Zoom によってサイバー空間での安全を確保する方法

サイバー犯罪者は年々巧妙化し、人々がもっとも脆弱な状態のときを狙って多層的で複雑な攻撃を仕掛けてきます。今やハッカーや詐欺師は、人々の油断を突き、その親切心につけ込む巧妙な手口で被害者に忍び寄ります。プライベート ネットワークの使用、固有のパスワード、デバイスのロックなどのベスト プラクティスは依然として強く推奨されていますが、データの安全性を維持するために、堅牢で効果的な対策を講じているツールやソフトウェア プロバイダーを選択する必要もあります。 

従業員が知らずにマルウェアをダウンロードしたり、意図せず個人データを誤った相手に公開したりした場合、職場も同様に情報漏洩の危険にさらされる可能性があります。このことを念頭において、Zoom を利用する際のオンラインでの安全性を確保するためのヒントをいくつかご紹介します。また、Zoom がお客様と従業員のデータを保護するために導入しているセキュリティ プログラムについてもご紹介します。 

Zoom Workplace アプリを初めてダウンロードする場合や、最新バージョンにアップデートする場合は、Zoom ウェブポータルやアプリ本体などの信頼できるソースからアクセスするか、Apple App Store などの公式マーケットプレイスからダウンロードするようにしてください。

予期せず、Zoom Workplace の最新バージョンをダウンロードするよう促すメールを受け取った場合は、送信者ドメイン（メールの返信先）を再度確認し、ダウンロード リンクの上に（クリックせずに）マウスを合わせ、それが正規のリンクであることを確認してください。実際の Zoom ドメイン（zoom.com、zoom.us）以外の場合、リンクをクリックしないようにしてください。    

以下の 2 通のメールは、正規のメールであるように見えますが、実際は偽物です。

Zoom Workplace を信頼できるソースからダウンロードしていることが確認できたら、最新機能へのアクセス、バグの修正、最高のオーディオおよびビデオ品質を体験するために、アプリを更新して常に最新の状態を保つようにしてください。 

バーチャル イベントを非公開にし、招待していないゲストがミーティングやウェビナーに参加するのを防ぐには、いくつか方法があります。まず、新しいミーティングのたびにパーソナル ミーティング ID（PMI）を使用しないでください。過去のミーティングであなたが使用した PMI に部外者がアクセスした場合、次回のミーティングが部外者によって妨害される可能性があります。PMI は、信頼できる人との社内ミーティングに限って使用するようにしてください。 

ミーティングが始まったら、待機室を有効にすることで、入室しようとする人の承認と、部外者の入室拒否を行うことをおすすめします。サインイン済みユーザーだけがミーティングに参加でき、開始後はミーティングがロックされます。また、不要な会話や不適切な会話を避けるために、出席者のサインイン時にミーティングのパスコードを要求したり、ビデオを無効にしたり、オーディオをミュートしたりすることもできます。さらに、共有画面と注釈機能は、ホストまたは特定の出席者のみに限定することをおすすめします。画面共有オプションを無効にすると、注釈機能もオフになります。

Zoom を安全にご利用いただくための詳細情報については、セーフティ センターをご覧ください。

今では、ほとんどの人が、同じパスワードをアプリやデバイス間で使い回さず、それぞれに異なる複雑なパスワードを作成することの重要性を認識しています。さらに、Zoom では、保護を強化するために、シングル サインオン（SSO）連携と 2 要素認証連携により、Zoom Workplace アプリへのアクセスをシームレスで安全かつシンプルにしています。 

Zoom の SSO 機能では、組織の ID プロバイダーに同じ認証情報を使用できるため、別々のユーザー名とパスワードを保持しておく必要がありません。2 要素認証は、メインの Zoom サインインに加え、モバイルアプリやテキスト メッセージから生成されたワンタイム コードの入力を要求する 2 段階のサインイン方法としてセキュリティを強化します。

ハイブリッドワークやリモートワークの普及に伴い、画面共有とリモートコントロールアクセスは重要なコラボレーションツールとなりました。そのため、どの機能をいつ使用すべきかを理解しておくことが重要です。画面共有により、プレゼンターはスライド、デモ、トレーニング資料などのビジュアルコンテンツを表示でき、ホストや参加者は共有画面に注釈を付けることができます。また、リモートコントロールアクセスにより、参加者は権限を得ることで他の参加者の画面を操作することができます。これは通常、ITサポートやソフトウェアのインストール、ドキュメントの共同編集などに使用されます。

