Zoomは安全？企業が導入するときの注意点

Q: Zoomの有効な活用方法

Zoomのセキュリティーについては多くの指摘を受けるなか徐々に改善されています。ですが、すべての問題が解消されたわけではありません。より安全性の高い環境で有効活用するには、ルールづくり、パスワード設定、最新バージョンへのアップデートが大切です。

更新日：2023.03.01スタッフブログ

最近は、新型コロナウイルスの影響により、ビデオ会議に使えるZoomの導入が進んでいます。ただ、Zoomの使用者が増える一方、アプリの安全性について問題視する声もよく聞かれるようになりました。実際に会議を開いた場合、部外者の乱入や情報流出は放置できない問題でしょう。これらのトラブルを防ぐには、さまざまなセキュリティ対策が必要です。そこで今回はZoomの安全性や導入時の注意点をふまえつつ、有効な活用方法などをご紹介します。

1 Zoomはどれくらい安全か？
2 Zoom導入時の注意点
3 Zoomの有効な活用方法

Zoomはどれくらい安全か？

Zoomの安全性について、とくに指摘された問題点は暗号の設定状況、会議への乱入、情報流出をめぐるトラブルです。

暗号の設定状況

当初、Zoomを使ったビデオ通信は「エンドツーエンドの暗号化により保護されている」といわれていました。エンドツーエンドの場合、本来、ビデオ通信に用いている機器以外で暗号化を複合化する手段はありません。2台のパソコンで通信しているなら、これらのみが複合化を可能にするツールです。

Zoomの暗号化は、当初の説明と異なり「エンドツーエンドではないのではないか？」と指摘されました。実際のところ、Zoomによるビデオ通信の暗号化にはZoom社保有の暗号化キーが使われていたといわれています。この場合にはビデオ会議の保存データを技術的にZoom社でも複合化できるため、同社は当初の説明との違いを謝罪する結果になりました。

会議への乱入

Zoomでのビデオ会議に乱入者が現れるケースは、Zoom爆弾の名でよく知られている問題です。通常、ビデオ会議を開く時には出席者に参加用のURLを通知します。ここでパスワードを設定するかどうかは、任意選択です。パスワードを設定しない場合、URLを入手すると誰でもビデオ会議に参加できます。

多くの方は、参加用URLを通知されなければ自分と無関係の会議に参加しようとは思わないかもしれません。ただし現状では、会議中に関係者以外の乱入者が現れて暴言を叫ぶ、あるいは社会的に不適切な行為を働く問題が起きています。Zoom爆弾のリスクはパスワード設定により減らせますが、場合によってはZoom自体の使用を禁止する動きも見られます。

情報流出の問題

Zoomは、古いバージョンでチャット機能のUNC（Universal Naming Convention）パス処理に関する脆弱性の存在が確認されていました。UNCパス処理関連の脆弱性は、情報流出の問題を招いています。サイバー攻撃を意図した悪意あるハイパーリンクをユーザーがクリックした場合、パソコン情報の不正取得を引き起こします。

ほかには、Zoomのユーザー情報が本人の承諾なしに第三者へ提供される事態も起きていました。Zoom社は、Zoom Appが起動されるタイミングでユーザーが接続する地域、タイムゾーンや電話会社情報を社外に送信していたといわれています。これらの問題から、ビデオ会議でのZoomの使用については安全性を問題視する声が多少なりとも聞かれます。

Zoom導入時の注意点

Zoomを企業のビデオ会議に導入する時には、暗号化の問題とともに乱入者や情報流出への注意が必要です。

会議のテーマに注意

データの暗号化がエンドツーエンドでない場合、ビデオ会議に使用する端末間の情報が暗号化されていても暗号化キーをサーバーに保有するZoom社によって解読される可能性があります。これでは、ユーザーのセキュリティが十分に守られているとはいえません。

現在はZoom社のプライバシーポリシーが更新されユーザーの会議データにアクセスしないと明言されましたが、その意図とは関係なく手違いが起きる危険性は潜んでいます。万一にも暗号が解読され情報が漏れるリスクを考えると、Zoomのビデオ会議では何について話し合うか議題を慎重に選ぶことが望まれます。

乱入者への備え

ビデオ会議への乱入者に備えるには、参加用URLを通知する際に少なくともパスワードの設定が欠かせないでしょう。パスワードは、Zoomの新規会議をスケジューリングする時点で設定します。新規会議作成画面でパスワードの設定方法が表示されたら、「ミーティングパスワード必須」にチェックです。

同時に詳細オプションのなかの「待機室を有効化」もチェックすると、Zoom爆弾対策の効果を高められます。ただ、これらの予防策で備えが万全というわけではありません。参加用URLは、できるだけ第三者に知られない方法での通知が適切と考えられます。その点をふまえた場合、SNSへの投稿は避けたほうが安全です。

情報流出への対策

情報流出について、とくに指摘の目立っている問題点はチャット機能で確認された脆弱性とZoom社による第三者への情報提供の2つです。Zoomの場合、サイバー攻撃による不正アクセスやパソコン情報の盗難は古いバージョンのセキュリティ面の甘さが原因でよく起きていると見られています。

すでにアプリをインストールしたもののアップデートが済んでいなければ、早めの対処が望まれます。第三者への情報提供に対しては、一部で集団訴訟に発展しました。プライバシーポリシーに関わるため、現在はシステムコードが削除され同様の問題は起きないといわれています。ただ万一の事態を考えるなら、注意は怠らないほうがよいでしょう。

Zoomの有効な活用方法

Zoomは多くの指摘を受けるなか徐々に改善されていますが、すべての問題が解消されたわけではありません。より安全性の高い環境で有効活用するには、ルールづくり、パスワード設定、最新バージョンへのアップデートが大切です。

ルールづくり

Zoomにはいろいろと問題が見られますが、そうでなくても簡単に使えるからとビデオ会議が乱立する状況は好ましくありません。適切に利用するなら、会議開催の判断を従業員に任せず企業の指針を示すことが求められます。就業規則として定めたい項目は、ビデオ会議のテーマや新規会議作成の手順に関するルールです。

不正アクセスによる情報漏洩を防ぐうえでは、見知らぬチャットへの注意喚起も忘れてはいけません。そこに張られたリンクを不用意にクリックしないことは、すべての従業員に周知徹底したいところです。

パスワード設定

Zoom爆弾は容認できる行為ではありませんが、実際に発生するリスクをふまえれば対策は怠れません。会議に乱入されれば、話し合いが中断するだけでなく他の業務にも悪影響を及ぼすと考えられます。会議を開催する際にはスケジューリング時にパスワード設定と待機室の有効化を必ず済ませ、参加用URLの通知方法も工夫しましょう。

最新バージョンへアップデート

Zoomに限らず、最新バージョンへの常時アップデートはセキュリティ対策をするうえで重要です。Zoomの最新版には以前より安全性の高いGCM暗号化が採用され、通信が経由するデータセンター情報の保護体制も強化されています。

同時に不正ユーザー通達機能や暗号化シールドのアイコン表示機能が加わり、退席時のアクションも改良されました。さらに待機室の有効化はデフォルトになり、ミーティングIDは11桁に変更、パスワードは最少でも6文字と複雑化しています。他にもさまざまな改善が施され、アプリ利用時の安心感は増したといえるでしょう。

いまだに不正アクセスは絶えませんが、常にバージョンアップを心がければ大事な会議情報の保護につながると期待できます。企業における安全性の高いZoomの活用を考えるなら、日頃からセキュリティ対策に努めることをおすすめします。