新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か?
第4回 山岡裕明弁護士インタビュー(1/3)
八雲法律事務所
弁護士 山 岡 裕 明
聞き手 西 田 章
若手弁護士にとって、企業法務の「新規分野」を開拓することは容易ではない。優秀な若手であれば、「既存分野」でも相応の活躍をすることができるから、「新規分野」に先行投資する必要性に迫られることがない。他方、平凡な若手が「新規分野」に投資しても、クライアントから信頼を得るまでのパフォーマンスを挙げることができない。新規分野の開拓は、「優秀な若手」が、敢えてリスクを取ってまで「新規分野」に賭けてみよう、という挑戦をした時にのみ実現するのではなかろうか。
「サイバーセキュリティ」の分野で、これを実現させつつあるのが、山岡裕明弁護士(八雲法律事務所代表弁護士)だ。今年5月30日に内閣府サイバーセキュリティセンターに設置された「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」の委員名簿を見ると、西村あさひと森・濱田松本という弁護士業界最大手の法律事務所に所属する弁護士と肩を並べて、まだ設立4年の八雲法律事務所の山岡弁護士が名前を連ねている。司法修習63期の弁護士が立ち上げた事務所が、サイバーセキュリティという最先端の業務分野でトップランナーとして活躍できているのはなぜか? サイバーセキュリティの分野の実務とは? インタビューの模様を、以下、3回にわたってご紹介していきたい(取材日:2022年11月11日。場所:商事法務会議室)。
第1部 サイバーセキュリティ分野の実務
- 今日(2022年11月11日)の日本経済新聞の朝刊には「サイバー防衛、欧米が先行」という見出しの下に「日本企業のサイバー攻撃への対策が遅れている」と指摘する記事で、山岡先生のコメントが紹介されていました。山岡先生のお仕事としては、海外の事案もフォローされているのでしょうか。
- はい。たとえば、報道で日本企業がランサムウェアの被害を受けたというニュースが流れても、内容をよく見ると、被害が出ているのはほとんどが欧米の現地法人です。こうしたグローバルなインシデント事案について、司令塔となる日本の本社から依頼を受けて対応しています。グローバルな法律事務所やセキュリティベンダーと連携して、法律・技術・英語というこれまでのキャリアで培った知見をフルに駆使して対応しています。
- サイバー攻撃を受けた企業から依頼を受けた後の対応は、どのような流れになるのでしょうか。
- フローとしては、①初動対応、②フォレンジック調査、③当局対応、④再発防止策の策定、⑤紛争対応、という流れになります。
- 攻撃を受けた企業の中には、誰も経験者がいないでしょうから、まず何をすればいいのかもわからないですよね。
- これまでに多数のインシデント・レスポンスに関わってきたおかげで、第一報を受けて被害状況をヒアリングした段階で、攻撃者の侵入経路、マルウェアの機能、被害の範囲等についてある程度見通しをつけることができるようになりました。この経験値から導かれる見通しを踏まえて初動対応を被害企業にお伝えしています。
- 第一報でもサイバー攻撃の種類を知る手掛かりがあるのですか。
- たとえば、ランサムウェア攻撃を受けた事案の場合、ランサムノートという置き手紙に書かれたハッカー集団の名称と暗号化された電子ファイルの拡張子を確認できれば、大体、侵入経路を推測することができます。「このVPNの脆弱性を突いて侵入された可能性が高いので、パスワードを変更しましょう」と指示することもあれば、「バックドア*が仕掛けられているだろうから、パスワードの変更に加えてバックドアの有無を全部チェックしましょう」と指示することもあります。
* ハッカーが侵入後に再度侵入できるようサーバ内部に設置するプログラム。 - ハッカー集団には多数の種類が存在しているのですか。
- もともとの集団から分派しているので数は増えていますが、ルーツが同じだと使う手法も似ています。
- 奥が深い世界ですね。初動対応(①)の次は、フォレンジック調査(②)ですが、これは、調査会社に外注するのですか。
