事務所ができるハッカー対策10のポイント

機密情報や個人情報を取り扱う弁護士事務所や特許事務所へのサイバーアタックが問題になってきています。情報の安全と管理が求められる中、今回は事務所でもできるハッカー対策10のポイントを紹介します。

1. 従業員への教育

情報セキュリティにおいて一番弱いリンクが人間です。ハッカーは人をだましてネットワークに侵入したり、情報を盗んだりするのが常套手段になっているので、まずは従業員の教育をおこない、すでにおこなっているのであれば、より頻繁に、よりいいものにする必要があります。

2. ネットワークやインターネットから切り離されたバックアップ

バックアップデータを頻繁にとっておくのはもちろんですが、ネットワークが感染してしまったときのことを考慮し、ネットワークやインターネットから切り離された独立型のバックアップも定期的に取っておくことをおすすめします。

3. パッチとアップデートをインストールする

パッチやアップデートは発見されたセキュリティホールを「パッチ」するために必要なので、使っているソフトウェアのパッチやアップデートがある場合はすぐにインストールすることをおすすめします。

4. ソフトウェアのアップグレード

サブスクリプション型でなければ、ソフトウェアのアップグレードにはお金がかかります。しかし、古いソフトを使い続けるのはセキュリティの観点からいうとよくありません。

この点で特に注意しないといけないのが、もうサポートが終わっているソフトウェアの使用です。サポートが終わっているということは、今後パッチもアップデートもないので、そのようなソフトウェアを使い続けるのは危険です。

5. 実行ファイルや圧縮されたファイル、身元が特定できない送り先からのメールをブロック

1でも指摘したように。セキュリティにおいて一番弱いリンクは人間です。「メールなどに実行ファイルや圧縮ファイルが添付されていて、間違ってそれらをクリックしてしまう」ということを防ぐためにも、メールサーバ等、従業員のメールボックスにメールが届く前にそのようなファイルが添付されているメールを取り除いたり、添付されている実行ファイルや圧縮ファイルを排除したりすることをおすすめします。そのような危険をおよぼすファイルでも人がクリックできないようにITで対策をすればいいので、このような処置は有効です。

また、同じように身元が特定できない送り先からのメールもスパムフォルダに行くようにするなどのITで行える対策を行うことで、1であげた、人によるセキュリティリスクをある程度改善できます。

6. クラウドストーレージを使っているなら、暗号キーを事務所で管理するべき

クラウド化が進む中、事務所の重要な情報もクラウドで保存しているところも多いと思いますが、契約しているクラウドストーレージサービスの業者が暗号キーの管理を事務所に任せてくれるところがいいです。

暗号キーは、なくしてしまうとクラウドの情報にアクセスできなくなるので、扱いは慎重にしないといけませんが、暗号キーを事務所で管理できないとストーレージサービスの業者がハックされた場合に、事務所のクラウド上の情報にも被害が及ぶ場合があります。

事務所でクラウドストーレージサービスを使う場合、その「管理」が重要になってきます。暗号キーの管理が慎重におこなう必要がありますが、暗号キーの管理を事務所に任せてくれるベンダーがおすすめです。

7. クライアントが求めるセキュリティレベルにあったプログラムを作る

最近では、お客さん側から情報管理の条件を提示してくることも増えました。クライアントが求めるセキュリティレベルに達していないと、仕事すら依頼されない時代がもうすぐ来るでしょう。

8. リモートアクセスの制限とモバイルアクセス制限

リモートアクセスのルールを明確にして、外部からデータにアクセスできる方法を制限しましょう。このような制限があると、外からデータにアクセスするには「手間」がかかるため従業員にはあまり印象はよくありませんが、そこは理解を求めていく必要があります。

また、スマートフォンなどのモバイル端末からのアクセスも同様に制限を加えていくことと、ルールを明確にして、モバイル端末からアクセスする必要のある従業員に十分な教育をおこなう必要があります。

9. ログデータを記録できるようにする

ログを取っておくことで、データブリーチがあった際、どのような経緯でブリーチがおこったのか分析することができます。ログデータをとっていないと、ブリーチがあったことすらわからないことがあるので、いざという時の調査のために、ログデータは重要なデータになります。

10. 情報の共有

業界全体がサイバーセキュリティに取り組むことが大切なので、同業者同士で積極的に情報共有をすることが重要です。お互いに知恵を振り絞ることで、よりレベルの高い情報セキュリティがおこなえるようになります。

まとめ

今回紹介した10ポイント以外にも考慮する点はいろいろとあると思います。しかし、今回紹介したポイントは事務所単位で効果的な情報セキュリティ対策をおこなっていくために不可欠なものなので、ハッカーによって被害が出る前に上記のポイントを参考にして個々の事務所にあった情報セキュリティ対策をおこなっていくことをおすすめします。

まとめ作成者:野口剛史

元記事著者:Taylor Armerding. CSO(元記事を見る

ニュースレター、公式Lineアカウント、会員制コミュニティ

最新のアメリカ知財情報が詰まったニュースレターはこちら。

最新の判例からアメリカ知財のトレンドまで現役アメリカ特許弁護士が現地からお届け(無料)

公式Lineアカウントでも知財の情報配信を行っています。

Open Legal Community(OLC)公式アカウントはこちらから

日米を中心とした知財プロフェッショナルのためのオンラインコミュニティーを運営しています。アメリカの知財最新情報やトレンドはもちろん、現地で日々実務に携わる弁護士やパテントエージェントの生の声が聞け、気軽にコミュニケーションが取れる会員制コミュニティです。

会員制知財コミュニティの詳細はこちらから。

お問い合わせはメール(koji.noguchi@openlegalcommunity.com)でもうかがいます。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

OLCとは?

OLCは、「アメリカ知財をもっと身近なものにしよう」という思いで作られた日本人のためのアメリカ知財情報提供サイトです。より詳しく>>

追加記事

amazon
商標
野口 剛史

アマゾンの模倣品対策はより強固なものに:2022年ブランド保護レポートのハイライト

Amazonは2022年版のブランド保護レポートを公開し、偽物に対処する継続的な取り組みを示しています。報告書によれば、2020年以降、Amazonにおける新しい販売アカウントの悪質な作成試行の数は50%以上減少しています。Amazonの継続的なモニタリングサービスは、1日あたり8億件のリストをスキャンし、ブランド所有者が報告する前に、99%の不正または偽物のリストを事前に特定しています。また、ブランドレジストリの保護機構により、ブランドから提出された侵害通知の総数が2021年に比べて35%減少しました。さらに、Amazonの米国特許商標庁とのパートナーシップにより、5,000以上の偽のまたは悪意のあるブランドを特定して削除することができました。Amazonの偽造品取締部門は2022年に1,300人以上の犯罪者を訴訟や刑事告訴を通じて追及し、6百万以上の偽造品を供給チェーンから取り出しました。

Read More »