安全管理のコラム第51回「zoomイベントのチェックリスト」2020年5月

4月から始めた「ZOOM de かんさつ会」は,全国からご参加いただいて好評です。

一方で,オンライン会議ツールであるzoomについては,セキュリティ上の問題が取り沙汰されています。この対策・対応も一つのリスクマネジメントです。ネット記事などをもとに以下の三つにzoomを使うことのリスクをまとめました。

1)第三者が乱入して嫌がらせをする「zoom爆弾」

URLとパスワードが分かれば誰でも参加できるのがzoom会議です。悪意を持って,もしくはいたずら心で招かれていない第三者が入室してきて,騒いだり不適切な画像を映し出したりする迷惑行為が「zoom爆弾」。参加URLとパスワードを不用意に公開した場合,そのリスクが高まります。「知らない外国の人が出てきて踊った」とかのユーモラスなものもあれば,「グロテスクな画像が共有され参加者がショックを受け,本題の会議どころではなくなった」といったことも考えられます。

2)PCから情報を盗まれたりする「脆弱性」

一般に,プログラムの不具合や設計ミスがあって,外部からのハッキング(情報を盗んだり,任意のプログラムを実行したり)することが可能になっている状態を「脆弱性」と呼びます。zoomについて,私はハッキング被害の実例を確認できていないのですが「Webカメラがハッキングできる」「認証情報を盗むことができる」など複数の「脆弱性」があるという指摘がされています。古いバージョンのzoomを使っているとそのリスクが高まります。

3)zoomを装って不正サイトへ導く「フィッシング」

通販会社やクレジット会社を装い「認証に失敗したので,詳細はこちらをクリック」等の内容で電子メールを送信し、うっかりURLをクリックした人から個人情報を取得したりするオンライン詐欺をフィッシングと言います。zoomでは,主催者から届いたURLをクリックするという参加方法が多いので注意が必要です。zoomではないサイトなのに,"zoom”の文字を含めた新しいドメインは3,300個も確認されているそうですよ!

これらのリスクに対して「zoomを使わない」という判断もあります。もし仮に,機密やプライバシーに関する会議だったらzoomは避けたほうがよさそう。
一方で,はじめての人やPCに不慣れな方の使いやすさを考えるとzoomはたいへん優れています。また,対策をすれば十分リスクを低減させることができると考えました。

では,どんな対策をするとよいか?ということですが,一般的なことは参考URLの記事をご覧ください。
対策を立てる時に大事なことは「コストに見合った対策か?」「仕事の手順に組み込んでいるか?」の2点です。「ZOOM de かんさつ会」用に絞り込んだり,アレンジした対策の例として実際のチェックリストの一部を抜粋して掲載します。

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

<事前準備(スケジューリング時の設定)>
 □ミーティングパスワードを「必須」に →1)「zoom爆弾」対策
 □待機室を有効化を「チェック」 →1)「zoom爆弾」対策
 など。

<告知時(SNS等での広報文章に明記)>
 □zoomを使用したイベントであることを明記する。 →使いたくない人は使わない
 □「案内メール」の送信予定日時を示す。 →3)「フィッシング」対策
 など。

<案内メール(前日の夕方に送信)>
 □URL,ID,パスワードを個別に連絡。 →1)「zoom爆弾」対策
 □「URL,パスワードを共有・公開しないこと」をお願い。 →1)「zoom爆弾」対策
 など。

<zoomイベント開催前>
 □zoomクライアントが最新バージョンか確認する。 →2)「脆弱性」対策
 □待機室で申込者名簿と照会,確認できたら入室許可。 →1)「zoom爆弾」対策
 など。

<zoomイベント実施中>
 □基本的な使い方を紹介する。(ミュート,チャットなど) →1)「zoom爆弾」対策
 など。

<あらしや不具合が起こった場合>
 □参加者の迷惑行為:「口頭注意」→「待機室」→「チャット」。 →1)「zoom爆弾」対応
 □第三者の迷惑行為:即座に「待機室」ないし「削除」。 →1)「zoom爆弾」対応
 など。

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

急速にオンラインイベントが普及しています。
今後はネット上でのリスクマネジメントも大事になってきそうですね。


参考文献:
「安全なテレワークのために:「Zoom」のリスクとセキュリティを理解する」トレンドマイクロセキュリティブログ. https://blog.trendmicro.co.jp/archives/24590 (2020.05.06.閲覧)
「Zoomの危険性 使用禁止する企業、組織が増えている理由」IT小僧の時事放談. https://ityarou.com/ithoudan0630/ (2020.05.06.閲覧)
「Zoomの脆弱性やセキュリティに関する5つの問題 すぐにできる対策も解説」TECH CAMPブログ. https://tech-camp.in/note/technology/84112/ (2020.05.06.閲覧)
「Zoomを安全に利用する4つのポイント。Zoom爆弾や情報漏えいへ対処する。」Yahoo!JAPANニュース. https://news.yahoo.co.jp/byline/ohmototakashi/20200406-00171691/ (2020.05.06.閲覧)