので、まずは従業員の教育をおこない、すでにおこなっているのであれば、より頻繁に、よりいいものにする必要があります。

2. ネットワークやインターネットから切り離されたバックアップ

バックアップデータを頻繁にとっておくのはもちろんですが、ネットワークが感染してしまったときのことを考慮し、ネットワークやインターネットから切り離された独立型のバックアップも定期的に取っておくことをおすすめします。

3. パッチとアップデートをインストールする

パッチやアップデートは発見されたセキュリティホールを「パッチ」するために必要なので、使っているソフトウェアのパッチやアップデートがある場合はすぐにインストールすることをおすすめします。

4. ソフトウェアのアップグレード

サブスクリプション型でなければ、ソフトウェアのアップグレードにはお金がかかります。しかし、古いソフトを使い続けるのはセキュリティの観点からいうとよくありません。

この点で特に注意しないといけないのが、もうサポートが終わっているソフトウェアの使用です。サポートが終わっているということは、今後パッチもアップデートもないので、そのようなソフトウェアを使い続けるのは危険です。

5. 実行ファイルや圧縮されたファイル、身元が特定できない送り先からのメールをブロック

1でも指摘したように。セキュリティにおいて一番弱いリンクは人間です。「メールなどに実行ファイルや圧縮ファイルが添付されていて、間違ってそれらをクリックしてしまう」ということを防ぐためにも、メールサーバ等、従業員のメールボックスにメールが届く前にそのようなファイルが添付されているメールを取り除いたり、添付されている実行ファイルや圧縮ファイルを排除したりすることをおすすめします。そのような危険をおよぼすファイルでも人がクリックできないようにITで対策をすればいいので、このような処置は有効です。

また、同じように身元が特定できない送り先からのメールもスパムフォルダに行くようにするなどのITで行える対策を行うことで、1であげた、人によるセキュリティリスクをある程度改善できます。

6. クラウドストーレージを使っているなら、暗号キーを事務所で管理するべき

クラウド化が進む中、事務所の重要な情報もクラウドで保存しているところも多いと思いますが、契約しているクラウドストーレージサービスの業者が暗号キーの管理を事務所に任せてくれるところがいいです。

暗号キーは、なくしてしまうとクラウドの情報にアクセスできなくなるので、扱いは慎重にしないといけませんが、暗号キーを事務所で管理できないとストーレージサービスの業者がハックされた場合に、事務所のクラウド上の情報にも被害が及ぶ場合があります。

事務所でクラウドストーレージサービスを使う場合、その「管理」が重要になってきます。暗号キーの管理が慎重におこなう必要がありますが、暗号キーの管理を事務所に任せてくれるベンダーがおすすめです。

7. クライアントが求めるセキュリティレベルにあったプログラムを作る

最近では、お客さん側から情報管理の条件を提示してくることも増えました。クライアントが求めるセキュリティレベルに達していないと、仕事すら依頼されない時代がもうすぐ来るでしょう。

8. リモートアクセスの制限とモバイルアクセス制限

リモートアクセスのルールを明確にして、外部からデータにアクセスできる方法を制限しましょう。このような制限があると、外からデータにアクセスするには「手間」がかかるため従業員にはあまり印象はよくありませんが、そこは理解を求めていく必要があります。

また、スマートフォンなどのモバイル端末からのアクセスも同様に制限を加えていくことと、ルールを明確にして、モバイル端末からアクセスする必要のある従業員に十分な教育をおこなう必要があります。

9. ログデータを記録できるようにする

ログを取っておくことで、データブリーチがあった際、どのような経緯でブリーチがおこったのか分析することができます。ログデータをとっていないと、ブリーチがあったことすらわからないことがあるので、いざという時の調査のために、ログデータは重要なデータになります。

10. 情報の共有

業界全体がサイバーセキュリティに取り組むことが大切なので、同業者同士で積極的に情報共有をすることが重要です。お互いに知恵を振り絞ることで、よりレベルの高い情報セキュリティがおこなえるようになります。

まとめ

今回紹介した10ポイント以外にも考慮する点はいろいろとあると思います。しかし、今回紹介したポイントは事務所単位で効果的な情報セキュリティ対策をおこなっていくために不可欠なものなので、ハッカーによって被害が出る前に上記のポイントを参考にして個々の事務所にあった情報セキュリティ対策をおこなっていくことをおすすめします。

まとめ作成者:野口剛史

元記事著者:Taylor Armerding. CSO(元記事を見る

ニュースレター、会員制コミュニティ

最新のアメリカ知財情報が詰まったニュースレターはこちら。

最新の判例からアメリカ知財のトレンドまで現役アメリカ特許弁護士が現地からお届け(無料)

日米を中心とした知財プロフェッショナルのためのオンラインコミュニティーを運営しています。アメリカの知財最新情報やトレンドはもちろん、現地で日々実務に携わる弁護士やパテントエージェントの生の声が聞け、気軽にコミュニケーションが取れる会員制コミュニティです。

会員制知財コミュニティの詳細はこちらから。

お問い合わせはメール(koji.noguchi@openlegalcommunity.com)でもうかがいます。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

OLCとは?

OLCは、「アメリカ知財をもっと身近なものにしよう」という思いで作られた日本人のためのアメリカ知財情報提供サイトです。より詳しく>>

追加記事

twitter
商標
野口 剛史

ツイッターのXへのリブランディング:この変化は良い方向に働くだろうか?

大企業の商標のリブランディングは珍しいことではありません。しかし、ソーシャルメディア・プラットフォームのツイッター(現在はX)の最近のケースほど、社名変更が大きな反響を呼ぶことはめったにないでしょう。そこで、商標法の観点からこのトピックを取り上げ、法的にこのような選択が正当であったかどうかを評価してみたいと思います。

Read More »
Spanx
特許出願
野口 剛史

特許審査履歴解説: すでに廃止されたFirst Action Interviewを用いて苦戦しつつも権利化した案件 (Spanx)

First Action Interviewというあまり使われていない早期審査が行われたケースです。1回目のOAが来る前にインタビューができたり、OA対応の期限が短かったりと、効率的な権利化に向けての手続きがセールスポイントになっていましたが、すでにこのパイロットプログラムは廃止になっています。廃止の原因はわかりませんが、今回の出願の審査もそんなに早くなく、逆に通常よりも遅いような印象があるので、First Action Interviewはうまく機能しなかったのかもしれません。しかし、OA対応を行った代理人はインタビューやAFCPも効率的に使い、対応としては良かったほうだと思います。ただ、発明が衣類に関わるものだったので、技術エリア的に、新規の特許の取得が比較的難しい分野だったので、苦戦を強いられたのかもしれません。

Read More »