どちらの機能にも、セキュリティ上の重要な考慮事項があります。画面共有のリスクには、機密情報が誤って漏洩する可能性や、権限が適切に制限されていない場合にミーティングが中断される可能性などがあります。リモートコントロールアクセスは、外部ユーザーにマウスやキーボードの操作といったコンピュータ機能へのフルアクセス権限を与えるため、より深刻なリスクを伴います。信頼できない第三者にアクセス権限を与えると、悪意のある行為が行われる可能性があるからです。

意図的に攻撃者にアクセス権を渡すことを計画するような人はいませんが、悪意のある行為者の手口が巧妙になるにつれ、意図せずに間違った人にアクセス権を与えてしまう可能性があります。このような機能を安全に使用するため、ここでは、推奨されるベストプラクティスの一部をご紹介します。

• 画面共有をホストと、共同ホストやパネリストなどの指定された参加者に制限します。この制限は、設定の中でデフォルトで行うことができます。あるいは、ミーティング中の機能を使用して、必要に応じてこの権限を調整することもできます。 
• 画面を共有する際は、機密ドキュメントとタブが閉じていることを確認します。可能であれば、特定のアプリケーションまたはタブのみを共有するようにします。

コンピューターへのリモートアクセスを許可する際は、次の手順に従い、悪意のある行為を阻止するようにします。 

• 一方的に送られてくる連絡先には関わらない：サポートリクエストは信頼できる人に自分から送信するようにし、相手から送信させないようにします。知らない人や自分から連絡を取ったことのない人からのリンクをクリックしたり、リクエストに応じたりしないでください。
• とにかく確認、確認、確認：正当な組織に所属していると主張する人がいる場合、その人物の身分を独立した第三者機関を通じて確認します。（その人物が提供する連絡先情報ではなく、ウェブサイトから得られる）公式な連絡先情報を調べて、直接連絡を取ります。
• 緊急性を疑う：詐欺師は多くの場合、パニックを煽って、急いで決断させようとします。時間をかけて質問し、周囲に流されないようにしましょう。
• リモートコントロールの意味を理解する：リモートコントロールアクセスを許可するということは、他人に自分のコンピュータを操作させることに抵抗がないということを意味します。この段階で、悪意のある攻撃者は他人になりすましてデバイスにアクセスする可能性があるため、リモートコントロールアクセス権限を付与する前に慎重に検討しましょう。

Zoomには、リモートアクセスを安全に行うことができるように設計された、次のようなコントロール機能が搭載されています。

• 参加者リストを確認する：多くの参加者を対象とするZoomミーティングを主催する場合、あるいはZoomアカウントにサインインしていない可能性のある出席者がいる場合は、ミーティングの前に参加者リストを慎重に確認し、リモートコントロールアクセスをリクエストしている可能性のある人を把握します。 
• アクセスを取り消す：悪意のある行為を行っていると疑われる人がいる場合は、直ちにその人物のリモートコントロールアクセスを取り消します。Zoomミーティングコントロールを使ってリモートコントロールアイコンをクリックし、「リモートコントロールを停止」を選択することで、アクセスを取り消すことができます。
• ミーティングをロックする：ミーティングを主催する場合、新しい参加者が参加できないようにミーティングをロックします。
• 参加者のリモートコントロールを無効にする：ホストとして、リモートコントロール機能が不要な場合、参加者全員に対してデフォルトでこの機能を無効にすることができます。ミーティングの外部参加者として、アカウント設定で「外部ユーザーによる画面操作を禁止する」を選択できます。 

誰とやり取りしているのかを常に把握できるとは限らないため、当社は他のユーザーとコミュニケーションを取る際に信頼を高め、より安全なインタラクションを促進する追加機能を開発しました。

• ドメインの関連付け（Zoomビジネスライセンスレベル以上の有料アカウントで利用可能）は、ドメインを検証し、Zoomプロファイルカードに表示するため、Team Chatの会話やミーティング、ウェビナーで他のユーザーにも見えるようになります。対象アカウントのアカウントオーナーと管理者は、アカウントレベルでこの機能を有効にすることで、Zoomプラットフォーム上で他のユーザー（社内外）とやり取りするすべての人が、組織の一員として認識されるようにし、安心を与えることができます。これは、自分の組織内のユーザーを特定し、外部参加者が検証済みドメインから来ていることを確認するのに役立ちます。
• ZoomのOktaでのエンドツーエンド暗号化認証により、組織はOktaの身元管理プラットフォームを使用してミーティング出席者の身元を確認できます。有料アカウントで利用可能なこの機能は、E2EEミーティングの各参加者が本人であることを確認することで、セキュリティリスクを軽減するのに役立ちます。ミーティングに参加したユーザーは、認証済みIDを示すバッジを表示できます。バッジにカーソルを合わせると、メールアドレスや、Oktaアカウントに関連付けられている会社のドメインなど、詳細情報が表示されます。Okta認証について詳しくは、こちらをご覧ください。

