トップへ戻る

ユーザー事例 CASE STUDY

個人のインシデントをいち早く解決し、クライアントのベネフィット向上を第一に考える

adire
adire

弁護士法人 アディーレ法律事務所 様

事務処理の効率化はすなわちクライアントの利便性向上であると考え、いち早くIT化に取り組んだ弁護士法人 アディーレ法律事務所。同事務所は業界きってのIT化事務所である。また、取り扱うデータが機微情報であることから、2008年にはPマークを取得 しているが、これは現在Pマークを取得している14弁護士法人中、最も古い。弁護士法人としては類を見ない情報システム部門を抱えるアディーレ法律事務所のセキュリティ担当メンバーにお話を伺った。

adire

【お話をお伺いした方】
(写真左から)
・情報システム部インフラ・セキュリティ課 原田 圭二郎 氏
・情報システム部副部長
 情報システム部インフラ・セキュリティ課 課長 吉岡 英一 氏
・統括本部長 弁護士 田島 寛明 氏


品質を担保したうえで提案している点が強み

「リーガルサービスをもっと身近に」をモットーに掲げ 、債務整理や交通事故、労働問題などなど、本当に個人の生活に直結する案件を専門とするアディーレ法律事務所。2005年の創立当初 から、法律事務所の広告の草分けでもあった。

事故や病気、解雇といった誰しもに起こりうる「インシデント」、しかし2000年に弁護士広告が解禁されるまでは、そうしたインシデントが起きても、どこに相談していいかわからないという人が大半を占めていた。知り合いの伝手を辿って弁護士を見つける、というそれまでのスタイルが果たしてクライアントの便益を満たしているといえるのか。そうした思いから広告やWeb サイトを通じて集客し、急成長を遂げてきた。また、最近ではすべての情報をペーパーレスでデータ化し、事務処理速度をあげる取り組みを行っている。事務処理の効率化で事件の解決までの時間が短縮されることが、クライアントのベネフィットにつながるとの考えからだ。

法律事務所のIT化問題

ところが、弁護士業界は、IT化が進みつつあるイメージがある反面、現在でも案件情報は紙で補完していたり、Web サイトを持っている法律事務所がまだまだ少数だったりと、実はIT化が遅れている業界といえる。そうした中でいち早くIT化に取り組み、Webを通じて相談者の問い合わせを受け付けてきた。今ではクライアントが自分で相談状況の進捗を確認できるシステムも運用しているという。

しかし、「扱っている情報は非常にプライバシー性の高く、絶対に流出してはいけない情報ばかり。セキュリティをしっかりしなければならない、という意識から、当事務所はいち早くプライバシーマークを取得しました」と統括本部長の田島弁護士は語る。外部に公開しているシステムも多く、非常に気を遣う。情報セキュリティは最も力を入れなければならない課題と認識しており、情報システム部も15名のメンバーを抱えている。法律事務所でこれだけの専業メンバーをそろえているケースは珍しい。

マニアックなエンジニア、当事者意識に驚き

adire
セキュリティが重要課題というだけあり、外部のセキュリティコンサルタントとともにセキュリティ対策体制を構築していた。しかし、ある時、インシデントの疑いにより、とにかくすぐ調査したい、という事案が生じた。折あしく連休中のため、既存のコンサル会社では対応できなかった。「とにかく、急いで疑念を晴らしたかった。ところが休日に対応してくれる会社が本当になかった」と情報システム部副部長の吉岡氏は当時を振り返える。「24時間365日対応というのがBBSecだけだったので声をかけた」という吉岡氏。しかし、「疑い」であってもすぐに対応したBBSecに今では絶大な信頼をよせている。

「BBSecのエンジニアは当事務所のデータの重要性をよく理解し、どんな課題があるかを検討してくれた」と語る吉岡氏。時には顧客の前であることも忘れて、課題についてBBSecのエンジニアチーム内で解決策を激論する様子に驚いたが、それだけ「自分ごと」としてとらえていると頼もしく感じられたという。さらに営業担当者もセキュリティに詳しく、エンジニアの話と齟齬がなかったことも吉岡氏や現場担当の原田氏の信頼を得る要因だったという。

