NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(後編)使っても大丈夫か?
2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

著者 北河 拓士

「Zoom」のセキュリティに対する取り組み

 「Zoom」は4月1日に後90日間は新機能の開発を凍結してセキュリティやプライバシーの問題解決に集中すると発表を行い、7月1日に90日間の取り組みを総括するCEOレポートを公表しました。

 その主な取り組みをまとめてみます。

1.エンジニアリングリソースを信頼性、安全性、プライバシーの問題に集中
プライバシーやセキュリティに関係しない機能の追加を90日間凍結し、エンジニアリングと製品のすべてのリソースを投入して、プライバシーやセキュリティに関する100以上の機能をリリースした。

2.第三者の専門家や代表的なユーザーとの包括的なレビューの実施
第三者機関の専門家グループと協力して、製品、業務、ポリシーのレビューと強化を行った。

3.透明性レポートを作成
データ、記録、コンテンツのリクエストに関連する情報を詳細に記載した透明性レポートを今年後半に公表する予定。また、政府からのリクエストにどのように対応するかのガイドラインを作成した他、個人情報保護方針を更新し、カリフォルニア州の個人情報保護権に関する声明を追加。

4.バグバウンティプログラム(脆弱性の報告者に対し報奨金を支払う制度)の強化
バグリポジトリシステムおよび関連するワークフローのプロセスを開発し、HackerOne、Bugcrowd(HackerOne、Bugcrowdはバグバウンティプログラムの代表的なプラットフォーム)、security@zoom.us(メールでの受付) からの脆弱性レポートをトリアージ(深刻度などに従って優先順位をつけること)。セキュリティ研究者や第三者の評価者との連携を改善し、脆弱性とバグバウンティの責任者を雇用。数名のアプリケーション・セキュリティ・エンジニアと更にセキュリティ・エンジニアを雇用し、脆弱性への対応に専念させる。

5.業界をリードするCISOと連携してCISO評議会を立ち上げる
SentinelOne、アリゾナ州立大学、HSBC、Sanofiを含む様々な業界の36名のCISO(Chief Information Security Officer)で構成されるCISO評議会を立ち上げる。同評議会は、過去3ヶ月間に4回開催され、地域のデータセンターの選択、暗号化、ミーティングの認証、ならびにユーザーへのレポート、パスワード、待機室などの機能などの重要事項について助言を受けた。

6.ホワイトボックス侵入テストの実施
複数の企業(Trail of Bits、NCC Group、 Bishop Fox)と協力してプラットフォーム全体のホワイトボックス侵入テスト(対象のシステム構成などを把握した上での侵入テスト)を実施。セキュリティの基盤として、継続的な第三者侵入テストに取り組む。

7.毎週水曜日にウェビナーを開催し、プライバシーとセキュリティの最新情報をコミュニティに提供
4月1日以降、毎週水曜日に合計13回のウェビナー(Webセミナー)を開催。これらのイベントでは、CEOや役員、コンサルタントが参加者からライブで質問を受けた。7月以降は月1回のペースで開催する予定。

 特に毎週水曜日に行われていたウェビナー「Ask Eric Anything」では、CEOのEric Yuan氏が役員とともに毎回出席して、この1週間で行ったセキュリティとプライバシーの改善について報告を行い、その後、参加者からのライブでの数十件の質問に回答するというものでした。(報告が10分程度、Q&Aが50分程度)

 「Zoom」のような規模の会社(従業員数約2,800名)で、企業のトップ自らがウェビナーでの報告とQ&Aを週1回の頻度で3ヶ月も続けるというのは、あまり前例のないことで、「Zoom」がセキュリティとプライバシーへの取り組みを最重要視する方針に転換した姿勢がうかがえるものでした。

 また、元Salesforceのセキュリティ担当シニアバイスプレジデントのJason Lee氏をCISO(Chief Information Security Officer)として迎え入れたほか、元FacebookでCSO(Chief Security Officer)を務めたAlex Stamos氏、Microsoftや米国防総省のバグバウンティプログラムの立ち上げを行ったKatie Moussouris氏、元Googleでプライバシー技術のグローバル責任者を務めたLea Kissner氏、ジョンズ・ホプキンス大学准教授で暗号とセキュリティの専門家Matthew Green氏などをアドバイザーとして招聘するなど、セキュリティ業界の著名な人材を、経営陣や従業員、及びアドバイザーとして採用しており、このような積極的な人材雇用もセキュリティを改善する取り組みの一環として評価できるものです。

SHARE

関連記事

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

2020.11.18

ニューノーマル時代のネットワーク技術革新第3回

With/Afterコロナのネットワークを支える「エッジコンピューティング」とは

プロが解説、Web会議で成果を出すためのファシリテーション術とは?

2020.11.11

働き方改革&生産性向上のカギはどこにある?第29回

プロが解説、Web会議で成果を出すためのファシリテーション術とは?

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

ニューノーマル時代に必要なサイバーセキュリティとは?

2020.11.06

ニューノーマル時代にビジネスはどう変わるのか第11回

ニューノーマル時代に必要なサイバーセキュリティとは?

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

2020.10.02

「教育」をデジタルで変える第1回

“集まれない”入学式をライブ配信、公立中学校の挑戦に迫る

コロナ禍で不可逆的に変化するマーケティングイベント

2020.10.01

IT&ビジネス最新ニュース第60回

コロナ禍で不可逆的に変化するマーケティングイベント