スタッフブログ
2020.05.13
<Web会議システムの代名詞となったZOOMのセキュリティ考察>
ZOOMはいい?
今や飛ぶ鳥を落とす勢いのZOOMですが、若干セキュリティ問題が浮上して、逆風となっています。
その考察を行ってみました。
果たして、「私たち」が使っても大丈夫なのでしょうか?
ちなみに、下記の指摘のほとんどは既に対応済みで、ZOOMのこのようなユーザーに対する真摯な態度と迅速な対応は、同社の評価を上げております。(^^♪
1.ZOOM爆弾
「招待者以外のものが乱入し、暴言を吐く」
これは、会議室の場所(URL)か、ミーティングIDがわかればだれでも入れる仕様だから
<対策>ミーティングにパスワードがかけられます。
部外者が適当なミーティングID番号を入れて、ログインしてくることができないようにしましょう。
ただし、会議の場所をURLで参加者に送ったものをクリックして入る場合は、PWが不要となります。
学校の授業で、部外者が紛れ込んで妨害した・・・
だから危険!とは、ならないわけで「我々が」使う場合、メンバーを見て把握できる人数(数名~10数名)ならば簡単に防ぐことができます。
2.ZOOMの仕様に関する件
今年3月、ZoomのiOS版アプリが利用者の承諾を得ずにユーザーデータをFacebookに送信していることが発覚しましたが、ユーザーの指摘を受けて現在はそのような仕様にはなっていません。解決済みです。
3.通信データの暗号化に関する問題の指摘
3月31日、通信データの「エンドツーエンドの暗号化」が実際には、Zoomの管理サーバ上では理論上データの暗号化を解いて、中身を参照できる状態になっていました。
このこと自体は必ずしもセキュリティ対策上の“不備”とはいえないですが、実際と異なる虚偽のマーケティングメッセージを発信していたとして各方面から批判を受け、謝罪しています。
4.Windows版アプリでセキュリティ上の脆弱性が発覚
4月1日、チャット機能に不正なURLを埋め込むことで、クリックしたユーザーの認証情報を窃取できたり、不正プログラムを起動できたりすることが判明。
この脆弱性についてもZoom社は即座に修正を行い、最新バージョンのアプリでは既に対処がなされています。
<結論、ZOOMは使ってもいいか?>
現時点では、Zoomをテレワークなどで使う場合、「セキュリティリスクと利便性のどちらを重要視するか」によって都度判断するべきでしょう。
つまり、「私たちには?」という視点が重要です。
他人の意見に左右されず、自分たちの使い方に照らして判断してください。(^^♪
例えば、決して外部に漏れてはいけないような情報を扱う重要な会議や打ち合わせには、やはり念には念を入れて利用を避けた方がいいでしょう。
ZOOMに限らない一般的なセキュリティの問題として、本当に怖いのは、悪意のある第三者が正式な参加者を装ってこっそり会議に忍び込み、そこで話される内容を盗み聞きするようなケースです。
「私たちの使い方」で、そのようなことが起きそうですか?(w
また、クラウド環境で会議システムが運用するサーバ上で、情報が窃取される可能性もゼロとはいえません。
このあたりのリスクの評価は、他のクラウドアプリケーションと同様、「この情報はクラウドに預けても大丈夫かどうか」という観点から、社内のセキュリティポリシーと照らし合わせて判断するといいでしょう。
4月21日現在の、公的機関やセキュリティベンダーから提示されている、Zoomの利用に当たっての注意点は、以下のようになっています。
1)必ず最新版のZoomアプリを利用する。
2)会議のIDやURLは参加者以外の目に触れないよう厳重に管理する(SNSなどへの投稿は絶対にNG)。
3)会議には必ずパスワードを設定する。
4)待機室の機能を使い、会議の主催者が承認したユーザーのみが参加できるようにする。
5)承認したユーザーのみで会議を始めたら、途中で不正ユーザーが参加しないよう必ず会議をロックする。
6)画面共有機能をホストのみが利用できるよう設定する。
7)会議中に機密情報について話したり画面共有することは避ける。
8)ファイル転送機能を無効にする。
正しく理解し、正しく怖がりましょう。(^^♪
