事務所ができるハッカー対策10のポイント

機密情報や個人情報を取り扱う弁護士事務所や特許事務所へのサイバーアタックが問題になってきています。情報の安全と管理が求められる中、今回は事務所でもできるハッカー対策10のポイントを紹介します。

1. 従業員への教育

情報セキュリティにおいて一番弱いリンクが人間です。ハッカーは人をだましてネットワークに侵入したり、情報を盗んだりするのが常套手段になっているので、まずは従業員の教育をおこない、すでにおこなっているのであれば、より頻繁に、よりいいものにする必要があります。

2. ネットワークやインターネットから切り離されたバックアップ

バックアップデータを頻繁にとっておくのはもちろんですが、ネットワークが感染してしまったときのことを考慮し、ネットワークやインターネットから切り離された独立型のバックアップも定期的に取っておくことをおすすめします。

3. パッチとアップデートをインストールする

パッチやアップデートは発見されたセキュリティホールを「パッチ」するために必要なので、使っているソフトウェアのパッチやアップデートがある場合はすぐにインストールすることをおすすめします。

4. ソフトウェアのアップグレード

サブスクリプション型でなければ、ソフトウェアのアップグレードにはお金がかかります。しかし、古いソフトを使い続けるのはセキュリティの観点からいうとよくありません。

この点で特に注意しないといけないのが、もうサポートが終わっているソフトウェアの使用です。サポートが終わっているということは、今後パッチもアップデートもないので、そのようなソフトウェアを使い続けるのは危険です。

5. 実行ファイルや圧縮されたファイル、身元が特定できない送り先からのメールをブロック

1でも指摘したように。セキュリティにおいて一番弱いリンクは人間です。「メールなどに実行ファイルや圧縮ファイルが添付されていて、間違ってそれらをクリックしてしまう」ということを防ぐためにも、メールサーバ等、従業員のメールボックスにメールが届く前にそのようなファイルが添付されているメールを取り除いたり、添付されている実行ファイルや圧縮ファイルを排除したりすることをおすすめします。そのような危険をおよぼすファイルでも人がクリックできないようにITで対策をすればいいので、このような処置は有効です。

また、同じように身元が特定できない送り先からのメールもスパムフォルダに行くようにするなどのITで行える対策を行うことで、1であげた、人によるセキュリティリスクをある程度改善できます。

6. クラウドストーレージを使っているなら、暗号キーを事務所で管理するべき

クラウド化が進む中、事務所の重要な情報もクラウドで保存しているところも多いと思いますが、契約しているクラウドストーレージサービスの業者が暗号キーの管理を事務所に任せてくれるところがいいです。

暗号キーは、なくしてしまうとクラウドの情報にアクセスできなくなるので、扱いは慎重にしないといけませんが、暗号キーを事務所で管理できないとストーレージサービスの業者がハックされた場合に、事務所のクラウド上の情報にも被害が及ぶ場合があります。

事務所でクラウドストーレージサービスを使う場合、その「管理」が重要になってきます。暗号キーの管理が慎重におこなう必要がありますが、暗号キーの管理を事務所に任せてくれるベンダーがおすすめです。

7. クライアントが求めるセキュリティレベルにあったプログラムを作る

最近では、お客さん側から情報管理の条件を提示してくることも増えました。クライアントが求めるセキュリティレベルに達していないと、仕事すら依頼されない時代がもうすぐ来るでしょう。

8. リモートアクセスの制限とモバイルアクセス制限

リモートアクセスのルールを明確にして、外部からデータにアクセスできる方法を制限しましょう。このような制限があると、外からデータにアクセスするには「手間」がかかるため従業員にはあまり印象はよくありませんが、そこは理解を求めていく必要があります。

また、スマートフォンなどのモバイル端末からのアクセスも同様に制限を加えていくことと、ルールを明確にして、モバイル端末からアクセスする必要のある従業員に十分な教育をおこなう必要があります。

9. ログデータを記録できるようにする

ログを取っておくことで、データブリーチがあった際、どのような経緯でブリーチがおこったのか分析することができます。ログデータをとっていないと、ブリーチがあったことすらわからないことがあるので、いざという時の調査のために、ログデータは重要なデータになります。

10. 情報の共有

業界全体がサイバーセキュリティに取り組むことが大切なので、同業者同士で積極的に情報共有をすることが重要です。お互いに知恵を振り絞ることで、よりレベルの高い情報セキュリティがおこなえるようになります。

まとめ

今回紹介した10ポイント以外にも考慮する点はいろいろとあると思います。しかし、今回紹介したポイントは事務所単位で効果的な情報セキュリティ対策をおこなっていくために不可欠なものなので、ハッカーによって被害が出る前に上記のポイントを参考にして個々の事務所にあった情報セキュリティ対策をおこなっていくことをおすすめします。

まとめ作成者:野口剛史

元記事著者:Taylor Armerding. CSO(元記事を見る

OLCの米国知財ニュースレター

最新まとめ記事を
毎週メールボックスにお届け

登録すると、週1回、最新まとめ記事の概要とお知らせを受け取ることができます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

OLCとは?

OLCは、「アメリカ知財をもっと身近なものにしよう」という思いで作られた日本人のためのアメリカ知財情報提供サイトです。より詳しく>>

追加記事

chess-strategy
特許出願
野口 剛史

審査官の評価システムを考慮した出願戦略(仮定と有効な特許の作成方法)

審査官は生産性と質の面で評価され、その評価は担当する特許案件の権利化にも影響を与えています。今回は、前編として、審査官の評価システムを理解した上で、審査官評価システムを実務に応用する際の仮定と、審査官の審査基準やバイアスに依存しない、有効な特許を作る方法を考えていきます。

Read More »