テレワークを始める人に贈るZoomの使い方(7) セキュリティー対策編
Zoomの使い方を一通りマスターされた後、安全に使うための対策を説明します。
(前記事は「テレワークを始める人に贈るZoomの使い方(6)」です)
それぞれの説明ごとに【ステップA-1】の形式で項番を付けています。Zoomに詳しい人からこの記事を案内され、うまく行かない・意味が分からないとき、このステップ項番を伝えて相談すると解決が早くなると思います。
U. Zoomアプリの最新化
独立行政法人 情報処理推進機構(IPA)より、パソコンのZoomアプリを最新化するよう、2020年4月3日(金)に発表されています。(Zoom利用を控えるべき情報は出ていません)
参考:Zoom の脆弱性対策について(IPA)
なお、IPAからは、Zoomアプリのダウンロードについても、注意が発表されています(2020年4月28日)。Zoomに偽装された危険なアプリが出回っています。ダウンロードは、開発元のZoomビデオコミュニケーションズ社(以下、Zoom社と称します)から行うようにしましょう。
参考:ソフトウェアのダウンロードは信頼できるサイトから!
~そのソフトは、あなたが使いたいソフトですか?~(IPA)
Web会議サービス全般の利用注意も、IPAから発表されましたので、チェックしておきましょう(2020年7月14日)。
参考:Web会議サービスを使用する際のセキュリティ上の注意事項(IPA)
【ステップU-1】
Zoom社では、日々、緊急の修正対応に取り組んでいますので、以下の方法でZoomアプリが最新かどうか、確認しましょう。
ログインできているZoomアプリの画面から、右上のアイコン(イニシャルか顔写真)をクリックします。
開いたメニューから「アップデートを確認」をクリックします。
すでに最新版のときは「最新の状態を保っています」と表示されます。
最新版ではないときは「更新可能」が表示されます。
青い「更新」ボタンをクリックし、更新しましょう。
【ステップU-2】
スマホやタブレットは、iPhone/iPadはApp Store、AndroidはPlayストアで、最新版かどうか確認しましょう。
V. 招待情報は秘密にする
【ステップV-1】
招待情報のミーティングID・パスワード・URLは、参加者のみ知る情報としてください。SNSなど無関係の人にも見られる場所には載せないようにしましょう。悪意を持った人が招待情報を知ってしまうと、ミーティングを邪魔されたり、パソコンなどに危害を受ける恐れがあります。
Hanako Urawaさんがあなたを予約されたZoomミーティングに招待しています。
トピック: さいたま関係者の Zoom ミーティング
時間: 202X年X月X日 02:00 PM 大阪、札幌、東京
Zoomミーティングに参加する
https://zoom.us/j/38317929999?pwd=eW9rSnd4UUpBSWxRdWZlcVZuSGV6XXXX
ミーティングID: 383 1792 9999
パスワード: XXXXXX
参加者側で採るべき対策は以上です。(2020年6月1日現在)
W. 主催者(ホスト)側で採るべき対策
【ステップW-1】
パスワード、待機室、ミーティング中のロックを使うことで、安全性を高めることができます。それぞれの設定方法は「テレワークを始める人に贈るZoomの使い方(6)」をご覧ください。
用途に応じ、この安全対策表②~⑤の中から選択をおすすめします。(2020年5月10日現在)
参加者が多い場合は、待機室を使うとホストの対応が大変になります。
途中参加を許したい場合は、ミーティング中のロックを外す必要があります。
なお、2020年5月9日より、無料の基本プラン(Basic)には、安全策として下記の制限がかけられています。
・すべての会議でパスワードが必要。(安全対策表⑤⑥⑦は使えません)
・PMI(パーソナルミーティングID)を使う場合、待機室のオンが初期設定。
・画面共有はホストのみ(参加者側は禁止)が初期設定。
参考:Zoom Admins Can Now Disable PMIs; Additional Security Updates for Basic Accounts Coming May 9(Zoom公式、英文)
参考:Zoom、全会議でパスワード必須化などセキュリティ強化(PC Watch)
2020年5月22日より、下記の制限が加わりました。
・有料プランにおいても、画面共有はホストのみ(参加者側は禁止)が初期設定。
・ホストが参加者のマイクミュートを設定した場合、参加者からのミュート解除にはホストの同意が必要。
参考:Zoom Product Updates: Restricted Screen Sharing by Default, Consent for Unmuting & Audio Alert for the Waiting Room(Zoom公式、英文)
参考:Zoom、ビデオ会議中の強制ミュート解除は必ずユーザー同意が必要に(PC Watch)
※参考情報A
イベントアクセラレーター&ITエンジニアの西舘聖哉さんが役立つ記事をnoteに書かれていますので、ご覧ください。
・【Zoom】オンラインイベント開催時の設定(主にセキュリティ周り)
・【Zoom】セキュリティについてとこれから気をつけたいこと(2020.04.28時点)
一般社団法人ITC-Pro東京さんの主催で4月10日(土)に開催したセミナーが、YouTubeに公開されています。長い動画ですが、Zoom設定の要点は最初の10分間に集約されていますので、その部分だけでもご覧いただければお役に立ちます。
上記の西舘聖哉さんが講師、当マニュアルを書いた私(上ヶ平裕彦)が技術サポートを担当しています。
・テレワーク時代に備えて ~Zoom脆弱性に対する対応・注意ポイント~(ITC-Pro東京、ITC元気ですチャンネル)
※参考情報B
Zoomの秘匿性は、どこまで信頼を置けるのでしょうか?
