新規分野で企業から信頼されている司法修習60期代のリーガルアドバイザーは誰か?
第4回 山岡裕明弁護士インタビュー(2/3)
八雲法律事務所
弁護士 山 岡 裕 明
聞き手 西 田 章
サイバーセキュリティの専門家である山岡裕明弁護士へのインタビューの第1回である前回は、サイバー攻撃発生時に、サイバーセキュリティを専門とする弁護士が具体的にどのような業務を行っているのかを中心にお伺いした。第2回の今回は、サイバーセキュリティという新規分野に関する専門性をどのようにして磨いて来たのかを尋ねている。論文の執筆や米国留学は、大規模な法律事務所においても、弁護士の専門性を磨くために有益な手段と認識されているが、アソシエイトの立場からは、所属事務所による支援を期待してしまいがちである。山岡弁護士が、自ら事務所を経営しながら、掲載の当てもない論文執筆に取り組み、最先端の実務を学ぶために米国のコンピュータサイエンスの大学院で修士号を取得したストーリーからは、新規分野における専門性は「リスクを取ったチャレンジ」の先にこそ拓かれるものではないかと考えさせられる(取材日:2022年10月11日。場所:商事法務会議室)。
第2部 どのように専門分野を確立したか?
- サイバーセキュリティは、今でこそ、日本経済新聞でも連日のように取り上げられるテーマとなりましたが、山岡先生は、なぜ、この分野に注目されたのでしょうか。
-
私は元々、M&A、委任状争奪戦や渉外訴訟等の企業法務全般を扱う弁護士でした。周りにいる弁護士がみんな自分よりも経験豊富で優秀に見えてしまい、若手時代は劣等感が強かったですね。そこで、「既存の法分野では生き残ることができない」と見切りを付けて、2015年に独立*する際に、自分でも戦えるブルーオーシャンを探して考え抜いた末に見つけたのが、インターネット分野でした。
* 2018年に八雲法律事務所を設立、2015年に前身の法律事務所を開設。 - 独立直後からサイバーセキュリティ対応に取り組まれたのでしょうか。
- 最初は、インターネット上の誹謗中傷対応から始めました。2015年当時は、まだ黎明期でほかに扱う弁護士も少なかったため、仕事は順調に拡大しました。しばらくして、「インターネット上の法律問題で企業が困難に直面する問題は何か?」換言すれば、元々の企業法務の経験とインターネット上の法律問題が交叉する分野はないか、と考えるようになりました。それがサイバーセキュリティでした。このアイディアに至る過程において、法科大学院時代に取締役の義務をテーマに研究して修士論文を書いたことを思い出しました。
- 山岡先生が卒業された中央大学の法科大学院では論文執筆は義務とされてはいないですよね。教授の指導の下に論文を執筆なされたのでしょうか。
- はい、卒業に必要なわけではありませんが、選択科目で論文を執筆しました。商事法で高名な落合誠一教授が指導教官を引き受けてくださいました。論文の内容自体は裁判例の分析が中心でしたが、落合教授からご指導をいただけたことに加え、同じく高名な大杉謙一教授にも副査を務めていただく幸運を得られました。
- 司法試験対策だけでない法科大学院時代を過ごされたのは素晴らしいですね。そして、弁護士になって企業法務の経験を積まれて、独立してインターネット上の誹謗中傷対応に取り組まれる中で、改めてどのようにサイバーセキュリティに注目し始めたのでしょうか
- 経営層が困るほどの問題、というのは、取締役としての善管注意義務が問われる場面と考えました。次に、事業継続が脅かされるコーポレートリスクを、インターネットに関連して考えてみると、サイバー攻撃による情報漏えいやシステム障害に思い当たりました。それらを合わせると、企業において適切なサイバーセキュリティ体制を構築してサイバー攻撃から企業を守ることは取締役の法律上の義務ではないか、という問題意識を持ちました。そして、取締役の義務であるならば有事の際の株主代表訴訟やサイバー攻撃に備えるための予防法務的な案件が今後増えるのではないか、とも思いました。ただし、問題意識が明確になり、サイバーセキュリティという自分の目指すべき方向性が定まっても、どのようにしてサイバーセキュリティを弁護士の専門性として確立していくのかはノーアイディアで、Whatは決まったがHowが分からない状況でした。そこで、まずはサイバーセキュリティに関する国家試験の取得から始めました。
- サイバーセキュリティに国家試験とはどの試験のことでしょうか。
- IPA(独立行政法人情報処理推進機構)が実施している情報処理技術者試験です。2015年秋に基本情報処理技術者を受けて、2016年春には情報セキュリティスペシャリスト(現在の情報処理安全確保支援士)を受けました。国家試験だけあって問題がよく出来ており、受験勉強を通じて体系的に技術やセキュリティを学ぶことができました。
- 弁護士として事務所を経営しながらの受験勉強は大変だったのではないですか。合格までの期間や勉強時間はどの程度だったのでしょうか。
- 基本情報処理技術者も、情報セキュリティスペシャリストもそれぞれ半年間、勉強しました。独立したばかりで将来も不安でしたので、少しでも自分のキャリアを広げるため、一心不乱に勉強しました。
