法律事務所が負債になるとき：ゴールドマン・サックス—フリード・フランク侵害と、プロフェッショナルサービスのサプライチェーンに潜む見えない危険

ウォール街屈指の名門法律事務所で発生したサイバーセキュリティ事故が、プロフェッショナルサービス分野における第三者リスクの不都合な真実を露呈させた経緯

エグゼクティブサマリー

2024年12月19日、ゴールドマン・サックス・グループ（Goldman Sachs Group Inc.）は、どの金融機関も書きたくない内容の書簡を送付しました。すなわち、同社のオルタナティブ投資ファンドの投資家に対し、機微な個人情報および金融情報が侵害された可能性があると通知したのです。しかも、ゴールドマンのシステムが侵害されたのではなく、外部法律顧問がハッキングされたことが原因でした。被害を受けたのは、フリード・フランク・ハリス・シュライバー＆ジェイコブソン（Fried, Frank, Harris, Shriver & Jacobson LLP）。ウォール街のエリート層にサービスを提供する、最も権威ある国際法律事務所の一つです。

数日以内に、ニューヨーク南部地区連邦地方裁判所に集団訴訟が提起され、フリード・フランクがゴールドマン・サックスのプライベート・エクイティ・ファンドに関連する口座投資の「機微な個人情報を適切に保護しなかった」と主張されました。訴状は特に、同法律事務所が口座保有者へ直接通知しておらず、またクレジット・モニタリングサービスも提供していない点を指摘し、被害者が「複数年にわたる継続的ななりすまし被害」にさらされ得るとしています。

主要な影響指標：

被害者： ゴールドマン・サックスのオルタナティブ投資ファンドの投資家（正確な人数は非公表）
流出したデータ： 富裕層個人の機微な個人情報および金融情報
攻撃経路： 第三者の法律事務所におけるサイバーセキュリティ事故
下流への影響： 複数のゴールドマン・サックスのプライベート・エクイティ・ファンドが影響
法的対応： 2024年12月に集団訴訟が提起
業界背景： 法律事務所のデータ侵害が過去最多となった年の一部

この事件は単なるデータ侵害ではありません。プロフェッショナルサービス企業が、現代のセキュリティ・サプライチェーンにおける最も弱いリンクになっていること、そして法律事務所・会計事務所・コンサルタントが組織にとって最大の負債になり得ることを、痛烈に示す事例です。

📊 コンプライアンス・リソース： この侵害の影響を受けた組織は、複雑な州別通知要件に対応する必要があります。全50州にわたる義務を把握するために、当社の無料「州別侵害通知要件トラッカー」をご利用ください。

プロフェッショナルサービスのサプライチェーン攻撃の構造

フリード・フランクで何が起きたのか

関係当事者が開示した限られた情報によれば、フリード・フランクは、ゴールドマンのオルタナティブ投資ファンドのために保有していたデータに影響する「最近のデータセキュリティ事故」を経験しました。同社の対応声明は慎重に言葉が選ばれており、「当社は速やかに封じ込めの措置を講じ、対応支援および当社システムの安全性の検証のため、業界をリードする外部データセキュリティ専門家を起用し、当該事案を法執行機関に報告しました」としています。

この侵害が特に懸念されるのは、データ関係の性質にあります。ゴールドマンの複数のオルタナティブ・ファンドの外部顧問として、フリード・フランクは極めて機微な情報を保有していました：

富裕層投資家の個人識別情報
金融口座の詳細および投資ポジション
ファンドの独自構造および戦略
規制当局向け提出書類およびコンプライアンス文書
弁護士—依頼者間の秘匿特権が及ぶ可能性のあるコミュニケーション

ゴールドマン・サックスは12月19日の書簡で、「当社のデータまたは当社顧客のデータが露出した可能性があるかどうかをより深く理解するため、フリード・フランクと緊密に連携している」と強調しました。分析は「継続中」とされ、発見から数週間が経過しても侵害の全容が不明であることを示唆しています。