- 規模が大きかったり海外調査が必要となるような事案であれば、グローバルのセキュリティベンダーに依頼することもあります。ただ、私が設立した八雲SECURITY & CONSULTINGという調査会社でも、この10月からフォレンジックサービスを開始しました。国内の調査案件であれば自前で調査を受けることもできる体制が整いました。これにより八雲グループでワンストップのインシデント・レスポンスサービスが可能になりました。
- 業務フローの次に来る当局対応とは、どんな作業でしょうか。
- 個人情報保護法やGDPR等に基づいて、当局に報告し、その後も当局とコミュニケーションを担当する業務になります。
- 個人情報保護法の改正でデータの漏えい発生時に個人情報保護委員会への報告が義務化されたのですね。確かに、インシデント対応をされている弁護士が担うべき領域ですね。
- 4月1日に改正法が施行されてからの8ヵ月で、八雲法律事務所では、速報・確報を既に数十件担当しています。
- 本当に多いですね。当事者である会社が報告するものかと思っていました。
- 被害企業が自ら報告されても構わないのですが、被害企業としてはサイバー被害自体初めであることが多いため速報・確報に慣れていらっしゃるわけではないですし、復旧に向けて日夜ご尽力されている現場のご担当者にとって速報・確報の負担は軽くありません。そのため、当事務所で受任した場合には、当事務所で当局とのコミュニケーションを代理し、依頼企業には業務復旧に注力してもらいます
- 当局に報告する前段階の「そもそも報告するべきか?」という判断では、会社側には「できれば報告したくない」という要望もありそうですが、この点はいかがでしょうか。
- そこは、当事務所の技術的な知見が役立っています。たとえばログにある種の兆候があった場合、個人データが漏えいした可能性は否定できないので個人情報保護委員会への報告をしましょう、と技術的に自信を持ってアドバイスを差し上げています。
- アドバイスに従わない経営者はいないのでしょうか。
- 施行日から日が浅く、この速報・確報の義務が必ずしも浸透しているわけではないため、「まだ調査結果が出ておらず個人データが漏えいしたかは定かではないので報告しなくてもいいのではないか」とお考えになる方もいらっしゃいますが、ダークウェブ*上で日本企業のデータが販売されている様子を実際にお示ししてみせた上で、「ハッカーはダークウェブ上で被害企業のデータを売っています。こうしたダークウェブ上にデータが流出することで貴社からデータが漏えいしていたことが判明したら、取引先や当局への説明に困りますよ。ハッカーが侵入した形跡があるならば、報告する方向で検討すべきです。」と説明すれば納得していただけます。
* 検索エンジンからは見つからず、ログインや専用ソフトを使いアクセスをする匿名性の高いウェブ空間。 - よくわかりました。それでは、次のフローは再発防止策の策定(④)となりますが、これは技術的な対応がメインになるのでしょうか。
- そうですね、再発防止策は、セキュリティベンダーと共に策定しますが、サイバー攻撃の真因は、経営層がセキュリティ部門に十分な予算を割いていなかったり、ガバナンスの問題に関わっていたりすることが多いので、弁護士としての役割も期待される部分です。
- ガバナンスの問題、というのは具体的にはどういう問題でしょうか。
- セキュリティを外部のベンダーに丸投げしてたり、内部のセキュリティ部門が脆弱性を報告していたにも関わらず、経営層がその報告を放置していたことがサイバー攻撃の被害につながった、という場合が典型事例です。最近は、サイバーインシデントが発生した組織において第三者委員会を設置してガバナンスの観点から問題を検証する事例が増えています。
- なるほど。そして、真因を洗い出した調査結果を踏まえて、次のフローである紛争対応(⑤)を担当されるのですね。
- その通りです。取引先や顧客からの損害賠償請求においては、サイバー攻撃の原因が何だったのか、攻撃を防ぐセキュリティ対応の義務があったのか、攻撃は予見可能だったのか、といった点を、ハッカー集団の特徴やサイバー攻撃の種類、導入していたシステムの機能など技術的見地から法律上の義務違反の有無を精査した上で、紛争対応に臨みます。裁判例が少ない分野ですので、ひとつひとつの紛争対応が先例になり得ることを考えると、弁護士として非常にやりがいがあります。
- 紛争対応の代理人業務はとても弁護士らしい仕事ですが、訴訟活動の前提には技術的専門性に基づく分析が必要となるのですね。インシデントが起きた後の対応だけでなく、事前に予防法務の依頼も受けているのでしょうか。