- 国家試験を受験していた当時から、サイバーセキュリティの仕事が来る見込みがあったのでしょうか。
- そんな見込みはありません(笑)。合格してからも、サイバーセキュリティの仕事は全くありませんでした。
- 続いて取り組んだのが論文ですね。2017年に、「サイバーセキュリティと企業法務」(ビジネス法務2017年10月号〜2018年1月号)や「情報漏えいと取締役の情報セキュリティ体制整備義務」(中央ロー・ジャーナル14巻3号)として発表なされていますが、これらはひとりでご執筆なされたのでしょうか。
- 修士論文でお世話になった落合教授に再度の指導をお願いしたところ、ありがたいことに快く引き受けてくださいました。
- 論文についても、サイバーセキュリティの仕事につながる見込みはあったのですか。
- 全くありませんでした(笑)。ただ、待っていてもサイバーセキュリティの案件がやってくるわけではありませんので、思いつくことは全てやろうと思いました。誰からも頼まれておらず、それがどうキャリアに活きるかもまったくわからない中で、2015年から2016年に掛けては情報処理技術者試験の勉強、2016年の秋から2017年の春までは論文の執筆、それ以降は留学に向けたTOEFLとGMATの勉強を続けました。土日も年末年始の休みも返上で没頭していました。振り返ると独立してからの数年は生き残るために必死ですね(笑)。
- 論文についてさすがに掲載の当てはあったのでしょうか。
- それもありませんでした(笑)。2017年の春頃に書き上げた論文を複数の出版社に持ち込んで掲載を依頼したところ、当時は全くの無名であったため仕方ありませんが、なかなか前向きなお返事は得られませんでした。そのため、完成してから掲載していただくまで半年以上の期間を要しました。
- 今やこの法分野の第一人者である山岡先生でも当初はそのようなご苦労をなされていたのですね。そして、さらに米国でも研究したいと感じられたのですか。
- 2019年にUCバークレーのロースクールに客員研究員として渡米しました。最初に聴講したサイバーセキュリティの授業で、米国ではこんなに進んでいるのかと衝撃を受けました。そこから願書を出して、School of Information(情報大学院)というコンピュータサイエンスの大学院に入学しました。
- 衝撃を受けられたのは、どのような教授の授業だったのでしょうか。
- Chris Jay Hoofnagle教授です。弁護士でもあり、彼の著作は、日本でも板倉陽一郎先生らが翻訳なされた『アメリカプライバシー法――連邦取引委員会の法と政策』(勁草書房、2018)が出版されています。
- Hoofnagle教授には何かアプローチされたのでしょうか。
- 授業を終えた教授を捕まえて、「自分は日本から来た弁護士で、どうしてもUCバークレーの大学院でサイバーセキュリティを勉強したい」と訴えかけました。彼はLaw School とSchool of Informationの教授を務めており、サイバーセキュリティを学ぶためにはやはり技術を学ぶ必要がある、それにはSchool of Informationが最適だという助言をもらいました。技術的バックグランドが無い私が合格できたのは、Hoofnagle教授とのご縁があったおかげだと感謝しています。
- コンピュータサイエンスの大学院には、弁護士も多いのでしょうか。
- School of Informationの大学院の同期は15名いますが、エンジニアばかりでした。入学時の面接の際に、私は「最初のロイヤー」と言われた記憶があります。私の後には米国人の弁護士が2名入学して来て、事務局から紹介を受けました。同期は、学部から上がってきた学生もいれば、私のようなミドルキャリアもいて、マイクロソフトのエンジニアや米国空軍のエンジニアもいました。
- 同期の方々は、卒業後にどのようなキャリアを歩まれるのでしょうか。
- 多くの同期は、卒業後に、SalesforceやGoogleなどのシリコンバレー企業のセキュリティエンジニアとして就職しています。卒業後もSlackで日常的にコミュニケーションをとっているので、彼らから米国におけるサイバーセキュリティの情報や意見をもらえるのはとてもありがたいです。留学で貴重な人脈を作ることができました。
- Hoofnagle教授以外にはコンピュータサイエンスの大学院ではどのような教授がいらっしゃったのですか。
- オバマ政権時代のセキュリティオフィサーだった教授もいます。また、キャンパスがシリコンバレーに近いので、有名な企業のChief Information Security Officerが指導に来てくれたこともあります。
- どのような科目を受講されたのですか。それは実務に役立つような内容なのでしょうか。
