見出し画像

[職場IT啓発]Zoomの暗号化はどこに問題があったのか

officeARK(ITリテラシー講師スタッフ|教育業30年 数学教員/情報システム管理部門長)

新しいサービスやテクノロジーが生まれると、業務が改善されることを期待して導入を検討します。
サービスのポリシーや仕組みをよく理解せずに使い始めると、思わぬところで業務が停滞したり情報漏洩などの不安が生まれることになります。
ここでは見えにくいリスクがあることを確認しておきたいと思います。

職場で何かサービスなどを導入して利用していく際に、情報システム部門としては、組織の安全性確保のため、まずは検証してから使用していくものです。担当部署の使命として親心のような気持ちがあります。

今回はコロナ禍で活用されたZoomについて、当初抱えていた暗号化の問題、リスクについて紹介したいと思います。

問題とされた点

Zoom社が当初 データの取り扱いは完全に暗号化されていると表現していましたが(「エンドツーエンド暗号化を行っている」としていました)、実際には完全な暗号化は行われていませんでした。

エンドツーエンド暗号化(E2EE / End To End Encryption)とは
通信の送信者から受信者まで、途中のどの経路でも内容が解読されないように暗号化する仕組みです。この暗号化を利用することで、データが第三者に読み取られるリスクを防ぐことができます。

Zoomの問題は、ユーザー同士でやり取りをする会議の映像・音声などのデータは送信中に暗号化されていましたが、Zoomのサーバ上ではデータが一時的に暗号が解除(復号化)され、内容が読める状態になっていました。当時のZoomは、データの分析やルーティング等の理由でこのようにしていたと思われます。

当初 通信経路は暗号化されていたものの、
サーバ内では復号して処理していたことが
アナウンスされていなかった。
完全な「エンドツーエンド暗号化(E2EE)」ではなかった。

つまり、「送信者から受信者まで誰にも読まれない暗号化通信」と期待して利用していたサービスが、Zoom側が理論上データを閲覧できる仕組みが残る状態で使用していました。
この点が、完全な「エンドツーエンドを使用した暗号化を行っていなかった」ということになり、公表されている内容と異なる状態でした。

世間話などで ここまでの話を聞くことも多いのですが、悪意があるような、または杜撰な設計だったように感じられると思います。
しかし実際のところは、コロナ禍のような利用は想定しておらず、またユーザーの過剰な増加の対応に多くの人的リソースを消費していたようで、悪意があったというより手が回らなかったようなイメージを受けます。
後に、この件についてZoom社のCEOから謝罪がありました。

Zoom社の対応の様子を以下に記載します。

2020年初頭‥コロナが発生
:Zoomの利用者が世界的に急増
2020年4月1日‥暗号化問題の修正と透明性の向上の発表
:90日間の新機能開発を停止し、セキュリティとプライバシーの強化に専念
:この期間のエンドツーエンド暗号化の仕組みは未実装
2020年10月14日に正式にエンドツーエンド暗号化を導入(無効化選択制)

実際のところ

エンドツーエンド暗号化に対応してなかったり、故意に虚偽の発表をしていたか、というとそうではありません。

ここでZoomの以下の機能について暗号化の説明をします。

  • リアルタイム文字起こし

これは、会議中の発言をリアルタイムで字幕として表示する機能ですが、音声データを暗号化してしまうと、内容を解読することができません。つまりは文字起こしをするための音声データを読み取ることができないため、機能が成り立たず暗号化していない状態で処理をする必要があります
今回テーマとしている問題は、「すべてが暗号化されている」と示しておきながら、この部分は暗号化されていなかったということになります。

参考までに、現在ではユーザーが選択できるようになっています。
厳格にセキュリティを確保する場合は、エンドツーエンド暗号化(E2EE)を有効化します。その場合は以下の機能が利用できません。
逆にこれらの機能を使用する場合は、エンドツーエンド暗号化(E2EE)を無効化することになる増す。

●エンドツーエンド暗号化(E2EE)に影響を受ける機能
クラウド レコーディング/ライブ配信/ライブ文字起こし/ブレイクアウト ルーム/投票/Zoom 連携アプリ/ミーティングでのリアクション 等

まとめ

サービスの導入時、初期の段階ではリスクや信頼性などがわからないため、慎重な検討が必要であるという話をさせていただきました。
コロナ禍では慌ただしいなか、リモート会議のスタイルを確立させる必要がありました。そのため十分な検証ができずに採用した結果、実はリスクがあった状況で使用していた、ということが後からわかりました。
Zoomの事例を書かせていただきましたが、むしろコロナ禍の大変な時期の前向きな企業の対応に好感が持てました。

これはほかの分野でもいうことができ、例えはWindowsやアプリケーションの新バージョンやアップデートが出て際に、すぐに適用すると既存の正しく動いていたものに影響が出る場合があることから、むやみに更新しないという考えもあります。また職場で使用しているシステムを刷新する際などにも十分検討が必要です。

いいなと思ったら応援しよう!