重要なのは、ゴールドマンの広報担当者が「ゴールドマン・サックスのシステムは本件の影響を受けておらず、安全性は維持されている」と述べた点です。これこそが第三者リスクの新しい現実です。自社の要塞が難攻不落でも、ベンダーの扉が開いていれば、結局は露出します。

集団訴訟という反応

集団訴訟が迅速に提起されたことは、法務・金融コミュニティがこの侵害をいかに深刻に受け止めているかを示しています。訴状は、いくつかの重大な不備を主張しています：

不十分な保護措置： 機微な顧客データに対する合理的なセキュリティ対策を実装しなかった
透明性の欠如： 影響を受けた口座保有者への直接通知がない
是正措置の不足： クレジット・モニタリングやなりすまし保護サービスの提供がない
継続リスク： 被害者は「複数年にわたる継続的ななりすまし被害」への露出に直面

原告の一人は訴状で、フリード・フランクのシステムが安全ではないと知っていたなら、ゴールドマンに個人情報を預けなかったと述べています。これは、第三者セキュリティが消費者の信頼や投資判断に直接影響する要因になったことを浮き彫りにしています。

2024年：法律事務所がサイバーセキュリティ最大の標的になった年

フリード・フランクの事件は孤立したものではありません。2024年は法律事務所のサイバーセキュリティにとって壊滅的な年であり、法務業界全体で侵害件数が過去最高に達しました。

数字が物語る厳しい現実

複数の業界分析によれば：

2024年上半期だけで21の法律事務所がデータ侵害を報告。2023年通年の28件と比較すると、同年は法律事務所侵害史上最大となるペース
2024年に法律事務所の40%がセキュリティ侵害を経験（過去より増加）
侵害を経験した法律事務所の56%が機微な顧客情報を喪失
508万ドル： プロフェッショナルサービス企業（法律・会計・コンサル）におけるデータ侵害の平均コスト（世界平均488万ドルを上回る）
2024年第1四半期だけで、法律事務所へのランサムウェア攻撃が30%増
50万ドル超： 法律事務所攻撃における平均身代金要求額

2024年の著名な法務業界の被害事例

Taft Stettinius & Hollister（Am Law 100 #83）

ランサムウェア攻撃を2023年10月に発見
約6,000人分のデータにアクセス
氏名、住所、社会保障番号が侵害
攻撃は「二次サーバーおよびワークステーション」を標的

Gunster Yoakley & Stewart

850万ドルの和解金を支払い（2024年11月）
2022年のデータ侵害に起因
約10,000人分の個人情報および健康情報が流出
これまでで最大級の法律事務所侵害和解の一つ

HWL Ebsworth（オーストラリア）

ALPHV/BlackCatによるランサムウェア攻撃（2023年4月）
オーストラリア最大級の法律事務所が侵害
法律事務所が世界的に標的化されていることを示す

Houser LLP

ファイルが暗号化され、持ち出し（2023年5月）
325,000人超が影響
SSN、運転免許証、医療情報、金融データが盗難
データ窃取要素を伴うランサムウェア

なぜ法律事務所が格好の標的なのか

法律事務所はサイバーセキュリティ上の脆弱性が重なる「パーフェクトストーム」を体現しています（「法律実務の保護：法務業界における侵害の理解とサイバーセキュリティ強化」の包括ガイド参照）：

1. データの集約 法律事務所は、複数の高価値クライアントからの機密情報（M&Aの詳細、訴訟戦略、知的財産、規制当局提出書類、顧客の個人データ）を集中管理します。単一の侵害で、同時に数十〜数百の組織が露出し得ます。

2. アクセス権限 信頼される助言者として、法律事務所はクライアントのシステム、ネットワーク、機密データベースへの特権的アクセスを持つことが多く、複数ターゲットを侵害したい攻撃者にとって理想的な踏み台になります。

