2020年4月10日金曜日

セキュアなZoom活用法

COVID-19対策で、思うように外出ができないいま、デジタルで乗り越える手段の一つがZoomによるWeb会議です。

巷ではZoomのセキュリティについて注目が集まっていますが、「なんかよくわからないけど脆弱なんだって?」という声をたくさん聞きます。

ですが、多くの問題は対処可能なものばかりです。
問題を理解し、適切に使うベストプラクティスを今日はご紹介したいと思います。



何が問題なのか?

オフィスエリアに入るとき、セキュリティカードをかざしてますよね?
それがない状態で、無差別に不特定多数の人が入れてしまうことが問題なのです。


どうしてできるの?

ZoomのMeeting-IDは、9桁の数字です。

https://zoom.us/j/123456789 という手軽さがありますが。その反面、数字は理論上”10億通り” の総当りでログインしようと思えば、誰でも入れてしまいます。

その弱点をついて「Zoombombing」という荒しが行われたり、会議を盗み見されてしまうというリスクがあります。

では、どうすれば 安全にZoomを活用できるのでしょうか?




どうすればいいの?

では、どうすれば 安全にZoomを活用できるか ご紹介します。

ゲストにてやること、主催者側(ホスト)にてやることがあります。
この対策で、ニュースで話題になった問題はほとんど解消されます。
【結論】
 <A>すべての利用者が、最新版のアプリにアップデートする
 <B>会議を開催するホスト側にて4つ設定を確認する
    (1)ホスト開始前にゲスト参加を許可しない
    (2)待機室を有効にする(可能であれば許可性にする)
    (3)パスワードを設定する(必須)
    (4)URLにパスワード埋め込み(利便性)
ということで、解説していきます。



<A>ゲストを含む”全ての利用者”にやってほしいこと(バグ対策)


まず、アプリケーションのバージョンアップ

4/2以降にリリースされたバージョンにして下さい


 ・問題が指摘されてすぐに、バグ修正バージョンがリリースされています
  https://support.zoom.us/hc/en-us/sections/201214205-Release-Notes
 

    Mac:April 2, 2020 Version 4.6.9 (19273.0402)
    Windows:April 2, 2020 Version 4.6.9 (19253.0401)

 ・こちらの脆弱性について詳しく知りたい方は IPAの情報をご確認下さい。
  https://www.ipa.go.jp/security/ciadr/vul/alert20200403.html




 (追記)4/9アップデート(バージョン 4.6.10)にて、機能強化されています!

   ★バージョンの確認方法
     https://support.zoom.us/hc/ja/articles/201362393
  

   ★最新バージョンの入手方法
     https://support.zoom.us/hc/ja/articles/201362233




<B>ホスト側での会議設定(無差別ログイン対策)


会議を開催する方での対応です。
ブラウザから https://zoom.us/profile/setting  にて設定できます。


「サインイン」した状態で「設定」をクリックして、以下の4項目を設定しましょう。


(1)ホストが開始前にゲスト参加を許可しない

「ホスト前の参加」・・・OFF

ホストがミーティング開始するまで、ゲストが入れなくなりますので、予期せぬ人が知らぬ間にログインして、荒らすことを回避します。



 ※写真の例では、青いスイッチ部分が淡くなっています。これは、契約企業のシステム担当により強制的に設定され、ユーザーにて誤って変更ができないようになっています。


(2)待機室を有効にする

「待機室」・・・ON

ホストが許可するまでログインができませんので、知らない人を排除できます。

 
※もし途中から来た人に気が付かないという不安がある場合は、この機能を使わずに、全員そろったところで会議室に鍵をかけることもできます。会議室のドアにカギをかけるようなものですので、他の人が入ることができないようになります。



(3)パスワードを設定する

「パスワード要求」・・・ON

ログイン時に6桁の数字入力が求められるようになり、総当たり攻撃ではログインができなくなります。
招待の文面には「6桁のパスワード」が追記されるようになります。





(4)URLにパスワード埋め込み ★おすすめ

「パスワードを埋め込み」・・・ON

パスワード入力が面倒だと思ってしまうかもしれませんが、心配無用です。
今まで通り、クリックで手軽に参加することができます。



このオプションにて生成されたURLをクリックすれば、6桁パスワード入力は不要です。
もちろん、招待する参加者間でのシェアにとどめてください。

 例)https://zoom.us/j/888888888?pwd=ZlZtQ0hpisHEgzclFRAPSND0IHSNRdz09

 ※パスワードは、ハッシュ値に変換され推測されにくいようになっています。
 ※もし、URLにこれがない場合は、主催者へパスワード設定されているか確認をおすすめします。



<C>Webinar開催の場合

上記Bのような対応をWebセミナーではいちいち面倒だと思うかもしれません。
企業アカウントを契約して、Webinar機能を利用してWebinar開催すれば、オーディエンス側での機能が制限されており、発表者としてのツールが使えませんので心配いりません。

有償プランはこちらに説明あります。
https://www.it-ex.com/promo/zoom/

以上です。




◆関連Zoomメモはこちら

https://vm-fun.blogspot.com/2020/03/zoom.html
https://vm-fun.blogspot.com/2020/03/zoom_10.html


もしも、Zoomへつなぐデバイスに不安をお持ちでしたら

Workspace ONE でさらにセキュリティ対策を強化することができますよ。
https://vm-fun.blogspot.com/2019/12/blog-post.html