90日間のセキュリティ計画 進捗レポート：4月15日版

Zoomが継続して取り組んでいるプライバシーとセキュリティに関するアップデートを行う「Ask Eric Anything」ウェビナー (Zoom CEO Eric S. Yuanの2回目のウェビナーセッション)にご参加いただいた出席者に改めて感謝を申し上げます。

今週のウェビナーでは、Eric がZoom CPO のOded Gal、Zoom CTO のBrendan Ittelson、新セキュリティアドバイザーの Alex Stamos 氏とともに、90日間のセキュリティ計画の開始から2週間の進捗状況と今後の進め方について議論しました。

この1週間の進捗状況と今後の予定をいくつかご紹介します。

今週の「Ask Eric Anything」ウェビナーでの重要なポイントをいくつかご紹介します。

ミーティングコントロールの新しいセキュリティアイコン

ツールバーに新しくリリースされたセキュリティアイコンは、ミーティングのロックや待機室機能の有効化など、既存のZoomのセキュリティ機能の多くにワンクリックでアクセスできるようにしました。

Zoomのデフォルト設定の変更

ミーティング開始前のセキュリティを向上させるために、Zoom のデフォルトのミーティング設定を変更しました。無料のベーシックユーザーとシングルプロユーザーでは、ミーティングパスワードと待機室機能がデフォルトで有効になっています。さらに、K-12教育プログラムのユーザーはミーティングに参加するにはパスワードが必要となり、待機室機能がデフォルトでオンになっています。

強化されたミーティングパスワード

アカウントオーナーとアカウント管理者は、数字、文字、特殊文字を含む、または数字のみのパスワードを許可するように、最低限のパスワード要件を設定できるようになりました。無料のベーシックアカウントのユーザーは、デフォルトで数字のパスワードの代わりに英数字のパスワードを使用するようになりました。

データセンタールーティングの変更

4月18日から、アカウント管理者は、データが特定のデータセンター地域を経由してルーティングされるかどうかを選択できるようになり、ユーザーはZoomのグローバルネットワークとのやりとりをよりコントロールできるようになります。プロセスの詳細については、ブログ記事をご覧ください。

Luta Security の Katie Moussouris とのバグバウンティプログラム

Zoom は、Luta Securityと協力してバグバウンティプログラムを強化します。Luta Security は、今日でも実行されている最も重要な脆弱性プログラムのいくつかを作成した Katie Moussouris によって創設されました。彼女はMicrosoft Vulnerability Research とSymantec Vulnerability Research を立ち上げ、Microsoft と国防総省のバグバウンティプログラムも立ち上げました。Luta Security は、Zoom のプログラムを全体的に評価し、90日間の「get well」プランで、内部のすべての脆弱性処理プロセスをカバーする予定です。続きはKatie のブログ記事をご覧ください。

Alex Stamos 氏の紹介

元Facebook のCSO であり、スタンフォード大学のインターネット観測所の所長でもあるAlex Stamos 氏がコンサルタントとしてZoom に加わり、セキュリティ対策の強化を見極め、実施することになったと紹介しました。”この隔離を通して人々の生活を許可することほど、興味深く、インパクトのある問題はない “とAlex 氏は語った。”これほど迅速にスケールアップしなければならなかった企業はなく、何億人もの人々をサポートすることは、魅力的な技術的課題です。私は、この信じられないほど動きの速いチームに参加できることにとても興奮しています。”

パネリストもウェビナー参加者からの質問にライブで回答しています。今週Eric とパネリストが取り上げたトピックの一部をご紹介します。

無料のベーシックアカウントと有料アカウント、どちらが安全ですか？

有料アカウントはベーシックアカウントよりもミーティングやユーザー設定をカスタマイズできる機能が多いが、Eric は有償アカウントとベーシックアカウントの両方でセキュリティ機能の大部分が利用可能であることを参加者に保証しました。実際、無料アカウントでは、デフォルトで多くのセキュリティ設定がオンになっています。

Zoom のバグバウンティプログラムの詳細を教えてください

Alex は、バグバウンティプログラムが企業の製品内のバグを特定するためのユーザーやセキュリティ研究者に報酬を与えるシステムであることを説明した。また、以前にZoomの脆弱性を報告した研究者を含め、すべてのZoomユーザーとセキュリティ研究者が参加するように招待されていることにも言及しました。潜在的なバグを提出するには、当社のセキュリティページにアクセスしてください。

Zoomの暗号化に関するアップデートを共有してほしい

Alex 氏は、Zoom の短期的な暗号化に関する焦点は、256-AES ECB 暗号化からより安全な 256-AES GCM 暗号化への移行であり、長期的な焦点は、Zoom のシステムへのリスクを大幅に低減する全く新しい暗号化設計を含むことを説明しました。

ダークウェブ上のクレデンシャルについて

最近、ダークウェブ上のZoom の資格情報の一部が購入可能であることが報告されましたが、Alex 氏が説明したように、これはYahoo、Facebook、Amazon などの大企業も直面している問題です。また、これらの資格情報は他のサービスなどから盗まれ、複数のサービスアカウントにまたがって同じパスワードを使用しているユーザーや、システムにマルウェアをインストールされたユーザーから盗まれた資格情報の可能性が高いと説明しました。Zoom では、ユーザー名とパスワードのペアリングを試しているかどうかを検知し、ブロックするシステムを構築しています。これらのパスワードダンプとその作成に使用されたツールを発見するために複数の諜報機関を雇い、また、ユーザーを騙してマルウェアをダウンロードさせたり、資格を放棄させようとするウェブサイトを閉鎖に追い込んだ会社を雇っています。

Zoom ミーティングを他の人が傍聴することはできますか

Brendan は、ミーティング中のユーザーのみが会話を聞くことができ、そのユーザーは参加者リストに表示されるため、許可されていないユーザーは会話内容を聞くことができないと説明しました。また、ホストが「録画」を特別に選択しない限り、Zoom はミーティングを録画・録音しないと説明しました。

今週のセッションを見逃した方は、こちらから録画を見ることができます。

先週のセッションのハイライトもご覧いただけます。来週の「Ask Eric Anything」ウェビナーは、Zoomのイベントページからお申し込みください。