3. 歴史的なセキュリティ投資不足 法務業界は伝統的に技術導入への抵抗が強く、多くの事務所が旧式インフラと不十分なセキュリティ対策のままです。ABAのデータによれば、2023年に法律事務所の80%がテクノロジー保険に加入していた一方、インシデント対応計画を持っていたのは34%にとどまりました。

4. ビラブルアワー（請求時間）経済 法律事務所の収益構造は、サイバーセキュリティのような非請求業務への投資を抑制します。セキュリティに費やす時間は売上を生まないため、強固なセキュリティプログラムに逆インセンティブが働きます。

5. 多様な技術エコシステム 7種類以上のコミュニケーション／コラボレーションツールを使う法律事務所は、統合されたシステムの事務所に比べて侵害が3.55倍多い—そしてプロフェッショナルサービス企業は、あらゆるセクターの中でツール増殖が最も顕著です（80%が4つ以上のツールを使用）。

6. 専門化した脅威グループによる積極的な標的化 Silent Ransom Group（SRG）のようなグループは、2023年春以降、「法務業界データの極めて機微な性質」を理由に、米国拠点の法律事務所を継続的に標的にしています。

プロフェッショナルサービスのサプライチェーン危機

フリード・フランクの侵害は、より広範な危機を象徴しています。プロフェッショナルサービス企業—法律事務所、会計事務所、コンサルタント、専門アドバイザー—が、組織のセキュリティ・サプライチェーンにおける最も危険な弱点になっているのです。

2024年のサプライチェーン攻撃の爆発的増加

データは圧倒的です：

2024年に47%の組織がベンダー／サプライチェーン攻撃の被害
ランサムウェア被害者の62%が、ソフトウェア・サプライチェーン・パートナー起点の攻撃の影響を受けた
サプライチェーンのサイバー攻撃が週次で前年比179%増
グローバル2000企業の99%が、侵害を経験したベンダーと直接つながっている
ファイル転送システムを狙うソフトウェア・サプライチェーン攻撃が68%増

プロフェッショナルサービスが特有のリスクを持つ理由

一般的なIT／ソフトウェアベンダーと異なり、プロフェッショナルサービス企業は非対称なリスク関係を生みます：

情報の非対称性： クライアントは法律事務所、会計士、コンサルタントに膨大な機微情報を共有しますが、そのデータがどのように保護されているかの可視性は限定的です。多くの組織は、外部顧問がどのようなセキュリティ統制を実装しているかを把握していません。

規制上の秘匿特権： 弁護士—依頼者間秘匿特権やワークプロダクト保護は、サイバーセキュリティをむしろ阻害し得ます。特権放棄や職業賠償責任の露出を恐れ、事務所がセキュリティ事故や監査結果の共有に消極的になり得るためです。

規制義務 vs. 市場インセンティブ： 弁護士にはABAルール1.6に基づき、依頼者の秘密保持を守り「不正アクセスを防ぐために合理的努力を行う」倫理義務があります。しかし、侵害が起きるまで高度なセキュリティに投資する市場圧力は弱いのが実情です。

クライアント間の汚染： 法律事務所での単一の侵害は、1社だけでなく、共有インフラや文書管理システムへのアクセスを攻撃者が得ることで、同時に数十社の機密情報を露出させ得ます。

フォースパーティ（第四者）問題

ゴールドマン・サックス—フリード・フランク事件は、セキュリティ専門家が「フォースパーティ・リスク」と呼ぶもの—すなわち、ベンダーのベンダーに起因するリスク—を示しています。ゴールドマン・サックスは高度な第三者リスク管理（TPRM）プログラム、ベンダーのセキュリティ評価、契約上のセキュリティ要件を備えている可能性が高いでしょう。しかし、そのベンダーが利用する法律事務所、会計事務所、コンサルタントのセキュリティ実務まで監査しているでしょうか。

プロフェッショナルサービスの相互接続性は、連鎖的リスクを生みます：

あなたの法律事務所が文書管理ベンダーを利用する
そのベンダーがクラウド基盤プロバイダーを利用する
そのクラウドプロバイダーが第三者の監視ツールを利用する
このチェーンの各リンクが潜在的な露出点となる

