SaaS企業が取り組む重要情報資産を守るための、サイバーセキュリティ意識改革

2023/05/12

株式会社LegalOn Technologies

事業内容:

株式会社LegalOn Technologiesは、2017年に大手法律事務所出身の弁護士2名によって創業されました。弁護士の法務知見と自然言語処理技術や機械学習などのテクノロジーを組み合わせ、企業法務の質の向上、効率化を実現するソフトウェアの開発・提供をしています。京都大学との共同研究をはじめ、学術領域へも貢献しています。2019年4月よりAI契約審査プラットフォーム「LegalForce」、2021年1月よりAI契約管理システム「LegalForceキャビネ」、2023年4月よりアメリカでAI契約レビュー支援ソフトウェア「LegalOn Review」を提供しています。

Index

本日はお忙しい中、ありがとうございます。最初に、皆様のお仕事と役割について順番にお話しいただいてもよろしいでしょうか。

(佐藤さん)執行役員・CISOとして、社内向け情報システムおよび全社的なセキュリティを統括しています。

(菅野さん:企画担当者)IT&セキュリティPGのセキュリティガバナンス担当としてISMS運用に携わっており、役員および従業員に対する情報セキュリティ教育等に従事しています。

導入の背景 ― 形骸化した標的型メール訓練への危機感

貴社は、リーガルテック領域のスタートアップ企業として、順調に事業成長をされていていますが、各事業フェーズでどのようなサイバーセキュリティ対策を実施されてきたのでしょうか?

(佐藤さん)私は2021年4月入社しました。当時はコーポレートITおよびセキュリティの担当者が少なく、私も含めて3名でスタートしています。事業フェーズは、「LegalForce」はリリース済みでしたが、2つ目のプロダクト「LegalForceキャビネ」は2021年1月にリリースした直後という段階でした。会社全体では2021年2月にシリーズCラウンドの調達後でもあり、サイバーセキュリティを強化するという意思決定をしています。
また、2022年6月にシリーズDラウンドの資金調達を実施しており、さらにセキュリティ対策レベルを向上させていく段階になっています。

※シリーズC
経営が安定しはじめた段階

※シリーズD
安定した収益をあげることができ、IPOやM&A等のイグジットの具体的な検討段階

シリーズCのタイミングで、会社としてサイバーセキュリティを強化するきっかけはどんなものがありましたか?

(佐藤さん)「LegalForece」が提供するサービスはAIによる契約書のレビューですが、お客様の契約書データをお預かりするため、経営層は初期段階からサイバーセキュリティを重視するという意識を持っていました。
例えば、契約書データの情報漏洩等のセキュリティインシデントが発生した場合、事業上非常に大きな影響を受けることを認識していたことが背景にあります。
シリーズBラウンド以前でもプロダクトに対して脆弱性診断を行う、ISMS認証資格を取得する等を行っておりましたが、セキュリティ専任者を設置して体制整備するため投資が可能になるのがシリーズCラウンドのタイミングでした。

契約書データへの取り扱いについて、既に実施されているセキュリティ対策はどのようにされているのですか?

(菅野さん)まず、当社の情報の取扱いに関する社内ルールにおいて、お客様の契約書データを最も重要度が高いデータとして定義しています。
そのため、お客様の契約書データは、RBACの考え方に基づいてストレージやデータベースに対するアクセス制限を行う、最小権限の原則に基づいて担当者に必要最小限の権限のみ付与する等のセキュリティ対策を行っています。
また、不正アクセスを監視するため、SIEMにてセキュリティログ監視を行っており、担当者のアクティビティの監視も行っています。
具体的には、契約書データが保存されているストレージやデータベースへアクセスが発生した場合、SIEMからアラートが発報される仕組みを構築しています。業務上アクセスが必要になる場合は、事前に担当者からセキュリティ担当者へ連絡する運用にしており、事前に連絡無い状態でアクセスがあった場合は、アラートの内容を踏まえて状況確認しています。

※RBAC
Role Based Access Control(ロールベースアクセス制御)の略称で、ユーザーの役割に応じてアクセス権限などの権限を付与する方法。

※SIEM
Security Information and Event Management(セキュリティ情報とイベント管理)の略称で、ファイアウォールやIDS/IPS、プロキシなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて分析することで、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組み。

サイバーセキュリティ対策の中で、組織やルールづくりで取り組まれていたことがあれば教えて下さい。

(菅野さん)当社はISMS認証及びISMSクラウドセキュリティ認証を取得しているため、ISMSの要求事項を基に組織体制や社内ルールの整備を行っています。
ただし、セキュリティ担当者だけが組織体制や社内ルールを把握しているだけでは全社的なセキュリティ対策レベルの向上には不足するため、役員および従業員への情報セキュリティ教育のコンテンツにセキュリティポリシー、ISMS認証に基づいた体制や取組みなどを含めることで認知の向上を図っています。

その中で、AironWorks導入前に行っていた従業員へのサイバーセキュリティ教育・訓練の実施状況について教えて下さい。

(菅野さん)AironWorks導入以前、役員および従業員に対する情報セキュリティ教育は、入社時のオンボーディング研修時の動画視聴および年1回の標的型メール訓練を行っていました。

サイバーセキュリティ教育・訓練を取り組まれてきた中で、抱えていた課題とは?

