2020.09.03
今知っておきたいITセキュリティスキルワンランクアップ講座第24回
「Zoom」のセキュリティ(後編)使っても大丈夫か?
著者 北河 拓士
「Zoom」を使っても大丈夫か?
前編、中編、及び上記で説明したように、多くの問題が指摘されていた3月末頃までの「Zoom」と現在の「Zoom」は、セキュリティやプライバシーへの取り組みの姿勢が全く異なる企業となっています。
現在の「Zoom」の脆弱性などへの迅速な対応や情報公開の姿勢は、数あるIT企業のなかでも上位に位置するといって良いでしょう。今後も「Zoom」の脆弱性やプライバシーの問題が指摘されることはあるでしょうが、現在の「Zoom」の姿勢を見る限り、適切に対応されるものと思われます。
これらの「Zoom」の姿勢の変化を受けて、一時は「Zoom」の使用を禁止していた組織が再び使用を許可したり、新たに「Zoom」の利用を開始したりする動きも出ています。
ニューヨーク市の教育当局は4月初旬に学校での「Zoom」の使用を禁止する通達を出していましたが、5月初旬には安全性の問題が改善されたとして「Zoom」の使用を再び許可 しました。
テキサス州 やイリノイ州 では5月から「Zoom」を使用した遠隔裁判が開始されています。また、英国では下院議会が4月下旬から審議の一部で「Zoom」の導入 を開始したほか、エリザベス女王など英王室も「Zoom」での公務 を開始しています。
学校の授業などは、見知らぬ第三者が乱入して授業を邪魔するような行為が防げれば、それ程の機密性が要求されるわけではないでしょう。また、裁判や議会、王室の公務に関してもテレビやインターネットで中継されることもあることから機密性は重要ではなく、第三者が乱入することを防げれば良いでしょう。
オンラインセミナーやオンラインレッスン、オンライン飲み会、家族との連絡なども前編 などで紹介した第三者の乱入を防ぐ推奨設定を行い最新版のアプリを使用していれば、「Zoom」を使用することは問題ないと思います。
業務での「Zoom」の使用は?
オンラインイベントなどでは集客のために会議のURLをWebサイトやSNSで公開するということも行われがちです。また、学校の授業などでは生徒が掲示板などに会議のURLを投稿して、わざと乱入者を呼び込むようなイタズラも行われていました。しかし、業務での打ち合わせや会議、商談などでは、そのような乱入の原因となることは起こりにくいため、推奨設定を行っていれば第三者が乱入することはほぼ起きないでしょう。
「Zoom」はSOC2 Type II(セキュリティ、可用性、処理の整合性、機密性、プライバシーに関する内部統制の第三者評価)やFedRAMP(米国政府機関のクラウドセキュリティ認定)、PrivacyShield(EU-US間の個人データ移転の保護フレームワーク)などの認証を取得しています。また、FedRAMPのデータ によると、現在10以上の米国政府機関が「Zoom」を利用しています。(政府機関向け製品「Zoom for Government」の利用実績)
これらのことからも、「Zoom」はセキュリティについても業務で使用することに問題はないレベルの製品であると言えるでしょう。競合のWeb会議システムに比べてもセキュリティ面で大きな違いはなく、機能やライセンス形態、価格などを比較して最適な製品を選択すれば良いと思います。
その上で、実際に業務で「Zoom」を含むWeb会議システムを使用しても良いかは、他のクラウドサービス(顧客管理、営業支援、労務管理、グループウェア、クラウドストレージなど)の利用判断と同様に、扱う情報の機密度や企業のポリシーに応じて判断する必要があるでしょう。
厳密な機密性が要求される会議、たとえば国家安全保障に関する内容や産業スパイの対象となり得る機密情報を扱う会議では、「Zoom」のようなSaaS型のWeb会議システムではなく、オンプレミス(自社運用)のWeb会議システムやエンドツーエンド暗号化をサポートしたWeb会議システムの導入を検討すべきかもしれません。