この度The CJK Groupは、リモートワーク環境における多言語ドキュメント・レビューの安全性をより向上させたCJKセキュア・リモート・レビュー(「CJK-SRR」)の提供をAM Law 100へ拡大致しました。そして、世界最大規模のLaw Firmとの多言語レビューにおいて早速このモデルを使用したレビュー・プロジェクトを開始致しました。
サイバーセキュリティのインシデントが39秒ごとに発生する現代において、常にドキュメント・レビューのモデルを最適化する必要があります。また、昨今のCovid19によるパンデミックからもわかるように、いつ自分のオフィスのある都市がロックダウンされるかもわかりません。これらを受け、The CJK Groupはリモートワークにおいても安全に作業を行える環境を提供します。
多言語ドキュメント・レビューの精度を高く保ち、効率よくレビューを進めるための重要事項は過去の記事を参照頂くことにして、ここではレビュー・チームが分散している状況下でのセキュリティの技術的なインフラについて説明します。
例外も多くあるものの、一般的リモート・レビューでは、機密文書がホストされているレビュー・プラットフォームのレポジトリにアクセスするため、法律事務所、またはデータをホストしているテック・ベンダーから電子メールにてプラットフォームのログイン・クレデンシャルが送られます。法律事務所やクライアントによっては、CitrixのWorkspaceや仮想プライベートネットワーク(VPN)を使用している場合もありますが、少なくとも事務所の弁護士には使用してはいるものの、リモート環境においては必ずこれらが実装されている保証がないため、クライアントや法律事務所がリモートを好まない理由は正しいでしょう。 サービスプロバイダーや法律事務所が、短期的なレビューのために一時的に利用するレビュアーを含むすべてのエンドポイントにまで仮想ワークステーションを実装しない限り、データが漏洩するリスクは高くなるからです。
リモート・レビューのための技術的インフラ。チームが分散している時代のセキュリティ
ここで、リモート・レビューの安全性を確保するための核心に迫ります。 接続されたデバイスを操作する際に内在するリスクを最小化するように設計されたインフ ラストラクチャ、すなわちレビュワーのワークステーションについてです。
ここでの議論は、デバイスに関係なく、仮想化されたワークステーション内のドキュメントへのアクセスを隔離するコンテナ化された環境内でのドキュメント・レビューに関連しています。 リモートワーク環境のセキュリティを確保するためには、ファイアウォールの設定、VPN、安全でない会議回線の評価、物理的な文書の管理と破棄、ルータの暗号化WPA2またはWPA3を有効にするなど多岐にわたりますが、 ここでは、リモート・レビューの安全性の観点から考察します。
ほとんどのドキュメント・レビューは、正式に案件の依頼を受けてからレビューが開始するまで、ほとんど時間がありません。 チームとレビュー環境を瞬時に準備する必要があります。通常のレビューであれば、セキュアなオフィス環境は既に整っていますが、リモートとなると話は別です。そのため、セキュリティ・インフラストラクチャが整備されていないまま、レビューが開始してしまいます。つまり 、レビュワーは会社が発行したメールからレビュー・プラットフォームのクレデンシャルを取得し、会社支給のデバイスでホームネットワークを通してプラットフォームにログインすることがあるということです。 場合によっては、コストや時間の関係から、リモート・レビュワーにデバイスを支給しないこともあるかもしれません。いずれにしても、レビュー・プラットフォームにどのようにアクセスするにしても、セキュリティ上の大きなギャップがあるため、毎回注意が必要です。しかしながら、リスクを最小化するテクノロジーは存在します。それも、低コストかつ実装までに時間が掛からないよう設計されたテクノロジーです。これが、セキュア・リモート・レビュー・モデルと呼ばれるものの基本であり、次にどのように適用されるかを説明します。
デプロイ/構成とは?
セキュア・マター・インフラストラクチャ(SMI)環境は、どのようなデバイスにも展開できます。 レビュワーがレビュー・プラットフォームにアクセスする仮想マシンは、レビュワーのワークステーションからあらゆるデータを隔離し、そこではクライアントの要求に応じていくつかのルールや制限をカスタマイズすることができます。 言い換えれば、レビュワーはログイン認証情報を受け取り、レビュー・ラットフォームにアクセスし、完全に SMI 内のみで作業を完結できます。 これには、法務チームやレビュー・チームの他のメンバーと通信する際に、SMI内に埋め込まれた電子メールシステムを使用して通信することも含まれます。 私たちが克服しなければならなかった課題は、eDiscovery関連の文書レビューのテンポの速い性質の中で、これを費用対効果の高い方法で迅速に構築することでした。 ただのセキュリティレイヤーとして機能するだけでなく、通常の予算の範囲内に収まるよう設計しました。繰り返しますが、費用と時間掛ければ、セキュアな環境を整えることは難しくありません。リスクを最小化する環境を、低コストかつ迅速に導入できることこそが、 CJK-SRRが支持されるポイントです。
CJK-SRR のメリットは、導入の容易さと低コストに加え、各プロジェクトやクライアントのニーズに合わせて柔軟にカスタマイズできることです。 例えば、ユーザーレベルでのエンドポイント保護を確保するために導入できる機能を下記にいくつか挙げてみました。
- URLのホワイトリスト化
- プロジェクト別メールシステム
- 生体認証AIを活用した目だけを利用するセキュリティ
- 顔認証で審査を行いながらレビュー可能にするバイオメトリクス認証
- IP制限
- サードパーティのセキュリティ監査能力
- コピー/プリント/ダウンロードの制限
- PCからのデータ分離
- スクリーンショット/スクリーンシェアのブロッキング
- ユーザーのコンピュータ画面の透かし
- ジオロケーション制限と電話検知(ベータ版)
など
人間を信用できるかどうかという問題ではありません。 ハッカー常に獲物を探しています。 彼らはファイルにアクセスしたり、フィッシング攻撃を試みたり、ワークステーションにマルウェアを忍ばせようとします。彼らは、 誤った設定や最新のパッチが適用されていないソフトウェアを常に探しています。 ソーシャル・エンジニアリングによりセキュリティが脅かされるパターンは数え切れないほどありますが、完全に隔離され、さらに監視の行き届いた仮想ワークステーション内でレビューが完結すれば、リモートワークに起因する関連リスクを大幅に軽減することができます
レビュワーが悪者であり、インサイダーの脅威が発生する場合でも、隔離されたワークステーションを使用することで、インサイダーによる脅威を小限に抑えることができます。 これは、そのような脅威が発生しないことを意味するのではありませんが、そのリスクは大幅に軽減します。
CJK-SRRにより、お客様に最高のインフラストラクチャを提供し、安全なリモートソリューションを提供できると確信しています。 The CJK Groupは常に、レビュー専門チームを、専門のバイリンガルレビュー弁護士が専門的に管理して参りました。 この度の「CJK-SRR」導入により、圧倒的なレビューの質という弊社の強みに、セキュリティというもう一つの強みが加わることになりました。