これらの機能を組み合わせることで、悪意のある攻撃者がZoom Team Chat、Zoom Meetings、Zoom Webinarsで正当なユーザーや組織になりすますことがより困難になります。 

オプションのエンドツーエンド暗号化（E2EE）機能（現在、Zoom Meetings と Zoom Phone で利用可能）では、参加者のデバイスのみが暗号鍵を保有します。この機能を有効にすると、Zoom の一部の機能が制限されますが、さまざまな Zoom ソリューション間で簡単にコミュニケーションできるように、保護が追加されます。 

Zoom Workplace プラットフォームの暗号化に関する詳細情報は、こちらをご覧ください。

さらに、新しいポスト量子 E2EE 機能により、現在も将来もお客様のデータを安全に保つことができます。この高度な暗号化は、Zoom Meetings、Zoom Phone、および Zoom Rooms の現在のデータを保護し、量子コンピュータのみが生成できる前例のない潜在的な脅威からデータを保護するように設計されています。 

サイバーセキュリティは、IT チームやセキュリティ チームだけの問題ではありません。Zoom では、全従業員がサイバーセキュリティに対する意識を持つことを求めており、サイバー脅威から保護する方法を従業員に教育するための数多くの取り組みやリソースを開発しています。

弊社のセキュリティ意識向上およびトレーニング プログラムは、基本的なことにとどまらず、重要なスキルや知識を 1 年を通じて強化するために、従業員にとって記憶に残る体験となるよう特別に設計されています。以下はそのアクティビティの一例です。

• 毎月のサイバーセキュリティ意識向上キャンペーンと、関連するタイムリーなトピックに関するコミュニケーション
• フィッシング、インシデント対応、ポリシー、脅威 / 攻撃などのトピックに関する年次の情報セキュリティ学習 
• 特定の権限を持つ従業員、コードの作成や編集のアクセス権を持つ従業員など、一部の従業員を対象としたロールベースの学習
• 即時のユーザー フィードバック、知識の強化、ゲーミフィケーションを組み込んだ継続的なフィッシング シミュレーション
• さまざまなトピック、認定、コンプライアンス要件に特化したマイクロトレーニング 
• 現在のセキュリティ問題について議論し、フィードバックを行い、情報を配信し、チームや部署にメッセージを拡散する、部門横断的なチームメンバーで構成されるセキュリティ意識向上アンバサダー プログラム

Zoom では、従業員向けの社内セキュリティ プログラムに加え、リスクを軽減し、イノベーションを促進し、サービスを継続的に向上するために、より広範なコミュニティにおける以下のような幅広い取り組みも監督しています。

• 脆弱性報奨金制度: セキュリティ研究者と協力し（報酬も支払って）、Zoom の潜在的な脆弱性を見つけ、適切に報告してもらうことで、問題が公になる前に修正できるようにしています。
• 脅威インテリジェンス: Zoom Meetings が誤って公の場に投稿されていないかをチェックし、Zoom bombing（ミーティングの乗っ取り）から保護する方法をお客様にお知らせします。
• 脆弱性管理: 常にシステムをスキャンし、迅速な更新を行い、システムを最新の状態に保ちます。
• HackerOne スポンサーシップ: HackerOne のイベントにスポンサーとして参加し、世界中の優秀なエシカル ハッカーとコラボレーションして、Zoom プラットフォームのセキュリティを強化する機会を提供しています。 

多くの認定や認証を取得するには、Zoom のプロダクトやサービスが厳格なセキュリティおよびプライバシー基準を満たすよう、継続的な取り組みが必要となります。光栄なことに、弊社のプロダクトは多くの世界有数の組織から認められ、以下のような分野で認定を取得しています。 

• プライバシーとクラウド コンピューティング 
• データ プライバシー フレームワーク
• セキュリティとコンプライアンス管理
• 世界各地の行政機関によるセキュリティ基準
• PCI コンプライアンス

Zoom の認定、認証、基準の全リストをご覧ください。 

ことわざにもあるように、練習をすれば完璧になります。このような考えのもと、Zoom は、従業員やお客様がより自由にコミュニケーションやコラボレーションができるよう、セキュリティ対策やプロダクトのイノベーションを常に進化させています。従業員とお客様に継続的なリソースと教育を提供することで、サイバー攻撃が減り、オンライン環境の安全性が向上した未来を描くことができます。 

Zoom のセキュリティとプライバシーに関するニュースの最新情報については、トラスト センターをご覧ください。