Zoomって安全なの?企業で導入する時のポイントはこれ!

Zoom

最近何かと話題の「Zoom」ですが、セキュリティに問題があるというニュースが飛び交っています。

台湾政府が使用を全面禁止にしたり、Googleやドイツ外務省が使用制限をしています。

果たしてこの状況の中でZoomを使うことは「あり」なのでしょうか?

※ここでは企業としての使用について考えます。

大人気のZoom

オリラジのあっちゃんが紹介するぐらい有名なツールになりました。

新型コロナウィルスの影響でリモートワークが進んだこともあり、全世界で2億人が使っているそうです。

実際にZoomを使った感想ですが、通話や会議を開くツールとしては非常に優秀な製品だと思います。

アーザスとしては?

まず結論を申し上げますと、弊社がZoomを導入するのは「なし」です。そもそもOffice 365(もうすぐMicrosoft 365)のTeamsがありますので、Zoomに乗り換える必要はありません。

ですが今まさにZoomを検討されている企業は結構あると思います。

Zoomを導入するにあたりいくつかのポイントがありますのでご紹介します。

Zoomの安全性について

そもそもZoomの何が危険なのでしょうか?

具体的には以下のようなことが言われています。本当にそうなのでしょうか。

  • ユーザーの許可なくカメラが有効化される脆弱性がある
  • OSの資格情報を盗まれる脆弱性がある
  • Facebookアカウントを持っていないユーザーにデータにもデータを送信する

【解決済】カメラが有効化される

カメラが有効化される

カメラが有効化されるというのはどういうことでしょうか?

それはZoomの脆弱性を利用し、カメラを起動させたりビデオ会議に参加させられてしまうということです。

知らない間にカメラが起動するとか怖いですね・・・。

ただこの脆弱性はすでに修正されているようで、カメラのオフもZoomの設定に盛り込まれています。

画面キャプチャ

利用者が自ら参加しないと参加できない

悪意のあるビデオ会議に参加させるには、利用者がウェブサイトを介してZoomを起動する必要があります。

怪しいURLをクリックしなければよいのです。

Zoom-bombing(ビデオ爆撃)

ビデオ爆撃

これはZoomの会議IDを「zWarDial」というツールを使って検索し、会議に潜り込むというものです。

会議はパスワードをかけることができますが、パスワードをかけていない例も多くあったようです。

会社で会議をする際はパスワードをかけることは重要ですね。

【解決済】OSの資格情報を盗まれる

Windows版には脆弱性がありました。

Windows端末のネットワーク上の位置を示すテキスト文字列を送信し、攻撃対象となったユーザーの使用するWindows端末のユーザー名とそれに対応するNet-NTLM-v2ハッシュを、リンクに含まれるアドレスに送信するよう仕向ける。

何だか難しいですね。つまりはこういうことかと思います。

1. 攻撃者がZoom for Windowsのチャットウィンドを使って特定の文字列を送信してクリックさせようとする

2. 本人が知らずにクリックするとWindowsの資格情報が盗みだされる

3. そして知らず知らずのうちにストレージにアクセスできるようにされちゃう

中々手の込んだやり口ですね。

速攻で修正された

さすがにこの脆弱性はすぐに修正されました。

【解決済】了解なくFacebookにユーザーデータを送信していた

ZoomがFacebook SDKでFacebookにユーザ情報を送信していた、というものです。

新しいZoomではFacebook SDKを使用していませんので、アップデートを怠っている人は気を付けましょう。

結局Zoomは安全なのか?

今のところはZoomにセキュリティ的に致命的な問題はないと考えています。

私はセキュリティの専門家ではありませんが、ユーザーを狙った攻撃はセキュリティに関するリテラシーが低い場合に被害が発生します。

  • 見知らぬ人からのチャットで不用意にリンクをクリックしてしまった
  • 会議室にパスワードをかけ忘れた

いずれも個人のリテラシーが高ければ発生しません。

現時点ではZoomは袋叩きにされるほど危険ではない思います。

Zoomにプライバシー・セキュリティ意識が低かったのは確か

2020年4月1日には、Zoom Video Communicationsのエリック・ユアンCEOが、同社ブログのなかで、「プライバシーとセキュリティへの期待に応えられなかったことを認識している。そのことを深くお詫びする」と陳謝。「今後90日間、問題をよりよく特定し、対処し、積極的に問題を解決するために、必要なリソースを投入することを約束する。お客様の信頼を維持するために必要なことを行ないたい」とした。新機能の開発を止めてでも、これらの課題解決を優先することを示してみせたといえる。

今までは「BtoB」ゆえに顕在化していませんでしたが、急に注目され「BtoC」となったことで脆弱性が次々と発見されることになったZoom。

Facebookの件はそもそも意識が低すぎると言わざるをえません。

ではZoomを入れるべきか

Zoomを入れるべきか

個人でアプリレベルで使う分には良いと思います。それこそLINEを使うのと同じです。

しかし、会社のパソコンに勝手にZoomをインストールして使って良いか?というと答えはNoだと思います。

企業で導入する場合は、以下の項目を検討する必要があります。

  • 無料ではなく有償版で検討する
  • 使用に関してのルールを決める
  • 導入して生産性が上がるのかを考える

有償版の検討

有償版

今後テレワーク化がどんどん進んだ場合、無償版では安定して接続できないといったことがあるかもしれません。無償版で問題が発生した場合、どのぐらいのスピードで対応されるかも分かりません。

よってビジネスプランのようにサポートがある有償版がおススメです。

ルール決め

ルール決め

導入前にルールを決めないと必ず混乱が起きます。

勝手に通話やグループや会議が乱立してからではもう遅いです。必ずルールを決めましょう。

生産性について考える

生産性を考える

Zoomを入れただけですぐに生産性が上がるわけはありません。

Zoomでどのような効果があるのか?どのようなアウトプットを期待するのか?をもう一度考えましょう。

一日中会議してたって意味ないですからね。

リモートワークツール比較!Zoom・Slackにする前にOffice365のTeamsを検討しよう

Teams

Teamsがテキストチャットや音声通話・ビデオ通話が安定してできるので、なんだかんだ日本企業に合ったツールだと思っています。

ただ、色々なツールがリリースされています。無料!安い!だけが良いことではありません。目的に応じて必要なツールを選定する方が良いと思います。

是非この記事を参考にテレワークを進めて下さい。

最後に

何かと話題のZoomですが、流行りすぎると色々な弊害が出てしまうものです。特に企業で導入する場合は、慎重に進めないと後々導入してからでは取返しがつかない場合もあります。

テレワーク(リモートワーク)や在宅勤務で困ったことがありましたら、アーザスにお問い合わせください。