Zoom によってサイバー空間での安全を確保する方法

サイバー犯罪者は年々巧妙化し、人々がもっとも脆弱な状態のときを狙って多層的で複雑な攻撃を仕掛けてきます。今やハッカーや詐欺師は、人々の油断を突き、その親切心につけ込む巧妙な手口で被害者に忍び寄ります。プライベート ネットワークの使用、固有のパスワード、デバイスのロックなどのベスト プラクティスは依然として強く推奨されていますが、データの安全性を維持するために、堅牢で効果的な対策を講じているツールやソフトウェア プロバイダーを選択する必要もあります。 

従業員が知らずにマルウェアをダウンロードしたり、意図せず個人データを誤った相手に公開したりした場合、職場も同様に情報漏洩の危険にさらされる可能性があります。このことを念頭において、Zoom を利用する際のオンラインでの安全性を確保するためのヒントをいくつかご紹介します。また、Zoom がお客様と従業員のデータを保護するために導入しているセキュリティ プログラムについてもご紹介します。 

Zoom Workplace アプリを初めてダウンロードする場合や、最新バージョンにアップデートする場合は、Zoom ウェブポータルやアプリ本体などの信頼できるソースからアクセスするか、Apple App Store などの公式マーケットプレイスからダウンロードするようにしてください。

予期せず、Zoom Workplace の最新バージョンをダウンロードするよう促すメールを受け取った場合は、送信者ドメイン（メールの返信先）を再度確認し、ダウンロード リンクの上に（クリックせずに）マウスを合わせ、それが正規のリンクであることを確認してください。実際の Zoom ドメイン（zoom.com、zoom.us）以外の場合、リンクをクリックしないようにしてください。    

以下の 2 通のメールは、正規のメールであるように見えますが、実際は偽物です。

Zoom Workplace を信頼できるソースからダウンロードしていることが確認できたら、最新機能へのアクセス、バグの修正、最高のオーディオおよびビデオ品質を体験するために、アプリを更新して常に最新の状態を保つようにしてください。 

バーチャル イベントを非公開にし、招待していないゲストがミーティングやウェビナーに参加するのを防ぐには、いくつか方法があります。まず、新しいミーティングのたびにパーソナル ミーティング ID（PMI）を使用しないでください。過去のミーティングであなたが使用した PMI に部外者がアクセスした場合、次回のミーティングが部外者によって妨害される可能性があります。PMI は、信頼できる人との社内ミーティングに限って使用するようにしてください。 

ミーティングが始まったら、待機室を有効にすることで、入室しようとする人の承認と、部外者の入室拒否を行うことをおすすめします。サインイン済みユーザーだけがミーティングに参加でき、開始後はミーティングがロックされます。また、不要な会話や不適切な会話を避けるために、出席者のサインイン時にミーティングのパスコードを要求したり、ビデオを無効にしたり、オーディオをミュートしたりすることもできます。さらに、共有画面と注釈機能は、ホストまたは特定の出席者のみに限定することをおすすめします。画面共有オプションを無効にすると、注釈機能もオフになります。

Zoom を安全にご利用いただくための詳細情報については、セーフティ センターをご覧ください。

今では、ほとんどの人が、同じパスワードをアプリやデバイス間で使い回さず、それぞれに異なる複雑なパスワードを作成することの重要性を認識しています。さらに、Zoom では、保護を強化するために、シングル サインオン（SSO）連携と 2 要素認証連携により、Zoom Workplace アプリへのアクセスをシームレスで安全かつシンプルにしています。 

Zoom の SSO 機能では、組織の ID プロバイダーに同じ認証情報を使用できるため、別々のユーザー名とパスワードを保持しておく必要がありません。2 要素認証は、メインの Zoom サインインに加え、モバイルアプリやテキスト メッセージから生成されたワンタイム コードの入力を要求する 2 段階のサインイン方法としてセキュリティを強化します。

オプションのエンドツーエンド暗号化（E2EE）機能（現在、Zoom Meetings と Zoom Phone で利用可能）では、参加者のデバイスのみが暗号鍵を保有します。この機能を有効にすると、Zoom の一部の機能が制限されますが、さまざまな Zoom ソリューション間で簡単にコミュニケーションできるように、保護が追加されます。 