(佐藤さん)当初課題は大きく3つありました。
1つ目は、ISMS認証を取得したものの、体系的なセキュリティ訓練(標的型攻撃メール訓練)ができていないことです。

2つ目は、自社で標的型攻撃メール訓練を実施した際の工数の多さです。事前の準備、事後の結果の取りまとめ、訓練結果の分析報告等で多くの工数が必要でした。

3つ目は、標的型攻撃メール訓練の間隔が長くなってしまうことによる改善傾向の把握のしづらさです。訓練の頻度をに「年1回実施」としていたのですが、従業員数や社内の状況が短期間で大きく変化していることもあり、年1回の訓練では改善の傾向を把握することが困難でした。

これらの課題を認識していた時に、AironWorksを紹介いただきました。
AironWorksは既に標的型攻撃メール訓練プラットフォームが準備されており、かつ、ダッシュボードの管理に関するサポートや訓練報告などを得られるため、訓練に必要な工数の削減が可能となりました。
加えて、何回訓練を実施しても費用が変わらないため、訓練の頻度を増やすことが可能となりました。
従業員数や社内の状況が目まぐるしく変わっていく中で、訓練に必要な工数を削減しつつ、短い間隔で標的型攻撃メール訓練を実施することで改善傾向や課題の把握が可能となるため、導入を決定しました。

AironWorksのサービスを導入にあたり、経営層や社内でネガティブなご意見等はありましたか?

(佐藤さん)お客様からお預かりしている契約書データの情報漏洩が発生した場合の影響の大きさ経営層含めて全ての従業員に共有されており、AironWorksを導入して標的型攻撃メール訓練のレベルの向上や工数削減に対して特にネガティブなコメントが挙がることはありませんでした。

また、標的型攻撃メール訓練に対して「業務で多忙な中で訓練メールを送らないで欲しい」などの声も挙がっていないため、現場からも必要性を認識されている考えています。

ただ、AironWorksを利用した標的型攻撃メール訓練を開始した当初は、訓練メールの内容が精巧であるため「これは本物なのか?」という声が上がることがありました。これは社内ルールの整備は行っていたものの、「本物の標的型攻撃メールなのか」「本物の標的型攻撃メールだった場合はどのように行動すればよいか?」などについて認知度が低いことが原因でした。
複数回の標的型攻撃メール訓練を行った結果、「不審なメールを受信した場合はセキュリティ担当者へ連絡する」という社内ルールの認知度が向上し、オペレーションが定着しましたため、今後は会社の文化になって欲しいと考えています。

(菅野さん)私も面と向かって、ネガティブなフィードバックをいただいたことはありません。AironWorksを利用して標的型攻撃メール訓練を開始した当初は、ネガティブなフィードバックが有った場合はどうしようと不安でしたが、今のところそのようなことはなく、ホッとしています。

素晴らしいことですね!

AironWorksではさまざまな企業を支援させていただいておりますが、 各従業員から企画部門にクレームがくる企業もあれば、貴社のようにスムーズに訓練を実施される企業もあります。その違いはどこにあると感じますか?

(佐藤さん)前述のとおり、経営層が情報漏洩等のセキュリティリスクが顕在化した場合の影響の大きさを認識している点が違うと考えています。

また、2021年に最初の標的型攻撃メール訓練を実施した際には、私だけでなく、代表の角田からも会社として標的型攻撃メール訓練を実施することの必要性をメッセージとして発信して貰いました。

標的型メール訓練のあるある話ですが、社内のハレーションを恐れてなかなか実施できていない企業が多い中で、貴社のようにトップの方が「なぜやるのか」を発信し、現場に浸透させていくのかというアプローチは他社企業へも大変参考になりますね!

導入プロセス ー 導入前からのサポートで不安解消

菅野さん

システムで検知できれば従業員への教育は最低限でよいと考えられる企業もありますが、貴社ではシステム対策(例えばEDR導入など)と従業員対策をどのような位置づけで考えられていますか?

