SNSでは「#stayhome」のハッシュタグをよく目にします。このハッシュタグは一種の社会現象であり、同時に、新型コロナウイルスの大流行に伴い社員の在宅勤務を余儀なくされている企業の厳しい現実を表してもいます。対面での打ち合わせは、ビデオ会議に取って代わられました。しかし、企業の会議はお天気の話以上のトピックを話し合う場です。そのため、ビデオ会議用のアプリケーションを使用する前に、そのアプリではどのようなデータ保護メカニズムが採用されているかを確認することが大切です。なお、この記事では広く普及しているビデオ会議アプリの情報を紹介していますが、当社で各アプリケーションを調査したのではなく、一般に公開されている情報をまとめたものです。ご了承ください。
Google MeetとGoogle Duo
Googleは2種類のビデオ会議サービスを提供しています。Google Meet 、そしてGoogle Duoです。Google Meet(旧名:Hangouts Meet)はG Suite内で提供されているので、G Suiteをすでに会社で使っているならば手軽に利用開始できます。
セキュリティ:Google Meet
GoogleはMeetの利点として、信頼できるデータ処理インフラ、暗号化(ただしエンドツーエンドではない)、一連の保護ツール、これらすべてが既定で有効である点を挙げています。多くのその他企業向け製品と同様に、G Suite(Google Meetを含め)は高度なセキュリティ標準に従っており、利用できる機能の中にはアクセス権管理のオプションもあります。
セキュリティ:Google Duo
モバイルアプリのGoogle Duoは、エンドツーエンドの暗号化でデータを守ります。しかし、Duoは一般個人向けのアプリであり、企業向けではありません。ビデオ会議の参加者は最大12人までです。
脆弱性とマイナス面
Googleは利用者データを集めているので企業秘密に対する脅威である、という意見が散見される以外は、これらアプリケーションの具体的なセキュリティ上の問題は見つかりませんでした。これはGoogleのサービスが完璧だという意味ではなく、トラブルが生じる前に問題を修正する強力なセキュリティ部門によって支えられているということです。
Slack
Slackでは、チームのワークスペース内に複数のチャットを作成することができ、これらを一画面で見られるようになっています。また、ワークスペース内のチャネルをプロジェクトごとに設定できます。会議は最大15人までです。
セキュリティ
Slackは、SOC 2ほか多数の国際的セキュリティ標準に準拠しています。医療データや金融データを取り扱うための構成が可能で、データをどの地域で保管するかを企業側で選択することができます。また、Slackのワークスペースに参加するには、メンバーから招待を受けるか、会社のメールアドレスを使って登録する必要があります。
また、リスク管理手段を柔軟に活用できるほか、データ漏洩対策(Data Loss Prevention:DLP)ソリューションおよびデータアクセス管理ツールとの統合が可能です。たとえば、管理者は、個人デバイスでのSlackの使用や、Slackから別アプリへの情報コピーを制限することができます。
脆弱性とマイナス面
開発者は、エンドツーエンドの暗号化を本当に必要としているのは限られた数の企業しかなく、またエンドツーエンド暗号化を実装することで機能が限られてしまうと述べています(英語)。したがって、Slackはエンドツーエンドの暗号化を採用する予定はないとしています。
Slackはサードパーティーアプリケーションとの統合が可能ですが、統合したアプリケーションのセキュリティについてはSlackの管轄外です。また、Slackにはいくつかの深刻な脆弱性が過去に見つかっており、これまでにデータ窃取を許す脆弱性、ユーザーセッションの傍受を可能とする脆弱性が修正されています(リンク先はいずれも英語)。
Teams
Microsoft TeamsはOffice 365と連携するので、企業ユーザーにとってメリットとなるでしょう。在宅勤務用ツールの需要が高まったことを受け、MicrosoftはMicrosoft Teamsの有料機能を6か月間無料で使用できるようにしています。しかし、無料版ではユーザー設定とポリシーを構成することができません。ここがセキュリティ侵害につながる可能性があります。
セキュリティ
Teamsは数々の国際標準に準拠しており、他に漏らしてはならない医療情報を扱うような構成が可能で、柔軟なセキュリティ管理オプションを備えています。サービスプランによっては、DLPや送信ファイルのスキャンなどのツールを追加でTeamsに統合することができます。
サーバーに送られるチャットやビデオ通話は暗号化されますが、エンドツーエンドではありません。データの保管と処理については、あなたの企業の営業地域の外で保管や処理が行われることはありません。
脆弱性
Teamsの脆弱性はウォッチしておいたほうがよいでしょう。Microsoftは脆弱性の修正を迅速に行うのが常ですが、脆弱性はたびたび見つかっています。最近も、アカウントの乗っ取りを許す脆弱性(パッチはリリース済み)がリサーチャーによって発見されました(英語)。
Skype for Business
クラウド版のSkype for Business(Office 365に含まれるTeamsの前身)は過去のものとなりつつありますが、ローカルにインストールすることもできます。Teamsよりこちらを好む人もおり、Microsoftはローカル版Skypeのサポートを今後数年間は継続する予定です。
セキュリティ
情報の暗号化はなされますが、エンドツーエンドではなく、保護の設定は構成可能です。また、Skype for Businessはローカルサーバーソフトウェアを使用するので、ビデオ通話その他のデータは企業ネットワークを出ることがない、という利点があります。
脆弱性とマイナス面