TPRMの研究によれば、連邦政府機関の28%が5,000社超の第三者とデータを交換しています。プロフェッショナルサービス企業は、こうした複雑なベンダー・エコシステムの結節点に位置し、複数組織にまたがるリスクを集約しがちです。

人的要因：侵害は実際にどう起きるのか

フリード・フランク事件では具体的な侵入経路は開示されていませんが、業界データは、法律事務所侵害の最も一般的な入口を示しています：

スタンフォード／Tessianの研究によれば、データ侵害の88%に人的ミスが関与
法律事務所の80%が主要なサイバーセキュリティ手段としてスパムフィルターを使用—侵害を前提にするのではなく予防に偏重
弁護士は、裁判所文書、依頼者との連絡、緊急の法的期限を装った高度なフィッシングに特に脆弱

実例： アセンション・ヘルスケアの2024年ランサムウェア攻撃は、従業員が誤って悪性ファイルをダウンロードしたことから始まり、営業利益で18億ドルの損失につながりました。

ランサムウェアの進化

ランサムウェア脅威は劇的に進化しており、ALPHV/BlackCat（主要な法律事務所攻撃に関与）グループは、インシデント対応業界における内部不正者の取り込みを含む戦術など、高度な手口を示しています：

平均身代金支払いが500%増（現在平均200万ドル）
二重恐喝：システムを暗号化し、盗んだデータの漏えいも脅す
三重恐喝： DDoS攻撃や、依頼者／規制当局への通報脅迫を追加
Ransomware-as-a-Service（RaaS）： ALPHV/BlackCat等がサイバー犯罪をプロ化

未パッチの脆弱性

2024年に発見されたOpenSSHの「regreSSHion」脆弱性は、特に専任のセキュリティチームを欠くプロフェッショナルサービス企業において、重要インフラの脆弱性が未修正のまま残り得ることを浮き彫りにしました。

内部脅威と認証情報の侵害

ランサムウェア交渉人と攻撃者の協力疑惑に関するDigitalMint調査は、信頼された内部者が脅威ベクトルになり得ることを明らかにしました。これは、個々の従業員が依頼者データへ広範なアクセスを持ち、インシデント対応チームが利益相反を抱え得るプロフェッショナルサービス企業にとって、特に重要です。

プロフェッショナルサービス侵害の経済学

直接コスト

法律事務所にとって：

侵害コスト平均：508万ドル
法的和解：850万ドル（Gunsterの例）
フォレンジックおよびインシデント対応：5万〜50万ドル超
規制上の罰金・制裁
影響を受けた個人へのクレジット・モニタリング

クライアントにとって：

複数の顧客基盤にまたがる通知コスト
規制当局の調査の可能性
秘匿特権のある通信の喪失
競争上のインテリジェンス露出
評判被害

間接コスト

市場への影響：

法務クライアントの37%が、強固なサイバーセキュリティを持つ事務所にプレミアム支払いの意思
侵害後の顧客離反
保険料の上昇（サイバー保険コストが50%超増）
競争入札機会の喪失

業務中断： CDK Globalの自動車ディーラー向けソフトウェアへの攻撃（2024年6月）は、10億ドル超の損失をもたらし、プロフェッショナルサービスの障害が産業全体に連鎖することを示しました。

何が違うのか：ゴールドマン・サックスの対応

ゴールドマン・サックスのフリード・フランク侵害への対応は、いくつかの重要な教訓を示しています：

圧力下での透明性

評判リスクがあるにもかかわらず、ゴールドマンは2024年12月19日、全容が判明する前に影響を受けた投資家へ詳細な通知を送付しました。この透明性は、多くの法域で法的に求められるものではあるものの、第三者侵害の開示をめぐる期待が変化していることを示しています。

