暗号化や参加者の確認、そして使う場所 『ウェブ会議の注意点』

2020年8月26日発行

 IPA(情報処理推進機構)が、「Web会議サービスを使用する際のセキュリティ上の注意事項」と題する資料を、主に組織に所属するウェブ会議の主催者や情報システム管理部門向けに公開しています。具体的なテクニックというよりは、ウェブ会議サービスを利用する上で注意すべき指針となる情報がまとめられているので、今回はこれを紹介します(https://www.ipa.go.jp/security/announce/webmeeting.html)。

 まず最初にサービスを選ぶ際に考慮すべきポイントがあります。

 特にクラウド系サービスの場合は、データがどこに置かれるか、どの国のデータセンターが用いられているか、またクラウド上のデータを完全に削除することが可能かを確認することが重要としています。

 続いては、暗号化について。暗号化自体はなされていても、その暗号鍵がサービス提供者によって提供されているか、エンドツーエンド(E2E)暗号化であるかの確認を求めています。サービス提供者が暗号鍵を持っていると、政府によるデータ強制収容のリスクがあるためです。特に問題となったのがZoom。E2Eの暗号化を多くのユーザーから求められたZoomは、当初は法人や有料ユーザー向けに、その後は無料ユーザーにもオプションを提供することを公表しています。

 会議参加者の確認・認証方式も大きな問題です。ウェブ会議が広く使われ始めた当初、見知らぬユーザーが会議に乱入する「Zoom Bombing(Zoom爆撃)」という言葉が登場しました。まだ慣れていないため、アクセス用のURLをSNSなどに迂闊に貼ったことがその主たる原因でしたが、参加者の事前登録機能やロビー機能、その使い方を確認することが必要です。

 こうしたポイントからウェブ会議サービスを選んだあとは、実際に利用する上での注意点も記されています。参加者の制限やパスワードの設定、入室時に参加者に許可する機能、会議の案内やパスワードの送付方法など。また、参加者側では、サービスを起動するPCのセキュリティー対策が十分か、参加する場所が問題ないか(声や映像が周りに届く状況ではないか、映像の背景に情報漏洩につながるものはないか)も注意しなければいけません。

 ウェブ会議サービスの選定については、企業であれば情報システム部門が担当することが一般的でしょうが、会議のホストになることは今後多くのスタッフが経験すると考えられます。参加者としてのサービスの使い方はもちろん、ホストになった際の設定方法、セキュリティーに対する基本的な考えは、早急に共有する必要があると言えるでしょう。