(菅野さん)最近の世の中の動向は、一般の従業員であっても業務を行いながらセキュリティに注意をしなくてはいけない状況となっています。
しかしながら、標的型攻撃メールを含めたサイバー攻撃の手口はより巧妙になっており、残念ながら机上の情報セキュリティ教育だけではサイバー攻撃等の被害をゼロにすることは難しい状況です。
そのため、標的型攻撃メール訓練を日頃から行うことで、社内ルールに認知度を向上させ、実際にサイバー攻撃を受けた際の被害を最小化したいと考えています。また、訓練で一定の効果が出た後は教育のレベルを維持しつつも、人間が対応することに限界がある部分はシステム対策によって補完することでセキュリティリスクを低減する方針へ移行することが重要になると考えています。
システムで対策しているから人への教育は不要、ということにはならず、両方必要であると考えています。

経営層が考える投資対効果に合致したサイバーセキュリティ対策とは?

(佐藤さん)当社の事業形態はBtoBのSaaSサービスであるため、お客様がクラウドサービスプロバイダーに要求するセキュリティ対策レベルを最低限実現する必要が有ると考えています。具体的には、ISMS認証などの外形的なセキュリティ認証資格を取得していることが最低限要求されていると考えます。

セキュリティ対策に関するROI(投資対効果)を計算することも必要ですが、世の中の動向、サイバー攻撃の手法、セキュリティフレームワークの要求事項などの様々な変化に追随しながら、クラウドサービスプロバイダとして求められる要件を整理し、具体的なソリューションに落とし込むことも求められているため、難易度は高いです。

そのため、まずは要件整理と自分達の運用レベルを把握したうえで製品選定を行い、経営層と認識を共有したうえでEDR(Endpoint Detection and Response)、SWG(Secure Web Gateway)やCASB(Cloud Access Security Broker)などのセキュリティ対策を段階的に導入する必要が有ると考えています。

ISMS以外で貴社が適用しているセキュリティフレームワークはありますか?

(佐藤さん)今後は、グローバル展開を踏まえて、SOC2の取得を視野に入れています。

AironWorks導入時にあった不安や懸念があれば教えて下さい。

(菅野さん)AironWorks導入時に導入サポートや訓練実施前のディスカッション、その後のサポートなどをいただいていたため、標的型攻撃メール訓練を行う立場からは特に不安や懸念を感じることはありませんでした。

導入前後で起こった変化 ー 訓練頻度10倍、工数削減90%削減

導入後の効果について教えて下さい。

(菅野さん)標的型攻撃メール訓練の頻度や工数に関する課題感は解決できたと考えています。

具体的には、AironWorks導入後は追加費用無く、標的型攻撃メール訓練の頻度を年1回から月1回に増やすことができました。また、標的型攻撃メール訓練の事前準備(内容の調整)や訓練結果の把握についても工数を削減できています。

年1回実施されていた時と比較し、定量的にどの程度工数は削減できましたか?

(佐藤さん)当時は担当者が私一人しかいない状況で、訓練メールの文案を作成し、訓練メールを配信するシステムからメール配信する形で標的型攻撃メール訓練を実施していました。
訓練メールのテンプレートはあるものの、我々が業務で普段見ているメールの文面と合致していなかったため、かなり作り込む必要がありました。
また、訓練メールの送信リストも作成しなければならず、1回の訓練に対して全体で1週間程度が必要でした。現在は、1日以内に準備できるようになっています。

(菅野さん)AironWorksのサービス範囲で標的型攻撃メール訓練に必要な準備をカバーできています。また、具体的に工数をかけている準備作業は、アカウント管理、訓練内容のレビュー、定例でのディスカッション時間になります。

訓練に限らずですが、現在貴社の仕組みとして従業員からのエスカレーションについてはどのような運用をされているのでしょうか?

(菅野さん)今はSlackのセキュリティインシデント用チャンネルで報告を受けています。不審なメールの受信時、その他不安が有る場合は、まずは報告用チャンネルに報告いただき、その後詳細をヒアリングして調査を進める形で対応しています。

訓練の内容について、これ大丈夫かな?と不安に思うこともありませんか?