システムとデータの区別

「ゴールドマン・サックスのシステムは影響を受けていない」という強調は技術的には正確ですが、重要な区別を浮き彫りにします。第三者があなたのデータを保有している場合、システムの安全性はデータの安全性と同義ではありません。

継続中の分析

通知から数週間後も分析が「継続中」であるという認識は現実的である一方、懸念もあります。侵害範囲、期間、侵害された具体的データが、なお不明である可能性を示唆するためです。

規制・法的環境

ABAの倫理義務

ABAルール1.6：情報の秘密保持 弁護士に対し、「依頼者の代理に関する情報の偶発的または不正な開示、あるいは不正アクセスを防ぐために合理的努力を行う」ことを求めます。

ABA正式意見483 は、サイバー攻撃から機密情報を保護する弁護士の義務に関する指針を提供し、以下を含みます：

定期的なセキュリティ評価
従業員トレーニング
ベンダー・セキュリティのデューデリジェンス
インシデント対応計画

ギャップ： サイバー保険加入が80%であるにもかかわらず、インシデント対応計画を持つ法律事務所は34%にとどまります。

州別の侵害通知要件

米国50州すべてに、要件が異なるデータ侵害通知法があります（これらの複雑さを整理するには、当社の包括的「州別侵害通知要件トラッカー」をご利用ください）：

通知期限（通常30〜90日）
通知の閾値（「害」が合理的に見込まれる場合など）
内容要件（開示すべき情報）
規制当局への報告義務

州法のパッチワークは、全国規模の法律事務所とそのクライアントにコンプライアンス上の複雑性をもたらします。

サイバー保険の検討事項

支払い拒否リスク： サイバー保険会社は、法律事務所の保険契約をますます厳格に精査しています：

侵害前のセキュリティ評価の要求
多要素認証の義務化
インシデント対応計画の要件
「合理的なセキュリティを維持しなかった」場合の免責

補償の問題： 法律事務所が侵害された場合、どの保険が支払うのか？

法律事務所の専門職賠償責任保険？
法律事務所のサイバー保険？
クライアントのサイバー保険？
契約上の補償条項？

フリード・フランク事件は、これら補償境界を試すことになる可能性が高いでしょう。

レジリエントなプロフェッショナルサービス・セキュリティの構築

プロフェッショナルサービス企業を利用する組織向け

1. ベンダー・セキュリティのデューデリジェンス

質問票を超え、実質的な評価へ：

SOC 2 Type II監査要件
ペネトレーションテスト結果
インシデント対応計画の文書
サイバー保険の証跡と補償限度額
セキュリティ意識向上トレーニングプログラム
多要素認証の実装確認

2. 契約上の保護

具体的なセキュリティ要件を盛り込む：

暗号化基準（保存時・転送時）
アクセス制御要件
インシデント通知期限（24〜48時間）
補償条項
セキュリティ統制の監査権
契約終了時のデータ削除要件

3. データ最小化

必要な情報のみ共有する：

サンプルで足りる場合に全データベースを送らない
不要な個人情報をマスキング（州ごとに機微とされるデータ種別を理解するには、当社のPII機微データ・コンプライアンス・ナビゲーターをご利用ください）
メールではなく安全なファイル転送システムを使用
データ保持ポリシーを実装

4. 継続的モニタリング

ベンダーリスクを年1回の「チェックボックス」作業にしない：

侵害通知サービスに加入
ダークウェブでベンダー言及を監視
四半期ごとのセキュリティ更新を要求
定期的なセキュリティレビューを実施
エコシステム内のベンダー・セキュリティ事故を追跡
オフボーディングとアクセス剥奪が重要である理由を示す内部脅威のケーススタディから学ぶ