BBSecの提案により、まずはモダンマルウェア検知サービス(MARS)やエンドポイントセキュリティ運用支援(EDR)を導入した。EDRはVMware CarbonBlack製品と、BBSecの24時間365日体制の監視との組み合わせでエンドポイントセキュリティを支援するサービス。このサービスの感想について原田氏は「他のアンチウィルスソフトで検知されなかったものが検知される。ふるまい検知とパターンファイルのアンチウィルスソフトの違いを実感した。」と語る。「特に、こちらが見つけ切らなかったアクセス先をあぶりだし、可視化できたことが大きい。一種、プロキシ的にC&Cサーバ以外にアクセスしているのを検知できる」という。

例えば、一般職員が誤って今は存在していないサイトにアクセスし、別のサイトにリダイレクトされたが、その先が実はあやしいサイトであった、というようなことがあった。「これもMARSを導入していなければ気が付かなかっただろう」と原田氏。「また、これらのサービス導入後に驚いたことの一つは、各部署が良かれと思って使用していたシャドウITがこんなにあったのか、ということ。可視化することによって問題把握が進んだ」。まずはマルウェア対策を優先したい、と優先順位がはっきりしていた同事務所だが、EDRを導入してみての感想は、マルウェア検知に加え、万が一の際に必要なログを取得し、さらにはイベント発生時には最大1ヶ月に遡り調査する仕組みがあることで得られる安心感だという。

同事務所は現在、日本CSIRT協議会にオブザーバ参加し、加入準備を進めるなど、セキュリティ体制をさらに強化しつつある。「こうした活動は、役員にセキュリティ意識が浸透してきたのが大きな要因です」と田島弁護士。早くから取り組んできたことが、ようやく経営層に浸透してきた結果で、セキュリティ体制構築においても同業他社を先んじていると自負している。

満足して終わると劣化する

経営層にセキュリティ啓発をする一方、日々現場で業務を遂行している一般社員に浸透させることも大切だ。同事務所では最近、セキュリティポリシーを新しく策定し・公布したが、特に変化があったのは、社内の問合せ姿勢だという。従来も「怪しいメールが来ている」等の報告が寄せられていたが、今では業務に使用するツールを導入する前に、職員自らセキュリティの相談をしてくるようになった。
「ただ、セキュリティルールが定着したころが実は危ないと考えている。慣れてきて手順を端折り始める、記録を残すのを忘れる、忙しさに紛れ、正しいプロセスを踏まなくなっている、しかし何のインシデントも起こっていない・・・実はそれがもっとも危険である」と統括本部長の田島弁護士は語る。「セキュリティは満足して終わると劣化する」。担当部署がセキュリティ施策をしたことで満足しただけでは、形骸化してしまうとの思いがある。如何に高いセキュリティ意識を保持させ続けるかが課題であるという。そのため、プロセスが浸透した時期を見計らってルールやプロセスの棚卸をしている。また、セキュリティ自体の進化や新人の教育にも頭を悩ませている。Pマークを取得しているため、個人情報に関する教育は今までも実施していたが、今後は「持続する」ことに力を入れたセキュリティ教育を組み込んでいく予定だ。

adire

しかし、所員も900名を超える中で情報システム部15名、しかも開発担当とセキュリティ担当を合わせての数なので、十分とはいいがたい部分も出てくる。

今までは「外向け」の訓練をメインにしていた。特権IDを持つような層に対してはセキュリティ教育が終わったとしても、ーレベルにはまだまだ課題は残っている。今後は「内向き」の訓練に力を入れていこうと考えている。ユーザーレベルでは広報・経営企画といった部署から始めている。「マンパワーがないのはたしか。でも、この先どうするか。今後はより有効な訓練を実施していくことも考えている」と吉岡氏。今までは把握しきれなかったものが、今ではシステムで検知できるようになった。今こそさらに進化する時だと考えているという。

個人のインシデントをいち早く解決し、クライアントのベネフィット向上を第一に考えるアディーレ法律事務所。新たな課題に積極的に取り組もうとするその姿勢は、今後も弁護士業界をリードし続けるだろう。

<会社情報>

会社名: 弁護士法人アディーレ法律事務所
URL: https://www.adire.jp/
創立2005年。BtoCを主軸とし、「弁護士をより身近な存在にすること」「全国規模でのワンストップリーガルサービスの提供を可能にすること」をミッションとして活動している。 全国64拠点(2020年9月現在)、日本有数の大規模弁護士ファームである。

※ 記載の情報は2021年2月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。