会社のニュース セキュリティとプライバシー

CEOレポート:90日プランが終了、Zoomの次の挑戦

7 分で読める

更新日 April 20, 2023

公開日 July 01, 2020

CEO が報告する Zoom の 90 日間
本ブログの内容
Eric S. Yuan
Eric S. Yuan
CEO

Eric は、Delivering happiness(すべての人に幸せを届ける)を実現し、シームレスなビデオ環境で人同士のつながりを築くため、2011 年に Zoom を創設しました。Zoom のコミュニケーション プラットフォームは、グローバルな組織がつながりを築き、コミュニケーションやコラボレーションを行う方法を継続的に変革しています。Zoom の最高経営責任者である Eric は、同社を、2019 年にもっとも高い業績を上げたテクノロジー IPO の 1 社に導きました。

Business Insider は 2017 年、Eric をエンタープライズ向けテクノロジー部門でもっとも影響力のある 1 人として紹介しました。2018 年、Glassdoor は Eric を米国大手企業のトップ CEO として表彰しました。2019 年には、グローバル ビジネスを変えたリーダーとして Bloomberg 50 に Eric の名前が入りました。タイム誌は、Eric を 2020 年のビジネス パーソン・オブ・イヤーに選出したほか、2020 年のもっとも影響力のある 100 人の 1 人に選出しました。また、彼は 2021 年に Comparably の「Best CEO for Diversity」(ダイバーシティ部門最優秀 CEO)に選出されました。

Zoom を創設する前、Eric は Cisco のエンジニアリング部門の副社長として、同社のコラボレーション ソフトウェア開発を担当していました。Webex でエンジニアリング担当副社長も兼任しながら、Webex 創設エンジニアの 1 人として活躍しました。

リアルタイム コラボレーションで成立させた特許 11 件、申請中の特許 20 件という優秀な発明者でもあります。

2020 年に入って数か月で、弊社プラットフォームは利用者数が急増し、非常に幅広い層の新規ユーザーにご利用いただくようになりました。Zoom チームは 24 時間体制で、サポートに当たりました。弊社システムに対する需要は、大半の企業では見たことがないほどの規模で爆発的に増大しました。3 月も終わりに近づいたころ、私たちがひたすら追い続けてきた「日に世界中で数億人に上るミーティング参加者に、シームレスなビデオ コミュニケーションを届ける」という使命を達成するには、セキュリティとプライバシーの強化が不可欠であり、両分野に皿に注力する必要があると実感しました。

2020 年 4 月 1 日、弊社はセキュリティおよびプライバシー保護対策として、多岐にわたる機能強化の遂行を約束しました。この日発表した 90 日セキュリティ計画は、組み込みのセキュリティとプライバシーを Zoom の永続的・本質的な特長とするための 7 つの取り組みに重点を置いています。今日は、これらの取り組みの進捗状況を報告するとともに、今後の道筋をご報告します。

取り組み 1:4月1日より、効率的かつ迅速に機能の凍結を実行し、信頼性、安全性、プライバシーの問題に集中して取り組むため、エンジニアリングの人材の配置転換を実行します。

現状:プライバシー、安全性、セキュリティに関係のないすべての機能を90日間凍結しました。 この方向性を目指し、エンジニアリングと製品の人材を総動員して、以下のような100以上の機能をリリースしました。

  • Zoom 5.0
    • すべてのミーティングにAES 256ビットGCM暗号化を有効化(無料/有料のすべてのユーザーに適用) 詳細については、https://support.zoom.us/hc/ja/articles/360043555772をご覧ください。
    • UIのアップデート:セキュリティアイコン、グリーンの暗号化シールド、データセンターの場所のクリックスルー
    • ユーザーを通報する
    • ミーティングのデフォルト:パスコード、待機室、限定の画面共有
    • その他の機能: ホストによる複数のデバイス ログインの無効化、ミュート解除への同意、クラウド レコーディングの有効期限設定、より厳格な Zoom Team Chat のコントロールなど
  • Keybaseを買収し、エンドツーエンド暗号化の構築を開始(無料/有料の全ユーザーに適用)
  • 有料アカウントのお客様がミーティングまたはウェビナーを主催するとき、特定のカスタマー データの処理に使用する Zoom データセンターをお客様自身が選択できるようにしました