法律事務所およびプロフェッショナルサービス提供者向け

1. 競争優位としてのセキュリティ

市場は変化しています—顧客の37%が強固なセキュリティにプレミアムを支払う：

SOC 2認証を取得し公表
ISO 27001フレームワークを実装
RFP回答でセキュリティ投資を提示
実施中の対策を示す顧客向けセキュリティポータルを作成

2. 多層防御

セキュリティ統制を重ねる：

メールセキュリティ（高度なアンチフィッシング）
エンドポイント検知・対応（EDR）
ネットワーク分離（クライアントデータの隔離）
ゼロトラスト・アーキテクチャ
特権アクセス管理
データ損失防止（DLP）

3. インシデント対応の備え

IR計画のない34%の事務所は過失と言えます：

インシデント対応手順を策定しテスト
対応チームを特定（内部＋外部顧問）
フォレンジック企業を事前契約
コミュニケーション手順を確立
顧客通知テンプレートを作成
四半期ごとに机上演習を実施

4. セキュリティ意識文化

人的ミスが原因の88%の侵害は、技術だけでは防げません：

月次のフィッシング模擬訓練
役割別セキュリティ研修
経営層向けサイバーセキュリティ・ブリーフィング
セキュリティ・チャンピオン制度
インシデント報告のインセンティブ（罰ではない）

5. 実効性のあるサイバー保険

加入するだけでなく、理解する：

補償限度額とサブリミットを把握
免責条項（特に「合理的なセキュリティを維持しなかった」）を理解
侵害対応サービスが含まれるか確認
保険会社と通知手順をテスト
業務の変化に合わせて年次で補償を見直す

より広い含意：相互接続時代の第三者リスク

システミックリスク問題

プロフェッショナルサービス企業は、システミックなリスク集中を生みます：

少数のエリート法律事務所がフォーチュン500の大半にサービス提供
「ビッグ4」会計事務所が上場企業監査を支配
大手コンサル企業が業界横断で広範なアクセスを保有

これらの企業のいずれかが重大な侵害を受ければ、連鎖的影響がセクター全体に及ぶ可能性があります。金融規制当局は、こうした「相互接続が強すぎて失敗できない」シナリオに注目し始めています。

国家主体の脅威

英国のNational Cyber Security Centre（NCSC）によれば、重要国家インフラを狙う国家支援型攻撃は、全攻撃の20%から40%へ増加しました。政府請負業者、防衛企業、重要インフラ運用者にサービス提供するプロフェッショナルサービス企業は、諜報の主要標的です。

Check Pointの侵害（2024年）は、脅威を文書化するサイバーセキュリティベンダーでさえ被害者になり得ることを示しました。この教訓を、機密情報、営業秘密、機微な政府業務を扱う法律事務所に当てはめれば、政策立案者が懸念すべきであることは明らかです。

生成AIがもたらす複雑化

プロフェッショナルサービス企業がワークフローにAIツールを急速に統合する中で：

セキュリティ専門家の82%がAIを悪用した攻撃を懸念
企業従業員は平均して週199回、ChatGPTに機密データを入力
多くのSaaS提供者が、顧客への通知なしにLLMを統合
AIの幻覚が機密情報を露出させ得る
プロンプトインジェクションやデータポイズニングが新たなベクトルを生む

AI導入とプロフェッショナルサービスの交差は、前例のないリスクを生み出しています。

フリード・フランク侵害からの教訓

経営層向け

1. 第三者リスクは企業リスクである ゴールドマン・サックスの取締役会は、法律事務所ベンダー管理について問われる可能性が高いでしょう。第三者侵害は、社内侵害と同様に、企業の評判と顧客信頼に直接影響します。

2. ベンダー・セキュリティ評価は任意ではない 重要ベンダー（法律事務所を含む）に対する定期的かつ実質的なセキュリティ評価は、標準実務にならなければなりません。プロフェッショナルサービス企業が十分なセキュリティを維持していると仮定する時代は終わりました。

3. 侵害対応のスピードが重要 ゴールドマンが投資家へ迅速に通知した（数日以内）ことは、適切な緊急性を示しています。通知の遅れは、評判被害と法的露出を増幅させます。