- BCP策定のご依頼は増えています。特に、ランサムウェア攻撃を受けた場合に誰が責任者となるか、どの部署が対策チームを構成するか、どの専門家に調査を依頼するか、緊急時のコミュニケーションの確保、バックアップの運用等を盛り込んだプラン作りの仕事です。
- 予防法務というよりも、技術的なコンサルなのでしょうか。
- コンサルティングの側面は確かに強いですが、内部統制システムの一環ですので、プランへの落とし込みには常に会社法を意識しています。
- インシデント発生後の事後対応のノウハウは、予防策のプラン作りにも役立っていますか。
- はい、まさに。たとえば、ランサムウェアの現場において、メールサーバも暗号化された結果、社内の伝達手段が止められてしまったことがあり、その経験から、事前のBCPにWebメールやチャットツールなど予備のコミュニケーションツールの確保を提案するようになりました。インシデント対応の経験を活かして常に改良を続けています。
- 山岡先生のところには、最新の事例が集まっていますものね。サイバーセキュリティ対応で、山岡先生が、企業に対して、最も注意を促しておきたい点は何ですか。
- サイバーリスクの変容です。「サイバーリスクって何ですか?」と尋ねてみると、多くの経営層の方が「個人情報の漏えいでしょ?」と仰います。これは、2014年に起きたベネッセの個人情報流出事件が念頭にあるのだと思われますが、残念ながら、サイバーリスクはそこから大きく変容しています
- 現在のリスクは何なのでしょうか。
- 昨今話題になっているランサムウェアの本当の怖さはシステムを止めるところにあります。米国では、2021年5月に石油のパイプラインの輸送が停止に追い込まれました。リスクマネジメントの観点では、リスク評価は、顕在化した場合の深刻度合いと発生確率を掛け合わせて行われます。会社のシステムを止める、という点で、サイバー攻撃は、地震や津波と同じレベルの脅威であると認識していただきたいです。そして、発生確率について言えば、サイバー攻撃は人為的に引き起こされ、かつ、逮捕されにくく、地震や津波よりはるかに発生確率は高いといえます。深刻度合い×発生確率で言えば、サイバーリスクは企業が直面するリスクの中での最大級のコーポレートリスクになっていると言っても過言ではないでしょう。
- ハッカーは会社のシステムを止めることができるのでしょうか。
- 「ランサムウェアが電子ファイルを暗号化する」と聞くと、多くの人は「WordやExcelで作ったドキュメントが暗号化される」という被害をイメージされがちなのですが、スマホのアプリケーションも、医療システムも、工場の制御システムも、銀行の送金システムも、拡張子が違うだけで、すべて電子ファイルから作られています。そのため、事業を支えるあらゆる基幹システムが暗号化により止められてしまうリスクが存在します。企業のDX化が進めば進むほど、ハッカーが攻撃できる対象は会社システムのすべてに広がっていくことになります。
- それは企業としても無視できないリスクですね。サイバーセキュリティーの重要性に加え、技術的要素が強いと思っていたサイバーセキュリティにおいて八雲法律事務所がどのように関わっているのかよくわかりました。
(続く)
(やまおか・ひろあき)
2010年弁護士登録(63期)。University of California, Berkeley, School of Information修了(Master of Information and Cybersecurity(修士))。
(にしだ・あきら)
✉ akira@nishida.me
1972年東京生まれ。1991年東京都立西高等学校卒業・早稲田大学法学部入学、1994年司法試験合格、1995年東京大学大学院法学政治学研究科修士課程(研究者養成コース)入学、1997年同修士課程修了・司法研修所入所(第51期)。
1999年長島・大野法律事務所(現在の長島・大野・常松法律事務所)入所、2002年経済産業省(経済産業政策局産業組織課 課長補佐)へ出向、2004年日本銀行(金融市場局・決済機構局 法務主幹)へ出向。
2006年長島・大野・常松法律事務所を退所し、西田法律事務所を設立、2007年有料職業紹介事業の許可を受け、西田法務研究所を設立。現在西田法律事務所・西田法務研究所代表。
著書:『新・弁護士の就職と転職――キャリアガイダンス72講』(商事法務、2020)、『弁護士の就職と転職』(商事法務、2007)