- 文系的な科目で言えば、Hoofnagle教授は、サイバーセキュリティ総論的に、ペンタゴンが、対ロシア、対中国との関係でサイバーセキュリティをどう捉えているか、米国におけるサイバーセキュリティ法制はどのように変遷しているか、というような授業を担当されました。オバマ政権のセキュリティオフィサーは、「Fifth(5番目の)・ドメイン(領域)」というテーマを担当していました。米軍は、陸・海・空・宇宙に続いて、サイバー空間を5番目の重要なドメインとして捉えている、という話です。よりコンピューターサイエンス的な授業としては、暗号、数学、プログラミング、ハッキングのクラスを受講しました。大学院の2年弱の期間が、自分の技術力を爆発的に高めてくれました、
- プログラミングやハッキングの手法を授業で学ぶのですか。
- グループワークでスマホのスパイウエアを探知するアプリケーションを作ったりしました。ハッキングは、教授が用意したシステムを攻撃してみろ、という課題です。自分でPhythonなどを用いてプログラムを書いて、色々な手法の攻撃を試します。あれは楽しかったです。
- 文系の自分には想像もつかない課題です。
- ハッキングの授業の試験で、サイドチャネル攻撃、というのがありました。12桁のパスワードを突破する課題ですが、正攻法ではなく、サイドチャネル(物理的な特性の変化)を外部から観測・解析してハッキングするというものです。まず正攻法として12桁の数字を機械的に総当たりで試すと10の12乗、すなわち一兆通りを試すことになりますので、膨大な時間が掛かります。そこでアプローチを変えなければなりません。2週間試行錯誤しましたが全く解決の糸口が見えないので教授にヒントをお願いしたところ、3桁ずつ試しては? との助言をもらいました。3桁だけだったら10の3乗で1000通りなので数分で終わる。1000通りのレスポンスの時間を全て計測すると、ごく一部の組み合わせだけレスポンスに掛かる時間が0.001秒だけ早い。ただ、一組だけ早ければ解析は単純なのですが、ネットワークの混雑状況や端末のCPUやメモリの状況によって時間がズレることもあるので、何度も何度も繰り返して偶発的に生ずるノイズのようなズレを除去して統計的にレスポンスが早い組み合わせを抽出する。それを3桁ずつ全部試していく。1ヵ月程度を費やして、12桁の候補を抽出して、最後に入力すると画面に「Congratulation」という文字が表示されました。このときは本当に達成感がありました。
- 大学院でハッキング手法を学ばれたことが、サイバー攻撃の初動対応でハッカー目線で状況を分析することに役立っているのですね。
-
IDとパスワードをダークマーケット*で入手して侵入してくる攻撃者はさておき、高度な技術力を持ったハッカーは、セキュリティレベルの高いシステムに足跡を残さずに侵入してくるのは、色々な工夫が必要なはずです。ハッカー側が用いているアプローチ手法は学んだのは良い経験でした。
* ダークウェブ上で電子取引を行うサイト。 - 山岡先生から見ると、ハッカーの中には「敵ながらあっぱれ」という人がいるのですね。
- 大企業から標的型の攻撃を受けたという相談を受けて調査すると、「これはどうやって侵入したんだろう?」と驚かされることもあります。「内部者とつながらずに外部から攻撃したならば、こちらの想像力を超えたどんな手法を使ったんだろう?」と好奇心を奮い立てさせられます。
- ちなみに留学の費用は、すべて自腹、ですよね。
- そうですね、完全に自腹です。しかも、事務所を経営しながら。我ながら無謀なチャレンジだったと思いますが、幸いなことにサイバーセキュリティ分野が注目を集め始めましたので、その投資は、帰国後の実務ですぐに回収できたと思っています。
- UCバークレーのコンピュータサイエンスの大学院を修了された、というのは、クライアント企業からの信頼確保にも役立ちそうですね。
- Master of Information and Cybersecurityというサイバーセキュリティの修士号は珍しいので、クライアントに覚えてもらいやすいかもしれません。技術力が上がっただけではなく、キャリアの差別化の観点からも良かったと思います。
(続く)
(やまおか・ひろあき)
2010年弁護士登録(63期)。University of California, Berkeley, School of Information修了(Master of Information and Cybersecurity(修士))。
(にしだ・あきら)
✉ akira@nishida.me
1972年東京生まれ。1991年東京都立西高等学校卒業・早稲田大学法学部入学、1994年司法試験合格、1995年東京大学大学院法学政治学研究科修士課程(研究者養成コース)入学、1997年同修士課程修了・司法研修所入所(第51期)。
1999年長島・大野法律事務所(現在の長島・大野・常松法律事務所)入所、2002年経済産業省(経済産業政策局産業組織課 課長補佐)へ出向、2004年日本銀行(金融市場局・決済機構局 法務主幹)へ出向。
2006年長島・大野・常松法律事務所を退所し、西田法律事務所を設立、2007年有料職業紹介事業の許可を受け、西田法務研究所を設立。現在西田法律事務所・西田法務研究所代表。
著書:『新・弁護士の就職と転職――キャリアガイダンス72講』(商事法務、2020)、『弁護士の就職と転職』(商事法務、2007)