セキュリティ担当者向け

1. ベンダーリスク・プログラムはプロフェッショナルサービスにも拡張すべき TPRMがITベンダー中心で、法律事務所、コンサルタント、会計士を見落としているなら、重大なギャップがあります。

2. フォースパーティ・リスクへの注意が必要 重要な関係において、ベンダーのベンダーを理解することはもはや任意ではありません。法律事務所の文書管理システム、クラウド提供者、コラボレーションツールはいずれも潜在的な露出点です。

3. 継続的モニタリングは時点評価に勝る 年1回のベンダー・セキュリティ質問票では不十分です。ベンダーのセキュリティ態勢、侵害通知、ダークウェブ言及のリアルタイム監視が標準であるべきです。

法務・コンプライアンスチーム向け

1. 倫理義務がビジネス現実と交差する ルール1.6に基づく依頼者秘密保持義務には、いまやサイバーセキュリティ対策が明示的に含まれます。合理的なセキュリティを実装しない事務所は、過誤責任と倫理違反の双方に直面します。

2. 契約上の保護は進化が必要 標準的な委任契約書には、具体的なセキュリティ要件、侵害通知期限、補償条項を含めるべきです。一般的な秘密保持条項だけでは不十分です。

3. 保険補償は見直しが必要 専門職賠償責任、サイバー保険、クライアント補償の交差は複雑な補償問題を生みます。事故が起きる前に整理すべきです。

今後の道筋：相互接続時代に信頼を築く

ゴールドマン・サックス—フリード・フランク侵害は、単なるデータセキュリティ事故以上の意味を持ちます。現代ビジネスを支える根本的な信頼関係に対する警鐘です。

法律事務所を雇うとき、あなたは法的専門性を買うだけではありません。最も機微な情報を託し、暗黙のうちに、そのサイバーセキュリティ基盤、ベンダーのセキュリティ、従業員のセキュリティ意識を信頼しています。会計士、コンサルタント、機密データを扱うあらゆるプロフェッショナルサービス提供者にも同じことが当てはまります。

信頼の方程式は変わりつつある

クライアントは次のように問い始めています：

「どのセキュリティ認証を保有していますか？」
「最後のペネトレーションテストはいつですか？」
「サイバー保険に加入していますか。限度額はいくらですか？」
「インシデント対応計画はありますか？」
「貴社ベンダーの侵害から当社データをどう守りますか？」

これらの問いに実質的に答えられないプロフェッショナルサービス企業は、答えられる競合に仕事を奪われていくでしょう。

規制上の精算が近づく

規制当局はプロフェッショナルサービスのセキュリティに注目しています：

監査法人のサイバーセキュリティに対する監視強化（PCAOB）
法律事務所のデータ保護への注目（州弁護士会）
第三者リスク管理基準に関する協議（金融規制当局）
プロフェッショナルサービス向けの強制的セキュリティ基準の可能性

法務・会計専門職のサイバーセキュリティを特徴づけてきた、自主的・自己規律的アプローチは終わりつつあるのかもしれません。

市場による解決

最終的には、規制よりも市場の力が変化を速める可能性があります：

RFPでセキュリティ認証を求めるクライアント
特定統制を要求するサイバー保険会社
侵害和解が生む金銭的帰結
セキュリティ態勢による競争差別化

今日セキュリティに投資する法律事務所とプロフェッショナルサービス提供者は、明日の競争優位を得るでしょう。

結論：あなたの法律事務所は、そうでないと証明するまで「負債」である

ゴールドマン・サックス—フリード・フランク・ハリス・シュライバー＆ジェイコブソンの侵害は、不都合な真実を明確にしました。相互接続されたデジタル経済において、組織のセキュリティは、最も安全性の低い重要ベンダーの強度に依存し、プロフェッショナルサービス企業が高リスクの弱点として浮上しているのです。

