![見出し画像](https://assets.st-note.com/production/uploads/images/23905458/rectangle_large_type_2_eb97327efe10da1212b016a08f5022cf.jpg?width=1200)
zoomは使っても大丈夫?大丈夫!(zoomのセキュリティの解説)
zoomのセキュリティについて色々なニュースがあって、zoomを導入できずに、オンラインでのコミュニケーションが停滞している組織があります。
zoomのセキュリティについて調べた結果、「機密情報をやりとりするのでなければ、設定や使い方に気をつければZoomを利用しても問題ない」と、私は考えています。
zoomのセキュリティの現状(2020年4月時点)について、ご紹介します。zoomの導入を検討する時の参考になれば幸いです。
背景
新コロナウィルスの感染拡大を防ぐために、2020年4月7日付けで、「緊急事態宣言」が発令されました。不要不急の外出自粛が求められ、多くの企業もテレワークの導入をして、在宅勤務を実現させることで、従業員の外出を減らしています。
テレワークの増加に合わせて、テレビ会議システムのzoomの利用も増えています。
一方で、zoomにはセキュリティ問題に関するニュースがあり、zoomを採用するか迷っている組織もあると聞きます。しかし、セキュリティについては不慣れで、「実際のところ何がどう悪いのかわからない。でも、なんか問題があるらしい」という状態の人が多いです。
セキュリティ問題への3つの指摘
今まで、指摘された、3つのzoomのセキュリティ問題への指摘について解説します。指摘内容は次の3つです。
指摘1.第三者に「侵入」される!?
指摘2.危険な脆弱性がある!?
指摘3.盗聴される可能性がある!?
それぞれの指摘について、解説します。
指摘1「第三者に「侵入」される!?」
これは、セキュリティに詳しくなくてもイメージしやすい問題です。実際の会議でも、知らない人が参加していたら問題です。
現在、zoomの会議へ参加するためには、「会議ID」と「パスワード」が必要です。以前のzoomでは、「パスワード」なしで会議を開くことができました。そして、「会議ID」は推測できるので、第三者に侵入が可能な状態でした。
現在、システム的な問題は対応済みです。会議を開くためには「パスワード」は必須であり、さらに、参加者を、ひとりひとり承認することが必要になりました。
それでも、学校の授業などで第3者に乱入されるということが起きていますが、それは、生徒が意図的に、会議IDとパスワードをネット上に公開するなどすることで起きている問題です。これは、利用者の問題で、zoomに限らずIDとパスワードは第3者に漏らさないことが必要です。
指摘2「危険な脆弱性がある!?」
指摘内容は、「OSの資格情報」を盗まれる脆弱性があったというモノです。
と、言われても分からないと思います。
この情報を盗まると何が起こるかと、Outlookサーバーやクラウドなどの共有ネットワークのファイルなどにアクセスできるようになります。非常に重大なセキュリティ問題ですが、現在、この問題は対処済みです。
そもそも、チャットに貼られた悪意リンクをクリックしなければ、「OSの資格情報」を盗まれることはありませんでした。
zoomに限らず、チャットに貼られた「よくわからないリンクは踏まない」ことはセキュリティの基本です。悪意あるサイトへのリンクなどを貼らない、踏まないことの徹底が必要です。
指摘3「盗聴される可能性がある!?」
これは、細かく説明すると複雑になるので、なるべく簡単に説明します。
指摘は2つあります。
ひとつは、暗号化の方式が一般的なものと比べて弱いという事です。このことについては、zoom5.0で対応される予定です。
もうひとつは、暗号化に使われる鍵が、中国のサーバにあることです。中国には、「サーバー所有者は中国当局と暗号化キーを共有しなければならないという法的義務」があるため、zoom社とは関係なく、中国政府に通信内容を見られる可能性があるということです。あくまで、可能性のはなしです。
zoomに限らず、通信内容の盗聴は、インターネットを使う場合、ある程度想定する必要があります。
zoomは使っても大丈夫なのか?
zoomのセキュリティについて、主な3つの指摘を解説しましたが、それぞれの内容を見ていただくと、だいたい対応済みです。
気になるのが、中国政府による盗聴の可能性ですが、盗聴されて困るようなこと以外にzoomを使用するようにすれば問題ありません。
結論として、私は、「機密情報をやりとりするのでなければ、設定や使い方に気をつければZoomを利用しても問題ない」と考えています。
でも、zoomのセキュリティへの指摘が気になる
調べてみるとわかることですが、過去、zoomのセキュリティに対する考え方や対応に不備がありました。そのときの悪い印象が今も影響していると考えられます。
どんなことがあったかと言うと、通信の暗号化について明示している内容と、実装内容が異なることが指摘されています。また、指摘されて修正した問題が、後のアップデートで復活したり、必要のない他国にあるデータセンターを経由したすることがあったりしました。
他にも、セキュリティを指摘してくれる外部の技術者と、zoomの考え方に相違があり、対立することもありました。
関連動画
以上の内容を動画にもまとめてあるので、合わせて見ていただければ幸いです。
参考リンク
以上
この記事が気に入ったらサポートをしてみませんか?