今後も、製品と機能開発の各段階において、セキュリティとプライバシーを優先事項とするためのメカニズムを導入していきます。

  • 設計段階: セキュリティ要件、リスク評価、脅威のモデル化
  • 構築:セキュアなコードガイドライン、セルフサービスのスキャン、CI/CDツール
  • 検査:セキュリティテスト、自動化テスト実行、ウェブテストツール
  • 実施:セキュリティの高い構成、整合性の監視、検証された要件
  • 本番: 弊社システムのセキュリティ、システムの健全性、脅威の状況を監視

取り組み 2:サードパーティ機関の専門家や代表者を協力して包括的なレビューを行い、新たなユースケースを把握し、セキュリティとプライバシー保護に努めます。

現状: CISO 評議会、Lea Kissner 氏、Alex Stamos、Luta Security、Bishop Fox、Trail of Bits、NCC Group、Praetorian、Crowdstrike、Center for Democracy and Technology をはじめ、プライバシー、安全、およびインクルージョン分野の組織も含め、サードパーティの専門家の皆様と協力し、弊社の製品、慣行、ポリシーを見直して強化しました。以上の皆様一人ひとりから実に多大なご貢献を賜りました。ご尽力に深く感謝いたします。

取り組み 3:データ、記録、コンテンツのリクエストに関する詳細を示す透明性レポート作成に取り組む

現状:Zoomがデータ、記録、またはコンテンツに関する詳細をまとめた透明性レポートの枠組みとアプローチの定義において大きく前進しました。 今年後半の第1回目のレポートでは、第2四半期のデータをお届けします。 また、先日、政府からの要請に対応する際のガイドを作成しました。 また、わかりやすくすることを目的としてプライバシーポリシーを更新し、カリフォルニアプライバシー権利法を別途追加しました。 資料に関しては、zoom.com/privacy-and-legalをご覧ください。

取り組み 4:現在のバグ報奨金プログラムの強化

現状:セントラルバグリポジトリと関連するワークフロープロセスを開発しました。 このリポジトリは、PraetorianでトリアージされたHackerOne、Bugcrowd、security@zoom.us(後者はNDAを必要としない)から脆弱性レポートを取得します。 毎日のミーティングによる継続的なレビュープロセスを確立し、セキュリティ研究者やサードパーティ評価者との連携を強化しました。 また、脆弱性とバグ報奨金プログラムの責任者とappsecエンジニアを新たに採用し、さらに脆弱性専属のセキュリティエンジニアを増員する予定です。 また、レスポンスまでの時間短縮にも力を入れています。 バグ報奨プロセスは堅牢であり、採用目標を達成すれば、より強固になるでしょう。 このプロセスに関しては、Luta Securityの協力に感謝します。

取り組み 5:セキュリティとプライバシーのベストプラクティスに関する継続的な対話を促進するため、業界のCISOと協力し、CISO評議会を設立

現状: SentinelOne、アリゾナ州立大学、HSBC、Sanofi を含め、さまざまな業界の CISO 36 名で構成された CISO 評議会を設立しました。副 CIO の Gary Sorrentino が統括するこの評議会は、過去 3 か月間で 4 回ミーティングを開き、地域のデータセンターの選択、暗号化、ミーティングの認証、ユーザーの報告、パスコード、待機室機能などの重要事項について助言しました。評議会の成功が証明されたことから、弊社はこのプログラムを CISO ラウンドテーブル(Zoom がプラットフォームのセキュリティとプライバシーを確保するための、これまでとこれからの手段を把握するべく、CISO の顧客と弊社セキュリティ チームのリーダーたちが交わしている議論)で拡大する予定です。関心のある CISO および CIO は、Zoom アカウント エグゼクティブに詳細情報をお問い合わせください。

取り組み 6:問題点を特定して解決するため、ホワイトボックス侵入テストを同時に実施

現状:Zoom は、Trail of Bits、NCCグループ、Bishop Foxなどの複数の企業に、当社のプラットフォーム全体の見直しを依頼しました。 評議会の責任:

