前川：今回の事故事例について、EDR（Endpoint Detection and Responseの略であり、ネットワークに接続されている端末の状況を監視し、不審な挙動を検知して対処するセキュリティ製品）などで備えていれば止められたでしょうか。

北條：状況を見るとおそらくメールサーバーのメールアカウントが乗っ取られている状況なので、端末を監視しているEDRで止めるのは難しかったのではないかと思います。

山岡：不審なメールを触ってしまった段階で恐らく何らかのマルウエアに感染してメールアカウントのIDとパスワードを盗られたと考えられるので、可能性があるとすればその段階でEDRが検知すれば止められたかもしれない。ただ、過去の事例を見ても、EDRがうまく作動して止められた事例もあれば、EDRをすり抜けて被害に遭ったケースもあるので、何とも言えませんね。

前川：素人からすると、まずはこのような事例に遭った時どこに連絡すればよいのか、そこから迷ってしまうと思います。どこに連絡するのが良いのでしょうか。

山岡：今回の事例では、結果的にフォレンジック業者を探して対応したのは良かったですね。弁護士が自分自身の事件をやれないのと同様、たとえセキュリティに詳しい人だとしても、パニックになってしまって自分で自分のセキュリティ事故対応をやるのは難しいので、早急に第三者に助けを求めるのは非常に重要です。

北條：サイバー保険に加入しているのであれば、本来は保険会社の緊急対応窓口をハブとするのが理想だと思います。いずれにせよ被害の状況によってはインターネットでの検索自体ができなくなる恐れもあるので、サイバーインシデントの際の緊急連絡先をどこにするか事前にリストアップしておき、連絡先を控えておくと、いざという時に迅速な対応が可能になって安心ですね。

前川：優良なフォレンジック業者の見分け方などはありますでしょうか。

北條：東弁協がしっかりと審査したセキュリティ対策業者が特約店になっていますが、事前対策がメインの業者のため、インシデント時に即時対応できない可能性もあります。他には経産省が「情報セキュリティサービス基準適合サービスリスト」を、JNSAが「サイバーインシデント緊急対応企業一覧」を、デジタル・フォレンジック研究会が「デジタル・フォレンジック調査・解析対応企業」をそれぞれ公開していますので、そのようなリストを参考にしてみるのもいいかもしれません。

前川：他に事故に遭った時に連絡すべき場所などはありますか。

北條：サイバー攻撃によって個人データが漏えいした場合や、漏えいしたおそれのある場合などには、個人情報保護委員会への報告義務及び本人への通知義務が生じます。インシデント発生後はできるだけ速やかに同委員会のホームページに用意されているフォームから報告を提出しましょう。なお、報告を怠ると行政指導や勧告、事務所名等が公表される可能性もあります。

前川：今回はサイバー保険が適用になったようですが、適正な補償内容というのはどう判断すればいいでしょうか。

山岡：保険に入る場合、どこの数値を見るかというのが重要です。現状、サイバー事故によって賠償まで行くケースは少ないので、費用保険金のほうの数値を重視してどの程度のプランに入るべきか検討するとよいと思います。費用に関しては、大型事務所における重大インシデントの場合は5,000万円ほどかかる場合もあります。事務所の規模などに合わせて500万～数千万程度の保険で備えておくと良いのではないでしょうか。

前川：最後に、キホトリについて教えてください。

北條：2024年6月から施行された日弁連の弁護士情報セキュリティ規程では、情報セキュリティ確保のための基本的な取扱方法を定めることが義務付けられており、各弁護士に作成していただくことになっています。この「基本的な取扱方法」の部分を略し、通称「キホトリ」と呼ばれています。もちろん法律事務所に所属している弁護士については各弁護士がバラバラに作成するのではなく、法律事務所で統一したキホトリを作成し、使っていただくことで構いません。義務だから作るのではなく、作る過程でセキュリティを見直すのが大きな目的。まだ作成していない方は必ず作成してください。また、すでに作成したという方も、きちんとキホトリが守れているか、内容が古くなっていないかなど、定期的に見直すことが重要です。ブラッシュアップしてセキュリティの向上を図って欲しいと思います。