昨年の振り返り: 2023 年に脆弱性報奨金制度がもたらした Zoom セキュリティへのメリット
Zoom 脆弱性報奨金制度では、セキュリティ脆弱性の検出と責任ある開示を奨励しています。昨年のハイライトを振り返っていきましょう。
更新日 April 29, 2024
公開日 September 25, 2023
Zoom では、学校内環境やビジネス環境の Zoom ユーザーがクライアントにログインするとき、ユーザー認証を支援するために、安全で迅速なログイン プロセスを可能にするシングル サインオン(SSO)機能を装備しています。 シングル サインオン(SSO)を使用できないお客様には、ログイン プロセスに一段上のセキュリティ レイヤーを追加する 2 要素認証(2FA)のご利用をおすすめします。
両オプションとも管理者による初期設定が必要ですが、認証済みログイン プロセスの場合、ユーザーは、最初から快適に Zoom デスクトップ クライアントや Zoom モバイルアプリを体験できます。
OAuth プロセスでもログインできます。その場合、代わりに Zoom にログイン情報を提供するアプリケーションを Google または Facebook から 1 つ承認しておくと、ユーザーはパスワードを手動で入力する必要がなくなります。 以上のプロトコルを使わず、手動でログインするユーザーには、強力で複雑なパスワードを設定するようおすすめします。
Zoom Meeting のスケジュールを作成するときは、デスクトップ クライアントやモバイルアプリに標準装備されている数個の設定をすばやく切り替えることができ、予定されているセッションを簡単に保護できます。
Zoom デスクトップ クライアントまたはモバイルアプリのトップ ナビゲーションで [ホーム] を開き、[スケジュール] をクリックすると、個別ニーズに合わせてミーティング設定を調整できるポップアップが表示されます。 このポップアップには、[セキュリティ] セクションの設定がすべてそろっており、たとえば便利な保護レイヤーを追加する [ユーザーのみ参加できる]、[待機室] などを選択できます。
ミーティングごとに、拡張暗号化や Zoom のエンドツーエンド暗号化(E2EE)オプションから優先する暗号化を選択することもできます。 暗号鍵の保管場所は異なりますが、両オプションとも Zoom のスタンダードである 256 ビット AES-GCM 暗号化を利用しています。 E2EE が有効になっていると、暗号鍵はミーティング参加者のデバイスにのみ通知されます。 ミーティングの E2EE を有効にすると、特定の機能が無効になり、すべてのミーティング参加者が Zoom デスクトップ クライアント、モバイルアプリ、または Zoom Rooms から参加する必要があります。
Zoom Meetings の保護対策に関するヒントの詳細情報については、こちらのブログをご覧ください。
ソフトウェアの更新とバグ対応のプロセスを合理化できる自動更新機能を最近、Zoom からリリースしました。 Zoom のデスクトップ クライアントとモバイルアプリでは直接、次のごく簡単な手順をたどるだけで、自動更新が有効になります。
この機能を有効にしたユーザーは、今後、Zoom ソフトウェアの更新を自動的に受け取ることができます。 この機能は、エンタープライズ Zoom アカウントで、管理者が既存の自動更新設定を有効にしている場合、一部のデバイスですでに有効になっている可能性があります。
高度なチャット暗号化により、保護されたメッセージを本来の受信者のみが読める、安全なコミュニケーションが可能になります。 この機能を有効にする権限はアカウント管理者に限り、ユーザーは 1 対 1 またはグループでのチャットで特に機密性の高い情報についてやり取りする場合に限り、この機能を展開できるようにする必要があります。
高度なチャット暗号化が有効になっているとき、静止データはチャットの参加者の使用デバイスで作成・運用される暗号鍵により、暗号化されます。 一方で転送中のチャットデータは、転送中に TLS 暗号化で暗号化されます。
不明な外部連絡先のリクエストを受け入れた場合、または仲間のユーザーが規律を乱す行動をとっている場合、相手をブロックする機能があります。 Zoom Team Chat ウィンドウの左側に表示されたユーザー名に移動し、バーの右側にある [オプション] の矢印をクリックすれば簡単に設定できます。 このドロップダウン メニューを使い、ユーザーをブロックします。 ブロックしたユーザーはすべて、[チャット] の [設定] に表示され、そこから以下の要領で、対象ユーザーリストの管理、ユーザーのブロック解除ができます。
Zoom ユーザーがプラットフォームを利用する方法は Zoom デスクトップ クライアント、ウェブブラウザ ポータル、モバイル アプリケーションとさまざまですが、Zoom はアーキテクチャ全体でセキュリティ対策を講じています。
Zoom のユニファイド コミュニケーション体験は、セキュリティに配慮して構築されており、Zoom が新たに構築するプラットフォーム更新もユーザーの安全、セキュリティ、プライバシーを最優先に考えて構築されています。 Zoom は、オンラインでのやり取り、情報、ビジネスにおいて、ユーザーが信頼できるプラットフォームでありたいと考えています。
Zoom のプライバシーとセキュリティについては、Zoom トラスト センターにお問い合わせください。