(菅野さん)標的型攻撃メール訓練に使用する訓練メールの文案をいただいた段階で特定の部署の業務に影響が出る可能性が高いと考えられる場合は、その時点で訓練対象から除くオペレーションにしています。訓練対象の調整ができるため社内で問題になったたことはありません。

例えば期末の時期だと特定の部署は特に忙しくなりますしね。

(菅野さん)例えば、ワクチン関連の訓練メール文案をご提案いただいた時、ちょうど同じタイミングで社内で実際にインフルエンザ予防接種の募集に関するメールが発出されていたことがありました。その際、ワクチンとは関係無い訓練メール文案を選択して実行いただいたので業務の妨げにならずに済みました。このように、訓練メールの文案を選択できることにより、標的型攻撃メール訓練が業務の妨害となってしまうリスクを低減できていると考えています。

運用でリスクを未然に防げているということですね。
リアリティのある攻撃を希望する一方で、従業員の意識が高まりすぎて、総務からくる全社宛にくる絶対に見てほしいメールも警戒されて見られないといった通常周知に影響が発生したことはありますか?

(菅野さん)当社は、SlackやNotionを社内周知に利用しており、メールを使用することは稀です。そのため通常周知に影響する可能性は低いと考えています。
ただ、標的型攻撃メール訓練の効果により、フィッシングではない通常のメールと思われるメールについても「不審なメールではないか?」と報告を受けることが増えたと感じます。

AironWorksを導入したことでセキュリティ対策や従業員教育について新たに取り組めたことはありますか?

(菅野さん)前述のとおり、標的型攻撃メール訓練の頻度を増やしたことにより役員および従業員のセキュリティ意識がより向上したと考えています。また、標的型攻撃メール訓練を通じて全社的に「セキュリティ関連で困った場合はまずセキュリティ担当者に相談する」という認知の向上が副次的な効果として得られました。
入社時に全ての従業員をセキュリティインシデント報告用チャンネルに含めているため、当事者でない場合でも、他の従業員のやりとりを見て参考事例にできるため、回を増す毎にスムーズに報告いただけることが多くなりました。社内ルールの認知度が低かった時は誤った窓口へ報告するなどのように事前に準備している報告手順がうまく機能いませんでしたが、回数を重ねることで定着してきたと実感しています。

サイバーセキュリティ担当者として、社内での認知度を上げるためにどんな活動をしていますか?

(菅野さん)認知度を高めるための特別な活動を行っているわけではなく、セキュリティインシデント対応を通じて徐々に認知度が上がってきたと感じています。

セキュリティチームは仕事柄、自分達だけで仕事できない、他の人の協力を得ないと仕事にならないので、そういう意味で他のメンバーと良い関係を構築すべく、認知度を上げておくというのは今後活きてきそうですね。

(菅野さん)相談しやすいセキュリティチーム、といったイメージ作りを心がけています。声が掛けにくいという印象をもたせてしまうと、通報の遅れにつながり結果的に被害の拡大に繋がる恐れがあるためです。

それはご自身によるトライアンドエラーで導き出したのですか?それとも佐藤さんからの期待でもあるのですか?

(菅野さん)トライアンドエラーというよりも、自分が相談する立場になった時にどういう窓口であれば相談しやすいかを考えた結果です。自らが当事者となった時に、セキュリティチームが声掛けしづらい様子であったら、通報に対して後ろ向きになってしまうと思います。これは、私だけではなく他の従業員も同様だと思うので、このようなことにならないように日ごろから、相談しやすいイメージ作りを心がけるようにしています。

素晴らしいですね!従業員からするとコーポレートITの方に対して、致命的に業務影響が出る、例えば、パソコンが壊れたり、通信できない、など色々相談したいことはあるものの、ハードル高いと難しい、とよく聞きます。一方で、普段から良い関係を築いていると、こちらからお願いした時にすんなり対応してもらえる、協力したいなと思えるので、まずはGiveから始めていくという活動は改めて素晴らしいなと感じました。

今後のビジョン ー 標的型メール訓練の高度化へ

最後に会社の中での今後の展望について教えて下さい。

(菅野さん)AironWorksを導入したことで、セキュリティ担当者の観点では事前準備等に掛かる工数を削減できたので、空いた工数を情報セキュリティ教育及び訓練の高度化に向けた取組みに向けていきたいと考えています。

訓練の高度化によって、通常業務への影響が懸念されます。例えば、特定の部署への問い合わせが増加する可能性が考えられますが、そのための解決案はありますか?

(菅野さん)特定部署に事前通知を行うこと、これで一定ハレーションは防げると考えています。
ただ、その部署の従業員にとっては訓練にはならない側面があるので、バランスを見極めながら実施していくことが必要だと考えています。

ハレーションの度合いは組織ごとに異なりますが、貴社の場合は、組織の風土的にも問題なく、標的型の訓練レベルを向上させていけそうですね!

(菅野さん)はい、引き続き訓練を実施し高度化を進めていければと思います。

本日は貴重なお時間をいただき、有意義なお話をいただき、どうもありがとうございました!