テレワークを始める人に贈るZoomの使い方(7)　セキュリティー対策編

Zoomの使い方を一通りマスターされた後、安全に使うための対策を説明します。
(前記事は「テレワークを始める人に贈るZoomの使い方(6)」です)

それぞれの説明ごとに【ステップA-1】の形式で項番を付けています。Zoomに詳しい人からこの記事を案内され、うまく行かない・意味が分からないとき、このステップ項番を伝えて相談すると解決が早くなると思います。

U. Zoomアプリの最新化

独立行政法人 情報処理推進機構(IPA)より、パソコンのZoomアプリを最新化するよう、2020年4月3日(金)に発表されています。(Zoom利用を控えるべき情報は出ていません)
参考：Zoom の脆弱性対策について(IPA)

なお、IPAからは、Zoomアプリのダウンロードについても、注意が発表されています(2020年4月28日)。Zoomに偽装された危険なアプリが出回っています。ダウンロードは、開発元のZoomビデオコミュニケーションズ社(以下、Zoom社と称します)から行うようにしましょう。
参考：ソフトウェアのダウンロードは信頼できるサイトから！
～そのソフトは、あなたが使いたいソフトですか？～(IPA)

Web会議サービス全般の利用注意も、IPAから発表されましたので、チェックしておきましょう(2020年7月14日)。
参考：Web会議サービスを使用する際のセキュリティ上の注意事項(IPA)

【ステップU-1】
Zoom社では、日々、緊急の修正対応に取り組んでいますので、以下の方法でZoomアプリが最新かどうか、確認しましょう。

ログインできているZoomアプリの画面から、右上のアイコン(イニシャルか顔写真)をクリックします。

開いたメニューから「アップデートを確認」をクリックします。

すでに最新版のときは「最新の状態を保っています」と表示されます。

最新版ではないときは「更新可能」が表示されます。

青い「更新」ボタンをクリックし、更新しましょう。

【ステップU-2】
スマホやタブレットは、iPhone/iPadはApp Store、AndroidはPlayストアで、最新版かどうか確認しましょう。

V. 招待情報は秘密にする

【ステップV-1】
招待情報のミーティングID・パスワード・URLは、参加者のみ知る情報としてください。SNSなど無関係の人にも見られる場所には載せないようにしましょう。悪意を持った人が招待情報を知ってしまうと、ミーティングを邪魔されたり、パソコンなどに危害を受ける恐れがあります。

Hanako Urawaさんがあなたを予約されたZoomミーティングに招待しています。

トピック: さいたま関係者の Zoom ミーティング
時間: 202X年X月X日 02:00 PM 大阪、札幌、東京

Zoomミーティングに参加する
https://zoom.us/j/38317929999?pwd=eW9rSnd4UUpBSWxRdWZlcVZuSGV6XXXX

ミーティングID: 383 1792 9999
パスワード: XXXXXX

参加者側で採るべき対策は以上です。(2020年6月1日現在)

W. 主催者(ホスト)側で採るべき対策

【ステップW-1】
パスワード、待機室、ミーティング中のロックを使うことで、安全性を高めることができます。それぞれの設定方法は「テレワークを始める人に贈るZoomの使い方(6)」をご覧ください。

用途に応じ、この安全対策表②～⑤の中から選択をおすすめします。(2020年5月10日現在)
参加者が多い場合は、待機室を使うとホストの対応が大変になります。
途中参加を許したい場合は、ミーティング中のロックを外す必要があります。

なお、2020年5月9日より、無料の基本プラン(Basic)には、安全策として下記の制限がかけられています。
・すべての会議でパスワードが必要。(安全対策表⑤⑥⑦は使えません)
・PMI(パーソナルミーティングID)を使う場合、待機室のオンが初期設定。
・画面共有はホストのみ(参加者側は禁止)が初期設定。
参考：Zoom Admins Can Now Disable PMIs; Additional Security Updates for Basic Accounts Coming May 9(Zoom公式、英文)
参考：Zoom、全会議でパスワード必須化などセキュリティ強化(PC Watch)

2020年5月22日より、下記の制限が加わりました。
・有料プランにおいても、画面共有はホストのみ(参加者側は禁止)が初期設定。
・ホストが参加者のマイクミュートを設定した場合、参加者からのミュート解除にはホストの同意が必要。
参考：Zoom Product Updates: Restricted Screen Sharing by Default, Consent for Unmuting & Audio Alert for the Waiting Room(Zoom公式、英文)
参考：Zoom、ビデオ会議中の強制ミュート解除は必ずユーザー同意が必要に(PC Watch)

