結局、Zoomは使っても大丈夫なのか？：セキュリティの不備が次々発覚（2/2 ページ）

[吉村哲樹，ITmedia]

Zoomを使っても構わないのか？

　その後も世界中のセキュリティ研究者が、Zoomのセキュリティ対策やプライバシー保護に関する検証を続けており、前項で紹介したもの以外にも課題が指摘されている。こうした事態を受け、一時は大幅に値上がりした同社の株価も、一時期は急落することになった。それまでこぞってZoomを使っていた企業や教育機関の中には、利用をいったん見合わるところも増えてきた。

　その一方で、こうした数々の不備の指摘に対するZoom社の迅速な対応を、肯定的に捉える向きもある。確かに多くの問題点が指摘されているが、それらに対して一貫して迅速な対応を行い、CEO自らがユーザーの矢面に立って情報公開に努めているZoom社の姿勢を一定程度評価するユーザーも少なくない。何よりも、誰でもすぐ使いこなせるという高い利便性は、特に不特定多数のユーザーが自宅で利用するテレワーク用途では依然としてニーズが高い。

　では現時点では、Zoomをテレワークで使っても構わないのだろうか？　それとも、やはり少しでもリスクを避けるために利用を差し控えるべきなのだろうか？　今の段階では、「セキュリティリスクと利便性のどちらを重要視するか」によって都度判断するべきだろう。

　例えば、決して外部に漏れてはいけないような情報を扱う重要な会議や打ち合わせには、やはり念には念を入れて利用を避けた方がいいだろう。

　会議のIDやURLが漏れることによる不正アクセスの問題は、現時点では先ほど紹介した「Zoom爆撃」の被害が大きく取り上げられているが、セキュリティの観点から見ると、本当に怖いのは悪意のある第三者が正式な参加者を装ってこっそり会議に忍び込み、そこで話される内容を盗み聞きするようなケースだ。もちろん、こうした事態を防ぐための対策はZoom社でもきちんと用意されてはいるものの、今後こうした情報窃取の手口は巧妙化してくることが予想されるため、十分な注意が必要だ。

　また、クラウド環境でZoomが運用するサーバ上で、情報が窃取される可能性もゼロとはいえない。このあたりのリスクの評価は、他のクラウドアプリケーションと同様、「この情報はクラウドに預けても大丈夫かどうか」という観点から、社内のセキュリティポリシーと照らし合わせて判断するといいだろう。

どのような点に注意すべき？

　一方、外部からさまざまな指摘を受けて、Zoomのセキュリティ対策やプライバシー保護の体制は急速に強化されつつあるようだ。実際のところ、先に挙げた脆弱性の問題やプライバシー保護の問題は即座に修正されており、最新のソフトウェアでは対策済みだ。現時点ではZoomの利用を控えている企業も、Zoom社が現在進めている「90日間のプライバシー保護対策」が一段落した時点で、あらためてサービスの安全性を評価して利用可否の判断を下してもいいだろう。

　もちろん、コロナ禍で急きょテレワーク環境の導入を迫られ、「待ったなし」の状況に置かれている企業にとって、導入・利用のハードルが極めて低いZoomは魅力的だ。そこで、重要情報を扱わない一般的な会議や打ち合わせに限り、Zoomの利用を認めるのも十分「あり」だろう。ただしその場合は、Zoomのセキュリティリスクに関する最新情報に常にアンテナを張り、その時点で考え得る限りの対策を施した上で慎重に利用することが必須条件だといえる。

　では、具体的にどのような点に注意すればいいのか。4月21日現在、公的機関やセキュリティベンダーからは、Zoomの利用に当たっては以下のような点に留意すべきとの提言がなされている。

• 必ず最新版のZoomアプリを利用する。
• 会議のIDやURLは参加者以外の目に触れないよう厳重に管理する（SNSなどへの投稿は絶対にNG）。
• 会議には必ずパスワードを設定する。
• 待機室の機能を使い、会議の主催者が承認したユーザーのみが参加できるようにする。
• 承認したユーザーのみで会議を始めたら、途中で不正ユーザーが参加しないよう必ず会議をロックする。
• 画面共有機能をホストのみが利用できるよう設定する。
• 会議中に機密情報について話したり画面共有することは避ける。
• ファイル転送機能を無効にする。

Zoomはパスワードの設定機能、待機室の機能などを備えている＝Zoomの公式サイトより

　上記のような運用ルールを、自宅で働く従業員たちに周知徹底させるには、単にルールの内容を通知するだけでは不十分かもしれない。その場合、ITリテラシーに自信のないユーザーでもきちんと漏れなく上記の対策を実施できるよう、アプリの操作方法まで含めて丁寧にレクチャーするマニュアルやeラーニング教材などの提供も効果的だろう。