法律業界は、パンデミックを機にデジタル化を成功させた模範的な業界です。以前は手間のかかる紙ベースのプロセスや管理業務で知られていた法律事務所は、その非効率性から脱却し、より技術的に進化した世界で成功できるよう変化を始めたのです。
現実問題として、法律事務所にはほとんど選択肢はありません。競争の激化、コスト管理、クライアントの期待に応えるため、多くの法律事務所では泳ぐか溺れるかの選択に迫られており、多くの場合で業務の見直しが必要になっています。
私たちは、5月に発表した「UK Legal Services Cybersecurity Survey Research Report」(150人の法律専門家を対象とした調査)で、このことを明らかにしました。レポートでは、回答者のほぼ半数(47%)が、デジタルサービスを導入したと回答しています。
洗練された検索ツール、デジタルでの訴訟および文書管理、リーガルCRM、クラウドでの請求および経費システム、オンラインコラボレーションプラットフォームなど、新しい技術の導入と法務プロセスの革新は、業界関係者に大きな利益をもたらしました。
しかしこれらの進化には、ポジティブでない面もあります。
現在、ユーザーは1日の75%をWebブラウザーでの業務やオンライン会議に費やしており、組織のデジタルフットプリントは飛躍的に拡大しています。しかしそれと同時に、サイバー脅威の量も複雑さも増大しています。
その1つの例として、HEAT(Highly Evasive Adaptive Threats:高度に回避的で適応型の脅威)があります。この攻撃は、特にWebブラウザーを攻撃経路とするよう設計されており、攻撃者がさまざまな技術を駆使して従来のセキュリティスタックによる複数の検知層を回避し、一般的なWebセキュリティ対策を迂回してマルウェアを配信したり、認証情報を漏えいさせたりします。
パターンは明らかです。法律事務所がデジタル化され、法律の専門家がブラウザーを使用するようになったために、攻撃者はこれらのユーザーを直接標的にするようになったのです。
このため、法律事務所は、攻撃者にとってますます魅力的なターゲットになっています。その傾向は、多くの法律文書がオンラインで保存・共有され、共同作業の対象となり、機密性の高い(あるいは攻撃者から見て儲けの大きい)データを含んでいる場合に特に顕著です。
法律事務所は脅威を認識しながらも対応できていない
最近、大手の法律事務所を狙ったデータ侵害やフィッシング詐欺がいくつか明るみに出ているのは、不思議ではありません。
この状況において、業界団体はこの脅威への対応に取り組んでいます。The Law SocietyとSolicitors Regulation Authority(SRA)は、法律事務所がサイバーセキュリティの方針を策定し、攻撃に対処するためのガイダンスを発表しました。またSRAは、法律事務所がサイバー攻撃を受けた場合の専門家保障ポリシーの範囲の明確化についてフィードバックを求めるため、法律事務所へのコンサルテーションを開始しました。
同時にCouncil for Licensed Conveyancers(CLC)は、「サイバーリスクの進化する形態」がより複雑化する中、2021年に諮問書(Consultation Paper)で法律事務所に独立したサイバー保険への加入を義務付けることを検討しています。
多くの法律事務所が、自分たちが直面しているサイバー脅威が深刻化していることを認識していることは明らかです。
PWCの最新の「Annual Top 100 Law Firm Survey」によると、英国のトップ100法律事務所は、サイバー攻撃が自分たちの目標に対する最大の脅威であると述べ、10人に9人がサイバー脅威がビジネスに与える影響を懸念しています。
しかしこの懸念は、現状では有意義な行動に結びついていません。
The Law SocietyとSRAが発行しているアドバイスやガイダンスについて尋ねたところ、回答者のほとんどはその存在を知っていましたが、実際に読んだことがあるのは3分の1に過ぎないことが明らかになりました。同様に、SRAからのコンサル内容を確認したことがあるのは、10人中4人に足りません。
また、この調査で明らかになったのは、脅威が存在しているにもかかわらず、かなりの割合の企業が、セキュリティのベストプラクティスに関する適切なアドバイスや指針を従業員に提供できていないということです。回答者の約半数は、現在受けているサイバーセキュリティのトレーニングを信頼していません。
この問題は、他の統計にも現われています。現在、10人に4人の法律専門家が、自分にはサイバー脅威を特定し、事務所に報告する責任があることを認識しておらず、10人に3人以上がフィッシングメールに対処する方法を知りません。
セキュリティを最大化しつつ、デジタルトランスフォーメーションのメリットを持続させる
法律業界は、新しいアプリケーション、ソリューション、技術をいち早く取り入れていますが、一方でセキュリティはその優先リストから外れています。在宅勤務に対応するためにサイバーセキュリティ対策を変更した法律事務所は半数強(58%)ですが、これらの新しい働き方に対応するためにサイバーセキュリティのトレーニングを更新したのは半数以下(45%)なのです。
多くの企業が意味のある改革を実施できていないという事実は、単純に現代のハイブリッド/リモートワークのモデルに適合していない、時代遅れのソリューションを使用している可能性が高いことを示唆しています。私たちの調査の回答者の約半数(48%)が、自社には攻撃に対処するための十分な準備が整っていないと考えていることは、おそらく驚くべきことでは無いのでしょう。
もちろん、このような姿勢は改める必要があります。また、法律事務所では、セキュリティの優先順位をさらに上げる必要があります。
法律事務所が防御を強化するための簡単な方法も、いくつかあります。これは、セキュリティスタックに潜む問題を見つけ出し、リモートおよびハイブリッドな業務環境に適した内部ポリシーとプロセスを適用して、新しい攻撃手法に効果的に対処することから始まります。
ゼロトラスト原則
同時に、ブラウザーのセキュリティをさらに強化し、HEAT攻撃の脅威を効果的に軽減するために、企業はゼロトラスト原則を採用することを検討すべきです。従来のセキュリティモデルは、組織のネットワーク内のすべてのものが信頼できるものだという時代遅れの前提のもとに運営されていました。ゼロトラストはこれを覆しらせ、継続的検証の原則に根ざした「デフォルトで拒否」というアプローチをとります。
これは、「信頼すること」を脆弱性として扱い、メール、Webサイト、ビデオ、その他の文書など、すべてのトラフィックを全て検証します。
本当の意味でのゼロトラストを実現するために最も効果的な方法の1つは、アイソレーション技術を採用することです。これは、アクティブなコンテンツを実行するポイントを、ユーザーのブラウザーからクラウドベースの仮想コンテナへ移動させるソリューションです。
これは本質的には防護壁として機能するため、潜在的に悪質なペイロードを含むあらゆるコンテンツがエンドポイントに到達するのを防ぎます。他のセキュリティソリューションのように「ほぼ安全」ではなく、マルウェアを「100%阻止」する能力を備えているのです。
法律事務所にとって、これは非常に重要なことです。Webトラフィックが指数関数的に増大し、リスクが日に日に高まっている現在、法律事務所はアイソレーションを採用することで、すべての従業員のデジタル活動を保護することができ、知らぬ間に破滅的な結果を招く可能性を排除できます。
安全なオンライン体験を提供し、ユーザーが安心してビジネスを進められる環境を整えたい企業にとって、アイソレーション技術は唯一の解決策なのです。