※参考情報A

イベントアクセラレーター＆ITエンジニアの西舘聖哉さんが役立つ記事をnoteに書かれていますので、ご覧ください。

・【Zoom】オンラインイベント開催時の設定（主にセキュリティ周り）
・【Zoom】セキュリティについてとこれから気をつけたいこと（2020.04.28時点）

一般社団法人ITC-Pro東京さんの主催で4月10日(土)に開催したセミナーが、YouTubeに公開されています。長い動画ですが、Zoom設定の要点は最初の10分間に集約されていますので、その部分だけでもご覧いただければお役に立ちます。
上記の西舘聖哉さんが講師、当マニュアルを書いた私(上ヶ平裕彦)が技術サポートを担当しています。

・テレワーク時代に備えて ～Zoom脆弱性に対する対応・注意ポイント～(ITC-Pro東京、ITC元気ですチャンネル)

※参考情報B

Zoomの秘匿性は、どこまで信頼を置けるのでしょうか？
会話の音声、参加者の顔や周囲の風景、画面共有した資料、チャットメッセージなど、多くの情報がやり取りされます。それらが外部に漏れないかどうかは、暗号化できた範囲が秘匿性を握っています。

通信経路の暗号化について、三つのレベルを示します。

①E2E暗号化は、最も秘匿性が高い方式です。ミーティングサービスを提供する会社にも、通信内容が一切分からない形です。

②全経路の暗号化は、①に次いで秘匿性が高い方式です。ミーティングサービスを提供する会社で、いったん暗号は解かれるものの、クラウド内部の通信や保存データは暗号化された内容です。

③入口/出口のみの暗号化は、②より劣り、最低限の秘匿性を得る方式です。インターネットで交わされる通信内容は暗号化されますが、ミーティングサービスを提供する会社の中では暗号化されません(暗号化しない状態を平文と称します)。

Zoom社からは、2020年春まで、①E2E暗号化が施されていると発表されていたのですが、実態は③に近い内容であることが指摘され、Zoom社自身も認めた状況です。
参考：Move Fast and Roll Your Own Crypto / A Quick Look at the Confidentiality of Zoom Meetings (トロント大学Citizen Lab、英文)
　　(AES 128ビット暗号・ECBモードの懸念、待機室の脆弱性なども指摘)
参考：Security at Zoom (Zoom公式、英文)
参考：「Zoom」の「Web会議をエンドツーエンドで暗号化している」表記は誤解を招くと専門家 (ITmedia)

他サービスでは、CISCO Webex(シスコ　ウェベックス)は、①E2E暗号化ができると発表されています。

参考：エンドツーエンドの暗号化は何をしますか？ (CISCO)

Microsoft Teams(マイクロソフト　チームズ)では、クラウド内部の通信やデータ保存まで暗号化と発表されています。②全経路の暗号化に相当するものと考えて良いでしょう。
参考：Microsoft Teams のセキュリティとコンプライアンス (マイクロソフト)
参考：IT プロフェッショナル向け: Microsoft Teams のプライバシーとセキュリティ

Zoom社からは③から②に近付ける、あるいは①とすべく改修が実施されていますが、大きな設備投資を要すると思われ、徹底できるまで半年～1年ほど要するかも知れません。
Zoom社CEOのERIC S. YUAN氏は2020年4月1日、「今後90日間、私たちは、問題をよりよく特定し、対処し、積極的に問題を解決するために必要なリソースを投入することを約束します」と発表されています。また、5月7日には、暗号技術を専門とするスタートアップ企業のKeybase社買収を発表しました。5月29日の発表では、有料ユーザーと教育機関などの組織のみがE2E暗号化を利用できる予定とされましたが、6月17日の発表では無料ユーザーもE2E暗号化を利用できると修正されました。
2020年10月14日、E2E暗号化のテクニカルプレビューが翌週から利用可能との発表があり、機能制限はあるものの、実際に利用ができるようになりました。2020年12月末現在、正式リリースの発表には至っていないようです。
最新状況はZoom公式ブログ(英語版)で読むことができます。(日本語版は掲載まで日数を要しているようです)
参考：Zoom利用者へのメッセージ (翻訳版)
参考：Zoom公式ブログ (英語版)

ちなみに、一般的な電子メールは、③または、それよりも緩い秘匿性です。第三者が読めてしまう意味では、郵便ハガキのようなものと考えて良いでしょう。

当分の間、Zoomは電子メールを暗号化しなくても許されるような範囲で、利用を推奨します。企業機密情報・個人情報など、絶対外に漏らしてはならない情報をやりとりする場合は、Zoomとは別の手段(暗号化した文書で渡す、安全なファイル共有サービスを利用する、WebexやTeamsを利用するなど)としましょう。