本当に安全なZoom会議を開催する方法

世界屈指の利用者数を誇るビデオ会議プラットフォームのセキュリティ設定について。

パンデミックの影響で世界各地の企業が赤字に苦しむ中、Zoomはわずか1四半期の間に370%もの増収を達成しました(リンク先は英語)。今ではすっかり有名になり、「Zoom」という言葉は「Zoomで会議する」という意味の英語として使われるようにまでなっています。このビデオ会議サービスは当初、セキュリティに関する鋭い質問の数々に直面しましたが、開発担当者たちは全力で早期対応に取り組みました。

Zoomのセキュリティメカニズムが強化されたことを踏まえ、この記事ではZoomミーティングを最大限に保護するためにできることをご紹介します。

1. ミーティングごとにリンクを作成する

ミーティングをセットアップするときは、パーソナルミーティングID(PMI)を使用するか、一度きりの会議であれば使い捨てリンクを使用します。PMIはユーザーのアカウントにひも付いており、最後にログインしてから丸一年間は有効です。そのため、PMIを使って開催されたミーティングに一度でも出席したことがある人は、自分が招待されていない場合でも、それ以降に開催されるミーティングに同じPMIで接続することができます。したがって、パーソナルリンクを使用するのではなく、ミーティングごとに別のリンクを作成するようにしましょう。作成にかかるのは数秒程度です。

2. 招待制にする

ミーティングのリンクを不特定多数の人が見られる形で共有するのは、危険です。パーティーの情報を公共の壁にスプレーで書いておいて、誰もパーティーをめちゃくちゃにしに来なければいいな、と思っているようなものです。メールやメッセンジャーなど、都合の良い手段で、参加者へ個別に知らせましょう。すでに開催中の会議に参加していない人がいることに気付いたら、そのままZoomから招待することができます

3. 入室できる人を制御する

参加者へ個別にリンクを送ったとしても、別の誰かがそのリンクを使ってミーティングに入ってくる可能性がゼロになるわけではありません。友人がリンクを別の人に転送するかもしれませんし、いたずら好きな弟が友人の代わりにリンクを受け取ったかもしれません。友人になりすましたハッカーがリンクを受け取る可能性もあります。

待機室は、招待していないゲストがミーティングに参加するのを防ぐのに役立ちます。この機能を有効にすると、ホストが氏名とニックネームを確認して入室を許可するまで、参加者は待機室で待つことになります。

ミーティング開始後も、例えば少人数で話したい場合などは、特定のメンバーを待機室に戻すことができます。また、全員に対して待機室を有効にするか、Zoomアカウントにサインインしていないゲストに対してのみ有効にするかを選択することもできます。

4. Zoomミーティングをロックする

全員が入室したら、ほかの人が参加できないようにミーティングをロックすることもできます。こうしておけば、ミーティングのリンクを部外者が知っていたとしても、そのリンクからミーティングに入ることはできません。ついでながら、このロック機能は、会議に乱入して場を荒らす行為「Zoombombing」への対抗策として最も有効な手段の一つとなりました。

5. エンドツーエンド暗号化を有効にする

Zoomでは長らく、秘密鍵をサーバーに保管する「ポイントツーポイント暗号化(P2PE)」が使用されてきました。P2PEは単純なデータ傍受を防ぎますが、Zoomサーバーがハッキングされてしまうと、会話の内容を攻撃者が復号できるようになります。

そのため、Zoomの開発元は、鍵の保管場所をユーザーのデバイスに限定する「エンドツーエンド暗号化(E2EE)」を追加しました。エンドツーエンド暗号化を有効にすると、錠の付いた緑色の盾の形のアイコンがZoom画面の左上に表示されます。このアイコンは、そのミーティングが傍受されないように保護されていることを意味します。

注意したいのは、エンドツーエンド暗号化が既定では無効になっている点です。有効になっていると、LyncやSkypeのクライアントを使用している人や、オンラインバージョンのZoom Webクライアントを使用している人、その他サードパーティ製のZoom用クライアントを使用している人がミーティングに参加できなくなるためです。また、無料アカウントのユーザーは、電話番号の確認と支払い方法の登録が求められます。

6. チャネルの安全性を確認する

中間者攻撃を使用して自分の通信チャネルに割り込んでいる部外者がいないか、いつでも確認することができます。盾型のアイコンをクリックするとセキュリティコードが表示されるので、主催者がこのセキュリティコードを読み上げ、参加者は各自のセキュリティコードと一致するか確認します。セキュリティコードは、出席者のデバイスに接続するエンドツーエンド暗号化メカニズムと直接関連しています。主催者の鍵がミーティング参加者の鍵と一致すれば、エンドデバイス間の接続は侵害されていないということです。誰かが間に入り込んでいる場合、数字の並びは変わってきます。

主催者の機能が別の参加者に移った場合や、誰かがミーティングに入室した場合、または退室した場合は、別のセキュリティコードが生成されるので、参加者は再度セキュリティコードを確認することができます。

7. 保護を強化する

IPアドレスやミーティングそのものを部外者に知られないようにするには、カスペルスキー セキュアコネクションのような、安全な接続を使用して接続するようにしましょう。公衆Wi-Fiを使用して行われるミーティングの場合は、VPNの使用が特に重要です。

信頼できるセキュリティ製品を使用することも、どうぞお忘れなく。Zoomがどれほどセキュリティを強化しても、ミーティング参加者のデバイスにすでに入り込んでいるマルウェアについては、さすがにZoom側では何もできません。

ヒント