会話の音声、参加者の顔や周囲の風景、画面共有した資料、チャットメッセージなど、多くの情報がやり取りされます。それらが外部に漏れないかどうかは、暗号化できた範囲が秘匿性を握っています。
通信経路の暗号化について、三つのレベルを示します。
①E2E暗号化は、最も秘匿性が高い方式です。ミーティングサービスを提供する会社にも、通信内容が一切分からない形です。
②全経路の暗号化は、①に次いで秘匿性が高い方式です。ミーティングサービスを提供する会社で、いったん暗号は解かれるものの、クラウド内部の通信や保存データは暗号化された内容です。
③入口/出口のみの暗号化は、②より劣り、最低限の秘匿性を得る方式です。インターネットで交わされる通信内容は暗号化されますが、ミーティングサービスを提供する会社の中では暗号化されません(暗号化しない状態を平文と称します)。
Zoom社からは、2020年春まで、①E2E暗号化が施されていると発表されていたのですが、実態は③に近い内容であることが指摘され、Zoom社自身も認めた状況です。
参考:Move Fast and Roll Your Own Crypto / A Quick Look at the Confidentiality of Zoom Meetings (トロント大学Citizen Lab、英文)
(AES 128ビット暗号・ECBモードの懸念、待機室の脆弱性なども指摘)
参考:Security at Zoom (Zoom公式、英文)
参考:「Zoom」の「Web会議をエンドツーエンドで暗号化している」表記は誤解を招くと専門家 (ITmedia)
他サービスでは、CISCO Webex(シスコ ウェベックス)は、①E2E暗号化ができると発表されています。
参考:エンドツーエンドの暗号化は何をしますか? (CISCO)
Microsoft Teams(マイクロソフト チームズ)では、クラウド内部の通信やデータ保存まで暗号化と発表されています。②全経路の暗号化に相当するものと考えて良いでしょう。
参考:Microsoft Teams のセキュリティとコンプライアンス (マイクロソフト)
参考:IT プロフェッショナル向け: Microsoft Teams のプライバシーとセキュリティ
Zoom社からは③から②に近付ける、あるいは①とすべく改修が実施されていますが、大きな設備投資を要すると思われ、徹底できるまで半年~1年ほど要するかも知れません。
Zoom社CEOのERIC S. YUAN氏は2020年4月1日、「今後90日間、私たちは、問題をよりよく特定し、対処し、積極的に問題を解決するために必要なリソースを投入することを約束します」と発表されています。また、5月7日には、暗号技術を専門とするスタートアップ企業のKeybase社買収を発表しました。5月29日の発表では、有料ユーザーと教育機関などの組織のみがE2E暗号化を利用できる予定とされましたが、6月17日の発表では無料ユーザーもE2E暗号化を利用できると修正されました。
2020年10月14日、E2E暗号化のテクニカルプレビューが翌週から利用可能との発表があり、機能制限はあるものの、実際に利用ができるようになりました。2020年12月末現在、正式リリースの発表には至っていないようです。
最新状況はZoom公式ブログ(英語版)で読むことができます。(日本語版は掲載まで日数を要しているようです)
参考:Zoom利用者へのメッセージ (翻訳版)
参考:Zoom公式ブログ (英語版)
ちなみに、一般的な電子メールは、③または、それよりも緩い秘匿性です。第三者が読めてしまう意味では、郵便ハガキのようなものと考えて良いでしょう。
当分の間、Zoomは電子メールを暗号化しなくても許されるような範囲で、利用を推奨します。企業機密情報・個人情報など、絶対外に漏らしてはならない情報をやりとりする場合は、Zoomとは別の手段(暗号化した文書で渡す、安全なファイル共有サービスを利用する、WebexやTeamsを利用するなど)としましょう。