Zoom Workplace プラットフォームの暗号化に関する詳細情報は、こちらをご覧ください。

さらに、新しいポスト量子 E2EE 機能により、現在も将来もお客様のデータを安全に保つことができます。この高度な暗号化は、Zoom Meetings、Zoom Phone、および Zoom Rooms の現在のデータを保護し、量子コンピュータのみが生成できる前例のない潜在的な脅威からデータを保護するように設計されています。 

サイバーセキュリティは、IT チームやセキュリティ チームだけの問題ではありません。Zoom では、全従業員がサイバーセキュリティに対する意識を持つことを求めており、サイバー脅威から保護する方法を従業員に教育するための数多くの取り組みやリソースを開発しています。

弊社のセキュリティ意識向上およびトレーニング プログラムは、基本的なことにとどまらず、重要なスキルや知識を 1 年を通じて強化するために、従業員にとって記憶に残る体験となるよう特別に設計されています。以下はそのアクティビティの一例です。

• 毎月のサイバーセキュリティ意識向上キャンペーンと、関連するタイムリーなトピックに関するコミュニケーション
• フィッシング、インシデント対応、ポリシー、脅威 / 攻撃などのトピックに関する年次の情報セキュリティ学習 
• 特定の権限を持つ従業員、コードの作成や編集のアクセス権を持つ従業員など、一部の従業員を対象としたロールベースの学習
• 即時のユーザー フィードバック、知識の強化、ゲーミフィケーションを組み込んだ継続的なフィッシング シミュレーション
• さまざまなトピック、認定、コンプライアンス要件に特化したマイクロトレーニング 
• 現在のセキュリティ問題について議論し、フィードバックを行い、情報を配信し、チームや部署にメッセージを拡散する、部門横断的なチームメンバーで構成されるセキュリティ意識向上アンバサダー プログラム

Zoom では、従業員向けの社内セキュリティ プログラムに加え、リスクを軽減し、イノベーションを促進し、サービスを継続的に向上するために、より広範なコミュニティにおける以下のような幅広い取り組みも監督しています。

• 脆弱性報奨金制度: セキュリティ研究者と協力し（報酬も支払って）、Zoom の潜在的な脆弱性を見つけ、適切に報告してもらうことで、問題が公になる前に修正できるようにしています。
• 脅威インテリジェンス: Zoom Meetings が誤って公の場に投稿されていないかをチェックし、Zoom bombing（ミーティングの乗っ取り）から保護する方法をお客様にお知らせします。
• 脆弱性管理: 常にシステムをスキャンし、迅速な更新を行い、システムを最新の状態に保ちます。
• HackerOne スポンサーシップ: HackerOne のイベントにスポンサーとして参加し、世界中の優秀なエシカル ハッカーとコラボレーションして、Zoom プラットフォームのセキュリティを強化する機会を提供しています。 

多くの認定や認証を取得するには、Zoom のプロダクトやサービスが厳格なセキュリティおよびプライバシー基準を満たすよう、継続的な取り組みが必要となります。光栄なことに、弊社のプロダクトは多くの世界有数の組織から認められ、以下のような分野で認定を取得しています。 

• プライバシーとクラウド コンピューティング 
• データ プライバシー フレームワーク
• セキュリティとコンプライアンス管理
• 世界各地の行政機関によるセキュリティ基準
• PCI コンプライアンス

Zoom の認定、認証、基準の全リストをご覧ください。 

ことわざにもあるように、練習をすれば完璧になります。このような考えのもと、Zoom は、従業員やお客様がより自由にコミュニケーションやコラボレーションができるよう、セキュリティ対策やプロダクトのイノベーションを常に進化させています。従業員とお客様に継続的なリソースと教育を提供することで、サイバー攻撃が減り、オンライン環境の安全性が向上した未来を描くことができます。 

Zoom のセキュリティとプライバシーに関するニュースの最新情報については、トラスト センターをご覧ください。