巷ではZoomのセキュリティについて注目が集まっていますが、「なんかよくわからないけど脆弱なんだって?」という声をたくさん聞きます。
ですが、多くの問題は対処可能なものばかりです。
問題を理解し、適切に使うベストプラクティスを今日はご紹介したいと思います。
何が問題なのか?
オフィスエリアに入るとき、セキュリティカードをかざしてますよね?それがない状態で、無差別に不特定多数の人が入れてしまうことが問題なのです。
どうしてできるの?
ZoomのMeeting-IDは、9桁の数字です。https://zoom.us/j/123456789 という手軽さがありますが。その反面、数字は理論上”10億通り” の総当りでログインしようと思えば、誰でも入れてしまいます。
その弱点をついて「Zoombombing」という荒しが行われたり、会議を盗み見されてしまうというリスクがあります。
では、どうすれば 安全にZoomを活用できるのでしょうか?
どうすればいいの?
では、どうすれば 安全にZoomを活用できるか ご紹介します。ゲストにてやること、主催者側(ホスト)にてやることがあります。
この対策で、ニュースで話題になった問題はほとんど解消されます。
【結論】ということで、解説していきます。
<A>すべての利用者が、最新版のアプリにアップデートする
<B>会議を開催するホスト側にて4つ設定を確認する
(1)ホスト開始前にゲスト参加を許可しない
(2)待機室を有効にする(可能であれば許可性にする)
(3)パスワードを設定する(必須)
(4)URLにパスワード埋め込み(利便性)
<A>ゲストを含む”全ての利用者”にやってほしいこと(バグ対策)
まず、アプリケーションのバージョンアップ
4/2以降にリリースされたバージョンにして下さい
・問題が指摘されてすぐに、バグ修正バージョンがリリースされています
https://support.zoom.us/hc/en-us/sections/201214205-Release-Notes
Mac:April 2, 2020 Version 4.6.9 (19273.0402)
Windows:April 2, 2020 Version 4.6.9 (19253.0401)
・こちらの脆弱性について詳しく知りたい方は IPAの情報をご確認下さい。
https://www.ipa.go.jp/security/ciadr/vul/alert20200403.html
(追記)4/9アップデート(バージョン 4.6.10)にて、機能強化されています!
★バージョンの確認方法
https://support.zoom.us/hc/ja/articles/201362393
★最新バージョンの入手方法
https://support.zoom.us/hc/ja/articles/201362233
会議を開催する方での対応です。
ブラウザから https://zoom.us/profile/setting にて設定できます。
「サインイン」した状態で「設定」をクリックして、以下の4項目を設定しましょう。
(1)ホストが開始前にゲスト参加を許可しない
「ホスト前の参加」・・・OFF
ホストがミーティング開始するまで、ゲストが入れなくなりますので、予期せぬ人が知らぬ間にログインして、荒らすことを回避します。
※写真の例では、青いスイッチ部分が淡くなっています。これは、契約企業のシステム担当により強制的に設定され、ユーザーにて誤って変更ができないようになっています。
(2)待機室を有効にする
「待機室」・・・ON
ホストが許可するまでログインができませんので、知らない人を排除できます。
※もし途中から来た人に気が付かないという不安がある場合は、この機能を使わずに、全員そろったところで会議室に鍵をかけることもできます。会議室のドアにカギをかけるようなものですので、他の人が入ることができないようになります。
(3)パスワードを設定する
「パスワード要求」・・・ON
ログイン時に6桁の数字入力が求められるようになり、総当たり攻撃ではログインができなくなります。
招待の文面には「6桁のパスワード」が追記されるようになります。
(4)URLにパスワード埋め込み ★おすすめ
「パスワードを埋め込み」・・・ON
パスワード入力が面倒だと思ってしまうかもしれませんが、心配無用です。
今まで通り、クリックで手軽に参加することができます。
このオプションにて生成されたURLをクリックすれば、6桁パスワード入力は不要です。
もちろん、招待する参加者間でのシェアにとどめてください。
例)https://zoom.us/j/888888888?pwd=ZlZtQ0hpisHEgzclFRAPSND0IHSNRdz09
※パスワードは、ハッシュ値に変換され推測されにくいようになっています。
※もし、URLにこれがない場合は、主催者へパスワード設定されているか確認をおすすめします。
企業アカウントを契約して、Webinar機能を利用してWebinar開催すれば、オーディエンス側での機能が制限されており、発表者としてのツールが使えませんので心配いりません。
有償プランはこちらに説明あります。
https://www.it-ex.com/promo/zoom/
以上です。
https://vm-fun.blogspot.com/2020/03/zoom_10.html
https://vm-fun.blogspot.com/2019/12/blog-post.html
<B>ホスト側での会議設定(無差別ログイン対策)
会議を開催する方での対応です。
ブラウザから https://zoom.us/profile/setting にて設定できます。
「サインイン」した状態で「設定」をクリックして、以下の4項目を設定しましょう。
(1)ホストが開始前にゲスト参加を許可しない
「ホスト前の参加」・・・OFF
ホストがミーティング開始するまで、ゲストが入れなくなりますので、予期せぬ人が知らぬ間にログインして、荒らすことを回避します。
※写真の例では、青いスイッチ部分が淡くなっています。これは、契約企業のシステム担当により強制的に設定され、ユーザーにて誤って変更ができないようになっています。
(2)待機室を有効にする
「待機室」・・・ON
ホストが許可するまでログインができませんので、知らない人を排除できます。
※もし途中から来た人に気が付かないという不安がある場合は、この機能を使わずに、全員そろったところで会議室に鍵をかけることもできます。会議室のドアにカギをかけるようなものですので、他の人が入ることができないようになります。
(3)パスワードを設定する
「パスワード要求」・・・ON
ログイン時に6桁の数字入力が求められるようになり、総当たり攻撃ではログインができなくなります。
招待の文面には「6桁のパスワード」が追記されるようになります。
(4)URLにパスワード埋め込み ★おすすめ
「パスワードを埋め込み」・・・ON
パスワード入力が面倒だと思ってしまうかもしれませんが、心配無用です。
今まで通り、クリックで手軽に参加することができます。
このオプションにて生成されたURLをクリックすれば、6桁パスワード入力は不要です。
もちろん、招待する参加者間でのシェアにとどめてください。
例)https://zoom.us/j/888888888?pwd=ZlZtQ0hpisHEgzclFRAPSND0IHSNRdz09
※パスワードは、ハッシュ値に変換され推測されにくいようになっています。
※もし、URLにこれがない場合は、主催者へパスワード設定されているか確認をおすすめします。
<C>Webinar開催の場合
上記Bのような対応をWebセミナーではいちいち面倒だと思うかもしれません。企業アカウントを契約して、Webinar機能を利用してWebinar開催すれば、オーディエンス側での機能が制限されており、発表者としてのツールが使えませんので心配いりません。
有償プランはこちらに説明あります。
https://www.it-ex.com/promo/zoom/
以上です。
◆関連Zoomメモはこちら
https://vm-fun.blogspot.com/2020/03/zoom.htmlhttps://vm-fun.blogspot.com/2020/03/zoom_10.html
もしも、Zoomへつなぐデバイスに不安をお持ちでしたら
Workspace ONE でさらにセキュリティ対策を強化することができますよ。https://vm-fun.blogspot.com/2019/12/blog-post.html