中核となる教訓：

プロフェッショナルサービス企業は格好の標的—複数の高価値クライアントから機微データを集約するため
従来のセキュリティ前提は通用しない—名声、評判、職業的地位はサイバー成熟度と相関しない
第三者侵害は第一者の結果を生む—クライアントは通知義務、評判被害、規制当局の監視の可能性に直面
法的・倫理的枠組みは進化している—正式規制と市場期待の双方が、より強いセキュリティを要求
能動的なベンダーリスク管理が不可欠—組織はプロフェッショナルサービス・ベンダーのセキュリティを実質的に評価し、継続監視しなければならない

法律事務所、会計事務所、コンサルタントと協働する組織へ：透明性を求め、実質的なセキュリティ統制を要求し、契約上の保護を構築してください。ベンダーのセキュリティ事故は、あなたのデータ侵害通知になります。

プロフェッショナルサービス企業へ：サイバーセキュリティが中核的な職業能力であり、競争上の差別化要因になったことを認識してください。クライアントは見ています。規制当局は注視しています。市場は動いています。今日の投資が、明日の壊滅的侵害を防ぎます。

もはや問うべきは「当社の法律事務所は侵害され得るか？」ではなく、「当社の法律事務所が侵害されたとき、十分早く気づけるか、そして被害を管理するための保護策を整えているか？」です。

フリード・フランク・ハリス・シュライバー＆ジェイコブソンと取引がある場合：

侵害に関する通知書の到着を監視する
委任契約の侵害通知要件を確認する
状況更新のため事務所に直接連絡する
クレジット・モニタリングとなりすまし保護を検討する
露出した情報に関連する不審な活動を記録する

いずれかのプロフェッショナルサービス企業と取引がある場合：

重要ベンダーの即時セキュリティ評価を実施する
契約上のセキュリティ要件を見直し、強化する
継続的なベンダーリスク監視を実装する
第三者侵害対応手順を策定する
ベンダー侵害シナリオに対するサイバー保険補償を評価する

あなたがプロフェッショナルサービス企業である場合：

包括的なセキュリティ評価を実施する
インシデント対応計画を策定または更新する
全システムに多要素認証を実装する
定期的なセキュリティ意識向上トレーニングを確立する
SOC 2 Type II認証を検討する
サイバー保険の補償と免責を見直す

追加リソース

プロフェッショナルサービスのセキュリティ：

ABA Cybersecurity Legal Task Force: https://www.americanbar.org/groups/cybersecurity/
AICPA SOC 2 Reporting: https://www.aicpa.org/soc2
NIST Cybersecurity Framework: https://www.nist.gov/cyberframework

ベンダーリスク管理：

Shared Assessments SIG Questionnaire: https://sharedassessments.org/
ISO 27001 Information Security Management: https://www.iso.org/isoiec-27001-information-security.html

インシデント対応：

CISA Incident Response Resources: https://www.cisa.gov/incident-response
SANS Incident Handler’s Handbook: https://www.sans.org/

侵害通知要件：

州別ガイド: https://notification.breached.company/
機微データ分類ツール: https://breached.company/game-changer-for-breach-response-new-tool-instantly-maps-sensitive-data-across-all-19-u-s-state-privacy-laws/
州別侵害報告の理解: https://breached.company/complex-web-of-data-breach-reporting-each-us-state/

この進展中のストーリーの更新と、他の主要侵害の分析については、breached.companyをご覧ください

本分析について

本記事は、速報報道、業界調査、法的提出書類、サイバーセキュリティ動向データを統合し、ゴールドマン・サックス—フリード・フランク侵害および、より広範なプロフェッショナルサービスのサプライチェーンリスク危機について包括的な文脈を提供します。情報は2024年12月27日時点のものであり、追加情報の判明に伴い更新される場合があります。

訂正または情報提供： https://cisomarketplace.com のCISO Marketplaceからご連絡ください

Breached.Companyの関連報道：

翻訳元: https://breached.company/when-your-law-firm-becomes-your-liability-the-goldman-sachs-fried-frank-breach-and-the-hidden-danger-of-professional-services-supply-chains/