情報漏えい対策

ウェブ会議システムの現状と
脆弱(ぜいじゃく)性対策

法人のお客さまに起こりがちな状況

新型コロナウイルスの流行によって対面での会議が難しくなりました。

BtoB企業では営業活動や契約しているプロジェクトのミーティング、また多くの企業でも、打ち合わせや面談などが気軽に行えない状況です。

そんな状況の打開策として一気に広まったのが「ウェブ会議システム」です。

以前から遠隔での打ち合わせなどに使われていたものではありましたが新型コロナウイルスの流行で対面すること自体がNGとされ、企業でテレワークが進んだことにより爆発的に利用が増加しました。

一方、利用者の増加に伴い、そのシステムの脆弱(ぜいじゃく)性や注意すべきポイントなどについても知見がたまってきています。

今回はそんなウェブ会議システムの全体像とポイントや脆弱(ぜいじゃく)性についてお伝えします。

テレワークの流行によりウェブ会議システムが大きく成長

新型コロナウイルスの流行によって対面での営業、会議の開催が困難になったことにより、代替手段としてウェブ会議システムがクローズアップされました。

中でも「Zoom」は、その手軽さと使い勝手の良さから4カ月でユーザー数を30倍にも増やすなど、IT業界の中での存在感を高めています。

現在主流のクラウド型のウェブ会議システムの場合、専用の機材や専用線が必要なくPCに内蔵されたマイクやカメラ、もしくは安価なヘッドセットがあるだけで社外の相手との会議も簡単に実行できます。

最近のサービスではスマートフォンを利用して参加することも可能になっており、より一層手軽なサービスとして法人のみではなく個人間のやり取りでも使われるようになっています。

ウェブ会議システムの種類:クラウド型-オンプレミス型

ウェブ会議システムには大きくに分けて2種類が存在します。

クラウド(SaaS)型

現在主流のウェブ会議システムの方式がこちらです。

機能制限はあるものの、無料で会議可能なサービスが多く、Google Meet(旧Hangouts Meet)やZoomなど多数のサービスが提供されています。

ユーザー数に応じた月額の課金体系になっているケースが多いようです。

オンプレミス型

いわゆる自社サーバ内にシステムをインストールして運用する形態で、会議システムでは老舗といえるシスコシステムズやブイキューブなどが提供しています。

社内のセキュリティポリシーが厳格な企業や環境に応じたカスタマイズが必要な企業に使われています。

初期導入費用とカスタマイズ費、保守費用が必要となりますが月額費用はかからないケースがほとんどです。

ウェブ会議のメリット

ウェブ会議システムのメリットはさまざまですが、中でも代表的なものをご紹介します。

場所に依存せず会議が可能

ウェブ会議システムの1番のメリットと言えば、これではないでしょうか?

ネットワークさえつながっていれば時間や場所に依存せず会議が可能です。

東京と大阪のメンバーが実際に会議を行おうとすれば往復の交通費や出張の日当を支払ったうえその日の作業は移動するメンバーはほとんどできない状況となってしまいます。

それに対してウェブ会議システムであれば、社内ミーティングと同じ感覚で会議を行うことができます。

音声やビデオ通話以外にもテキストチャットや画面共有、ファイルの送受信が同時に可能

ウェブ会議システムにはほとんどの場合チャット機能や画面共有、ファイル共有機能が搭載されています。

これにより営業活動でのプレゼンテーションや、複数人からの質問をまとめて受けたりなどが可能です。

必要なファイルも送れるので、対面の会議よりも資料の共有は楽になるのではないでしょうか。

録画して議事録代わりに使えるサービスも存在

会議で重要なのは内容を議事録としてきちんと関係者に送付しコンセンサスを取ることです。

しかしウェブ会議システムの中にはその内容自体を録画しアーカイブしてくれるものも存在します。

これにより、従来の会議で発生していたいわゆる「『言った、言わない』の水掛け論」をなくすことができるうえ、議事録係がメモに集中して会議に参加できない、と言ったことも防ぐことが可能になります。

