NTTコミュニケーションズ

Bizコンパス

「Zoom」のセキュリティ(後編)使っても大丈夫か?
2020.09.03

今知っておきたいITセキュリティスキルワンランクアップ講座第24回

「Zoom」のセキュリティ(後編)使っても大丈夫か?

著者 北河 拓士

「Zoom」のセキュリティに対する取り組み

 「Zoom」は4月1日に後90日間は新機能の開発を凍結してセキュリティやプライバシーの問題解決に集中すると発表を行い、7月1日に90日間の取り組みを総括するCEOレポートを公表しました。

 その主な取り組みをまとめてみます。

1.エンジニアリングリソースを信頼性、安全性、プライバシーの問題に集中
プライバシーやセキュリティに関係しない機能の追加を90日間凍結し、エンジニアリングと製品のすべてのリソースを投入して、プライバシーやセキュリティに関する100以上の機能をリリースした。

2.第三者の専門家や代表的なユーザーとの包括的なレビューの実施
第三者機関の専門家グループと協力して、製品、業務、ポリシーのレビューと強化を行った。

3.透明性レポートを作成
データ、記録、コンテンツのリクエストに関連する情報を詳細に記載した透明性レポートを今年後半に公表する予定。また、政府からのリクエストにどのように対応するかのガイドラインを作成した他、個人情報保護方針を更新し、カリフォルニア州の個人情報保護権に関する声明を追加。

4.バグバウンティプログラム(脆弱性の報告者に対し報奨金を支払う制度)の強化
バグリポジトリシステムおよび関連するワークフローのプロセスを開発し、HackerOne、Bugcrowd(HackerOne、Bugcrowdはバグバウンティプログラムの代表的なプラットフォーム)、security@zoom.us(メールでの受付) からの脆弱性レポートをトリアージ(深刻度などに従って優先順位をつけること)。セキュリティ研究者や第三者の評価者との連携を改善し、脆弱性とバグバウンティの責任者を雇用。数名のアプリケーション・セキュリティ・エンジニアと更にセキュリティ・エンジニアを雇用し、脆弱性への対応に専念させる。

5.業界をリードするCISOと連携してCISO評議会を立ち上げる
SentinelOne、アリゾナ州立大学、HSBC、Sanofiを含む様々な業界の36名のCISO(Chief Information Security Officer)で構成されるCISO評議会を立ち上げる。同評議会は、過去3ヶ月間に4回開催され、地域のデータセンターの選択、暗号化、ミーティングの認証、ならびにユーザーへのレポート、パスワード、待機室などの機能などの重要事項について助言を受けた。

6.ホワイトボックス侵入テストの実施
複数の企業(Trail of Bits、NCC Group、 Bishop Fox)と協力してプラットフォーム全体のホワイトボックス侵入テスト(対象のシステム構成などを把握した上での侵入テスト)を実施。セキュリティの基盤として、継続的な第三者侵入テストに取り組む。

7.毎週水曜日にウェビナーを開催し、プライバシーとセキュリティの最新情報をコミュニティに提供
4月1日以降、毎週水曜日に合計13回のウェビナー(Webセミナー)を開催。これらのイベントでは、CEOや役員、コンサルタントが参加者からライブで質問を受けた。7月以降は月1回のペースで開催する予定。

 特に毎週水曜日に行われていたウェビナー「Ask Eric Anything」では、CEOのEric Yuan氏が役員とともに毎回出席して、この1週間で行ったセキュリティとプライバシーの改善について報告を行い、その後、参加者からのライブでの数十件の質問に回答するというものでした。(報告が10分程度、Q&Aが50分程度)

 「Zoom」のような規模の会社(従業員数約2,800名)で、企業のトップ自らがウェビナーでの報告とQ&Aを週1回の頻度で3ヶ月も続けるというのは、あまり前例のないことで、「Zoom」がセキュリティとプライバシーへの取り組みを最重要視する方針に転換した姿勢がうかがえるものでした。

 また、元Salesforceのセキュリティ担当シニアバイスプレジデントのJason Lee氏をCISO(Chief Information Security Officer)として迎え入れたほか、元FacebookでCSO(Chief Security Officer)を務めたAlex Stamos氏、Microsoftや米国防総省のバグバウンティプログラムの立ち上げを行ったKatie Moussouris氏、元Googleでプライバシー技術のグローバル責任者を務めたLea Kissner氏、ジョンズ・ホプキンス大学准教授で暗号とセキュリティの専門家Matthew Green氏などをアドバイザーとして招聘するなど、セキュリティ業界の著名な人材を、経営陣や従業員、及びアドバイザーとして採用しており、このような積極的な人材雇用もセキュリティを改善する取り組みの一環として評価できるものです。

SHARE

関連記事

どうすればゼロトラストが実現できるのか?SASEを活用した導入術

2021.07.28

セキュリティ対策に求められる新たな視点第26回

どうすればゼロトラストが実現できるのか?SASEを活用した導入術

オンライン研修でも新卒社員は育つ!アイレップが導入したツールとは

2021.07.09

ニューノーマル時代のコミュニケーション変革第4回

オンライン研修でも新卒社員は育つ!アイレップが導入したツールとは

読者アンケートからわかった企業のセキュリティの課題とその対策とは

2021.06.30

セキュリティ対策に求められる新たな視点第25回

読者アンケートからわかった企業のセキュリティの課題とその対策とは

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

2021.06.16

セキュリティ対策に求められる新たな視点第24回

ゼロトラストを目指し境界防御から無害化に、ネオファースト生命はどう移行したか?

日鉄ケミカル&マテリアルは「テレビ会議クラウド化」で場所にとらわれない働き方を推進

2021.05.26

働き方改革&生産性向上のカギはどこにある?第37回

日鉄ケミカル&マテリアルは「テレビ会議クラウド化」で場所にとらわれない働き方を推進

チームは雑談を「聞く」ことで強くなる

2021.05.20

IT&ビジネスコラム第6回

チームは雑談を「聞く」ことで強くなる

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

2021.03.05

セキュリティ対策に求められる新たな視点第23回

テレワークの不安を解消する、ゼロトラストの“組み合わせ”はこれだ!

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

2021.02.24

ニューノーマル時代のコミュニケーション変革第3回

パーソルP&Tに聞く、リモートワークでも「雑談」する方法

ビッグデータ基盤をセキュリティ対策として使う方法とは

2021.02.09

セキュリティ対策に求められる新たな視点第22回

ビッグデータ基盤をセキュリティ対策として使う方法とは

SaaS利用によって生じる課題をワンストップで解決する方法がある

2021.01.27

DXを加速させるITシステムの運用改革第34回

SaaS利用によって生じる課題をワンストップで解決する方法がある