  • Zoom 本番環境(パブリックおよびコロケーション データセンター)
    • クラウド構成
    • 外部IP分野
    • 社内本番ネットワーク
  • ZoomコアウェブアプリケーションとZoom企業ネットワーク:
    • 社内ネットワーク
    • 周辺
  • 共通クライアント向けパブリックAPI
    • モバイルクライアント
    • デスクトップクライアント

Zoom は、セキュリティ プログラムの基盤として、継続的にサードパーティによるペネトレーション テスト(侵入テスト)に取り組んでいます。

取り組み 7:毎週水曜日、週次ウェビナーを開催し、プライバシーとセキュリティに関する最新情報をコミュニティに提供

現状: 本日分を含め、4 月 1 日から毎週水曜日、合計 13 回のウェビナーを主催しました。これらのバーチャル イベントでは、弊社の役員やコンサルタントが出席者からライブで質問を受けました。また、ウェビナーの要約とレコーディングを毎週水曜日にブログで公開しました。この一連のウェビナーは今後も続行します。次回は 7 月 15 日の予定で、その後は月 1 回のペースに移ります。

その他の最新情報

そのほか、注目すべき追加措置を講じました。

  • 4 月 1 日から以下を含む経営陣数人の増員・異動を行いました。
    • Velchamy Sankarlingam: プロダクトおよびエンジニアリング本部長
    • Jason Lee:情報セキュリティ最高責任者
    • Damien Hooper-Campbell:最高ダイバーシティ責任者
    • Aparna Bawa:最高執行責任者に任命され、現在はZoomのセキュリティ事業を総括
    • Lynn Haaland:次席法務顧問兼コンプライアンスおよび企業倫理最高責任者、最高プライバシー責任者に任命
    • H.R. McMaster:Zoom取締役に新規加入
    • Josh Kallmer: グローバル公共政策および行政機関渉外部門責任者
    • Ginny Lee: プライバシー担当法務顧問補佐
    • Mara Davis:コンプライアンス・倫理担当次席顧問
    • 7月13日より、脆弱性・バグ報奨金プログラム責任者
    • Andy Grant:7月13日より、攻撃的セキュリティ責任者
  • FedRAMP(米国連邦政府によるリスクおよび認証管理プログラム)で認可済みの政府向けZoomにZoom Phoneが追加されました。
  • アリゾナ州フェニックスとペンシルバニア州ピッツバーグを拠点とする新しいオフィスを開設し、利用件数の増加をサポートするため、米国を拠点とするエンジニアリングチームの強化に引き続き取り組んでいきます。

今後の挑戦

この期間はお客様の信頼に値する企業として成長する取り組みの中で、弊社に重要な変化を起こし、プラットフォームの安全性、プライバシー保護、セキュリティ強化を弊社のあらゆる事業の核に据えました。世界が危機に直面する中で Zoom が人々をつなぐべく果たしてきた役割、弊社のチームがプラットフォームの安全性を高めるためにこの 90 日間に達成した成果を誇らしく感じると同時に、身の引き締まる思いです。

しかし、私たちはここで立ち止まりません。そして、立ち止まるわけにはいかないのです。 プライバシーとセキュリティは、Zoomにとって継続的な優先事項であり、この90日プランの期間は、実りあるものではありますが、次への一歩に過ぎません。 このレポートでは、Zoomが「世界で最もストレスフリーかつ安全なビデオ通信プラットフォーム」になるための、新しいプロセスと人材について説明しました。

ユーザーの皆さんのご支援、忍耐、そして信頼に感謝します。 企業としての当社の価値観は「思いやり」です。この90日間の行動を通じて、そして今後の行動においても、この価値観を示していきたいと考えています。

最新情報をまとめたPDF版のサマリーをダウンロード

編集部注: お客様がデータ ルーティング設定をカスタマイズする機能について文意を明確にするため、2020 年 11 月 6 日にこの投稿を更新しました。

編集者注: データ ルーティング コントロール機能に関する最新情報を追加するため、2023 年 4 月 20 日にこのブログ投稿を改訂しました。

こちらもおすすめ

関連リソース

ご愛顧いただいているお客様

Okta
NASDAQ
楽天
Logicool
Western Union
オートデスク
Dropbox
Okta
NASDAQ
楽天
Logicool
Western Union
オートデスク
Dropbox

Zoom - すべてのつながりをひとつのプラットフォームで

デモをリクエスト
今すぐ購入