NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(後編)使っても大丈夫か?
2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

著者 北河 拓士

「Zoom」のセキュリティに対する取り組み

 「Zoom」は4月1日に後90日間は新機能の開発を凍結してセキュリティやプライバシーの問題解決に集中すると発表を行い、7月1日に90日間の取り組みを総括するCEOレポートを公表しました。

 その主な取り組みをまとめてみます。

1.エンジニアリングリソースを信頼性、安全性、プライバシーの問題に集中
プライバシーやセキュリティに関係しない機能の追加を90日間凍結し、エンジニアリングと製品のすべてのリソースを投入して、プライバシーやセキュリティに関する100以上の機能をリリースした。

2.第三者の専門家や代表的なユーザーとの包括的なレビューの実施
第三者機関の専門家グループと協力して、製品、業務、ポリシーのレビューと強化を行った。

3.透明性レポートを作成
データ、記録、コンテンツのリクエストに関連する情報を詳細に記載した透明性レポートを今年後半に公表する予定。また、政府からのリクエストにどのように対応するかのガイドラインを作成した他、個人情報保護方針を更新し、カリフォルニア州の個人情報保護権に関する声明を追加。

4.バグバウンティプログラム(脆弱性の報告者に対し報奨金を支払う制度)の強化
バグリポジトリシステムおよび関連するワークフローのプロセスを開発し、HackerOne、Bugcrowd(HackerOne、Bugcrowdはバグバウンティプログラムの代表的なプラットフォーム)、security@zoom.us(メールでの受付) からの脆弱性レポートをトリアージ(深刻度などに従って優先順位をつけること)。セキュリティ研究者や第三者の評価者との連携を改善し、脆弱性とバグバウンティの責任者を雇用。数名のアプリケーション・セキュリティ・エンジニアと更にセキュリティ・エンジニアを雇用し、脆弱性への対応に専念させる。

5.業界をリードするCISOと連携してCISO評議会を立ち上げる
SentinelOne、アリゾナ州立大学、HSBC、Sanofiを含む様々な業界の36名のCISO(Chief Information Security Officer)で構成されるCISO評議会を立ち上げる。同評議会は、過去3ヶ月間に4回開催され、地域のデータセンターの選択、暗号化、ミーティングの認証、ならびにユーザーへのレポート、パスワード、待機室などの機能などの重要事項について助言を受けた。

6.ホワイトボックス侵入テストの実施
複数の企業(Trail of Bits、NCC Group、 Bishop Fox)と協力してプラットフォーム全体のホワイトボックス侵入テスト(対象のシステム構成などを把握した上での侵入テスト)を実施。セキュリティの基盤として、継続的な第三者侵入テストに取り組む。

7.毎週水曜日にウェビナーを開催し、プライバシーとセキュリティの最新情報をコミュニティに提供
4月1日以降、毎週水曜日に合計13回のウェビナー(Webセミナー)を開催。これらのイベントでは、CEOや役員、コンサルタントが参加者からライブで質問を受けた。7月以降は月1回のペースで開催する予定。

 特に毎週水曜日に行われていたウェビナー「Ask Eric Anything」では、CEOのEric Yuan氏が役員とともに毎回出席して、この1週間で行ったセキュリティとプライバシーの改善について報告を行い、その後、参加者からのライブでの数十件の質問に回答するというものでした。(報告が10分程度、Q&Aが50分程度)

 「Zoom」のような規模の会社(従業員数約2,800名)で、企業のトップ自らがウェビナーでの報告とQ&Aを週1回の頻度で3ヶ月も続けるというのは、あまり前例のないことで、「Zoom」がセキュリティとプライバシーへの取り組みを最重要視する方針に転換した姿勢がうかがえるものでした。

 また、元Salesforceのセキュリティ担当シニアバイスプレジデントのJason Lee氏をCISO(Chief Information Security Officer)として迎え入れたほか、元FacebookでCSO(Chief Security Officer)を務めたAlex Stamos氏、Microsoftや米国防総省のバグバウンティプログラムの立ち上げを行ったKatie Moussouris氏、元Googleでプライバシー技術のグローバル責任者を務めたLea Kissner氏、ジョンズ・ホプキンス大学准教授で暗号とセキュリティの専門家Matthew Green氏などをアドバイザーとして招聘するなど、セキュリティ業界の著名な人材を、経営陣や従業員、及びアドバイザーとして採用しており、このような積極的な人材雇用もセキュリティを改善する取り組みの一環として評価できるものです。

SHARE

関連記事

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

2021.02.24

ニューノーマル時代のコミュニケーション変革第3回

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

2021.01.25

IT&ビジネス最新ニュース第101回

取引先のテレワークのセキュリティに不安が5割超–IPAが調査

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

2021.01.20

ニューノーマル時代にビジネスはどう変わるか第1回

パラダイムシフトに直面する製薬業界、 ニューノーマル時代に求められるMR像とは

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

2021.01.20

セキュリティ対策に求められる新たな視点第21回

SOMPOひまわり生命は“無害化”で安全にWeb閲覧できるセキュリティを実現

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

トランスコスモスが導入した“リモートワーク用の雑談ツール”とは?

2021.01.08

ニューノーマル時代のコミュニケーション変革第2回

トランスコスモスが導入した“リモートワーク用の雑談ツール”とは?

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

2020.12.24

IT&ビジネス最新ニュース第94回

未来志向のセキュリティ、ゼロトラストも包含する「CARTA」

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」

2020.12.23

DXを加速させるITシステムの運用改革第33回

ゼロトラスト時代の「本当に有効なSASEの導入方法とは」