脆弱(ぜいじゃく)性の発覚で大きなニュースになったことも

しかし、ウェブ会議システムは良いことばかりでもありません。

2020年、Zoomで大きくニュースとなったウェブ会議システムの脆弱(ぜいじゃく)性。

急激な成長に伴いセキュリティ面での問題がクローズアップされました。

急激な成長に伴いセキュリティ面での問題がクローズアップされました。例えば以下のような内容です。

Facebookへのデータ送信

アプリを開いた際の利用端末に関する情報(デバイスの種類や通信会社の名前など)が送信されていたという事例です。

アメリカではZoomが発覚から数日後に非を認めたものの、集団訴訟まで発展しました。

暗号化通信の鍵がZoomのサーバで管理されていた

暗号化は情報セキュリティ対策として非常に有効な手です。その方法として情報をやり取りする双方が「暗号鍵」を持ち暗号化されたデータを復号することで読めるようにするわけですが、Zoomにおいてはその「暗号鍵」がZoomのサーバで生成・補完されていました。

これは見ようと思えばZoomが通信の内容を復元して盗み見ることが可能ということを意味しています。

ZoomBombing(Zoom爆弾)

3つ目の問題は、Zoomの問題と言うよりは、ITリテラシーの問題を含んでいます。

悪意を持った第三者がミーティングを荒らすことが容易である作りになっていたことにより、会議に意図しない人間が参加したり、邪魔するような行動をとったりすることが頻繁に起きました。

アカウント作成不要というメリットの裏に、きちんとしたリテラシー(URLは関係者以外に教えない、パスワードを設定するなど)がないことにより、こうした攻撃を受ける可能性があると判明しています。

ウェブ会議システムで注意すべきポイントや脆弱(ぜいじゃく)性

法人がこうしたシステムを利用する際に気を付けておくべき点を整理します。

ぜひ参考にしてください。

通信がエンドtoエンドかつ暗号化されているかどうか

ウェブ会議はメールのようにエビデンスが残りにくいため、機密情報がやり取りされやすい傾向にあります。

そのため通信が暗号化されており、それがエンドtoエンドの形式で高いセキュリティレベルを維持しているかどうかが重要です。

第三者による不正アクセス対策

サービスによってはURLを知ることで(もしくは総当たりに近い形で)外部から侵入が可能になる場合があります。

第三者が参加されないよう設定できる場合以下のような対策が必要です。

  • URLを自分で決定できる場合は推測が難しいものにする
  • 必ず参加のためのパスワードを設定する
  • 参加者を限定し、必ず主催者が把握できる範囲にとどめる

また、社外からの参加の場合は周囲に人がいないことや背後に人が通った際に画面を見られないようにすることも重要です。

過失による情報漏えいリスクの低減

ウェブ会議の場合対面と異なり自分の端末で作業しながらの参加なども可能です。

そのため、つい他のプロジェクトの資料を開きっぱなしにしたまま参加し、誤って資料の共有や添付を行ってしまうと簡単に情報漏えいが発生します。

他プロジェクトの資料は閉じて必要な資料のみ開いておくなどの啓蒙活動が重要です。

セキュリティを高めるためには個人の端末のセキュリティ対策も重要

前項でお伝えした脆弱(ぜいじゃく)性はウェブ会議システムと言う閉じたサービスの中で注意すべき内容です。

しかし実際はセキュリティ対策としてその前の段階から対応すべきと言えます。

例えばいくらウェブ会議システムに対するセキュリティ意識を高めたところで、個人の端末にバックドアが仕掛けられており画面をのぞき見られてしまう環境だったら意味がありません。

だからこそ、ベースとなる端末のセキュリティについてもきちんと見直したうえでウェブ会議システムの注意点にも気を払うのが正しい態度です。

情シス担当として再度、足元の対応からしっかりと固められているか確認をしてみてください。

トレンドマイクロからのアドバイス

ウェブ会議システム利用時のセキュリティ体制を整えるには、まずは端末の保護、さらにはゼロトラストの考え方で接続される各種アプリケーションやサーバに対するセキュリティ対策も必要です。

トレンドマイクロでは、現時点で不足しているポイントに対して効果的な対策を行えるさまざまなソリューションをご用意しています。

自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

VBBSS:ウイルス・スパイウェア対策からデバイスコントロールまでオールインワン

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)は、中小企業・中堅企業に求められるセキュリティ機能をオールインワンで持ち合わせ、さらに管理者の負担を軽減できる「軽くて・強くて+管理負担が少ない」セキュリティ製品です。

Cloud One -Workload Security:パフォーマンスを損なわずにDC、クラウド、 コンテナ保護

Trend Micro Cloud One - Workload Security™は脆弱(ぜいじゃく)性や不正プログラム及び不正な変更などの脅威から、仮想・物理・クラウド及びコンテナ環境のハイブリッド環境を防御できるソリューションです。

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り