Skype for Businessのサポートには期限があります。予定どおり進むのであれば、2021年7月にサポートが終了します。Skype for Business Server 2019については、2025年10月14日までサポートが延長されます。
WebEx MeetingsとWebEx Teams
Cisco WebEx Meetingsはビデオ会議に特化したサービスです。Cisco WebEx Teamsはフル機能のコラボレーションサービスで、ビデオ通話にももちろん対応しています。この記事が扱う範囲で言うと、この2つの違いは暗号化手法です。
セキュリティ
Cisco WebEx Meetingsはビジネスクラスのサービスとエンドツーエンド暗号化を備えています。(エンドツーエンド暗号化は既定ではオフになっていますが、要望ベースでプロバイダー側がアクティベートします。暗号化を有効にすると機能が制限されますが、社員が会議で機密情報を扱う場合には有効化を検討すべきでしょう)。Cisco WebEx Teamsについては、ファイルとメッセージのみがエンドツーエンドで暗号化され、ビデオ通話と音声通話はCiscoのサーバーで復号されます。
脆弱性とマイナス面
今年3月、コードのリモート実行を許すWebEx Meetingsの脆弱性2つが修正されました(英語記事)。昨年の初めには、WebEx Teamsクライアントに、現在のユーザーの権限でのコード実行を許す深刻なバグが見つかっています(英語記事)。Ciscoはセキュリティを真剣に捉えていることで知られており、脆弱性はすぐに修正されています。
WhatsAppはビジネスではなく社交向けの無料ツールですが、小規模な会社や部署でのビデオ会議にも利用されています。同時に参加できるのは4人まで(英語)なので、大きな企業には向きません。
セキュリティ
WhatsAppは、真の意味でのエンドツーエンド暗号化という強みがあります。要するに、第三者も、たとえWhatsApp社員であっても、ビデオ通話を見ることができません。ただし、企業向けのアプリとは違ってチャットと通話のセキュリティを管理するオプションはほぼ無いに等しく、利用できるのはビルトインの機能のみです。
脆弱性とマイナス面
昨年、WhatsAppのビデオ通話を通じて攻撃者がスパイウェアPegasusを配布するという事件がありました。この脆弱性はすでに修正されていますが、WhatsAppはビジネスクラスの保護機能を備えているわけではないので、この手の情報を早く掴めるように、サイバーセキュリティのニュースには日ごろから注意する必要があります。
Zoom
クラウドベースのビデオ会議プラットフォームであるZoomは、新型コロナウイルスの流行が始まったころから話題となっていました。柔軟な価格設定(参加者最大100人までで40分間無料)と使い勝手の良さから大勢の利用者を獲得しましたが、プラットフォームの弱点も大いに注目を集めました。
セキュリティ
Zoomは内部統制監査のSOC 2を満たしており、医療機関向けには医療保険の相互運用性と説明責任に関する法律(HIPAA)に準拠するサービスプランを提供しています。また、柔軟な構成が可能です。セッションの主催者は、会議用の正しいリンクとパスワードを持つ参加者に対してであっても、会議から退出させる、録画録音を禁じるなどの措置を講じることができます。必要であれば、トラフィックが社外に出ないような設定も可能です。
報告された脆弱性に対してZoomでは積極的に対応しており、新機能の追加よりも製品のセキュリティを優先させる計画である(英語)と同社は述べています。
脆弱性とマイナス面
Zoomはエンドツーエンド暗号化を実装していると主張していましたが、正当な意味でのエンドツーエンド暗号化ではないことが判明しました。エンドツーエンド暗号化では、伝送されるデータを読み取れるのは送信者と受信者だけですが、Zoomの場合は動画データを同社サーバー上で復号しており、データが自社の所在国以外を伝送される場合もありました(リンク先はいずれも英語)。
このアプリケーションでは、さまざまな危険度の脆弱性が発見されています。ZoomのWindowsクライアントとmacOSクライアントは、コンピューターのアカウントデータを盗まれる可能性のある脆弱性があると報じられました(現在は修正済み。リンク先は英語)。そのほかmacOSクライアントに見つかった2つの脆弱性は、攻撃者にデバイスを完全に掌握される可能性があるとされています(英語記事)。
これに加え、パスワードの設定されていない公開の会議に乱入して不快なコメントを書き込んだり好ましくない画面をシェアしたりする人々が問題になりました(英語記事)。この問題に関しては、会議を適切に設定することで回避できます。また、安全を期すために、会議設定時にパスワードの設定が求められるように設定が変更されました。
セキュリティ問題が報じられる中、Zoomは評判を落とすことになりましたが、どのようなサービスでも脆弱性は付きものです。また、Zoomの場合は爆発的に知名度が上がったことで、多くの人々による監査を受けているような状況が生まれています。
自社に最適なアプリを選ぶために
完璧に安全なビデオ会議アプリケーションというものは、存在しません。そもそも、完璧に安全なアプリケーションというものなどないのです。したがって、マイナス面が自分の業務にとってそんなに問題とならないサービスを選ぶのがよいでしょう。
それから、自分のニーズに適したアプリケーションを選ぶのは、最初のステップにすぎません。以下の実践もどうぞお忘れなく。
- 時間をかけて、ビデオ会議アプリを適切に設定しましょう。何でも許可する設定になっていると、情報漏洩につながりかねません。
- アプリケーションのアップデートが公開されたら、なるべく早く適用して脆弱性をふさぎましょう。
- 最低限、サイバーセキュリティのための基本的なふるまいについて従業員が知識を持つように、社員教育を実践しましょう。