ウェビナーの心得(第2回)

Copyright © nGlobe

2020/05/16

Web会議との出会い~web会議ってセキュリティ問題あり、って聞いたんだけど・・・



現在、インターネットを介したリモートワークや遠隔授業の急速な普及に伴い、様々なweb会議システムが増えてきました。
私たち研究班やメンバーも、web会議システムを利用していますが、最近、耳にすることの多くなった、web会議システムのセキュリティ問題について、お伝えしたいと思います。


1. web会議システムって、セキュリティ問題はどうなの?

 前回、述べましたように、2019年12月でのユーザー数が1000万人から、新型コロナウィルス感染症の蔓延後の2020年4月22日では3億人を超えた、と発表しているのが、Zoomというweb会議システムです。ユーザー数の急増と同時に、さまざまなセキュリティの脆弱性も指摘されました。
主には、次とおりです。

・ビデオ会議・音声会議ともに、エンドツーエンドの暗号化をしていなかった
・セキュリティの脆弱性が複数見つかった
・「荒らし」が簡単に入ってこれた
・プライバシーポリシーに記述されていないものがあった(Facebookに、ユーザーのデータを送信していたなど)

さらには、サーバーが中国にあり、ユーザーのデータが転送されている、ということも、カナダのトロント大学のインターネット研究機関シチズン・ラボ(Citizen Lab)の調査報告によって、公表されました。

 Zoomは、早速、この脆弱性の問題に、早急に対応し、間もなく5月30日にはVer.5.0に更新されます。

 しかし、これらの脆弱性の問題は、zoomだからなのでしょうか。


2. セキュリティについて、確認する方法

 私たちが目にする様々なアプリケーションのセキュリティの脆弱性の問題点は、ほとんど報道によるものが多く、事実はどうなのか、という確認を、どこでどうすればいいのか、よく分からないという方もいらっしゃるのではないでしょうか。

まず、日本では、IPA(Information-technology Promotion Agency, Japan:独立行政法人情報処理推進機構)からの情報は、確認する必要があります。

https://www.ipa.go.jp/about/ipajoho/gaiyo.html

IPAは、2004年に経済産業省所管の政策実施機関として、発足した機関です。IT関連の施策など、この機構が発信する情報は、とても重要なものです。
Zoomのセキュリティの脆弱性が指摘されている中、IPAの「重要なセキュリティ情報」には、
・Microsoft 製品の脆弱性対策について(2020年5月)
・Adobe Acrobat および Reader の脆弱性対策について(APSB20-24)(CVE-2020-9612等)
などが、次々と発信されています。

報道の大きさによって、一般人は重要性の感じ方が違いますので、こういった専門機関の情報を必ず確認する必要がありそうです。

次に、アメリカ国家安全保障局(NSA:National Security Agency)というところを、ご紹介しましょう。
https://www.nsa.gov/

NSAは、日本人にとっては、あまり聞きなれない機関ですが、設立は1949年とのことですので、なかなかの歴史があります。中央情報局、いわゆるCIAというのは、聞いたことがある方もいらっしゃると思います。CIAが人による諜報活動をするところ、だとすると、NSAは、電子機器類を使用した情報収集活動をするところ、という位置づけのようです。

このNSAが、2020年4月20日付けで、サイバーセキュリティ情報を公表しました。
https://media.defense.gov/2020/Apr/24/2002288652/-1/-1/0/CSI-SELECTING-AND-USING-COLLABORATION-SERVICES-SECURELY-LONG-FINAL.PDF
    Cisco Webex
    Dust
    Google G Suite
    GoToMeeting
    Mattermost
    Microsoft Teams
    Signal
    Skype for Business
    Slack
    SMS
    WhatsApp
    Wickr
    Zoom
という13ものweb会議システムについて、8つの視点からセキュリティについて評価をしています。

これを見ると、Zoomが当初指摘されていた「エンドツーエンドを暗号化していない」という第1項目目は、エンドツーエンドの暗号化に対応していないものが、13システム中、4システムあります。
Zoomは、セキュリティの脆弱性を指摘された後、対応していますので、今は、「対応」している、という評価になっています。しかし、学校や企業で推奨されることの多い、Google G SuiteやMicrosoft Teamsでは、「対応していない」という評価結果となっています。

特に、この中で、注目すべきは、第7項目の「ソースコードが公開されているか?」という点です。とても簡単に言いますと、プログラムが公開されているか、という意味です。
プログラムが公開されていれば、不審な動きをすることが判明します。ソースコードの公開は、公明性が高いとも言えそうです。Zoomが指摘された中国のサーバーへデータを転送しているといった指摘があるのも、ソースコードが公開されていなかったことで、様々な情報が飛び交った、と言えそうです。

13システムのうち、ソースコードを公開しているのは、3システムしかありません。
公開していないのは、Zoomを始め、Google G SuiteやMicrosoft Teamsでも同様なのです。

この評価結果を見る限り、全ての評価項目を満たしているのは、4つのシステムだけだということが分かります。


3. で、結局、何を使う?

Web会議システムは、私たちのコミュニケーションを図る時のツール(方法)の1つです。
NSAの評価結果を見ても分かるように、どれも一長一短であり、特段、どのシステムだけが良いとか悪いとか、ということにはならないようです。
 2020年は、新型コロナウィルス感染症により、外出自粛がかかったことで、自宅にいながらにして、どのようにコミュニケーションをとるのか、社会と交流し続けるのか、という点で、web会議システムの活用が急速に進んでいます。最近では、お茶会、ランチ会、飲み会(オン飲みと言う)から、オーケストラに至るまで、さまざまな活動が、オンライン上で展開されています。

 Web会議システムのセキュリティを考える時、お茶会と会社の会議を同等に扱うのは、利便性を損ねることにもつながります。おやつの時間に果物を切るために、ペティナイフではなく、出刃包丁を使うようなものです。
 自分が何をするか、その目的によって、ツールを使い分けていくのが、便利に使いこなすコツといえそうです。


Copyright © nGlobe