ウェビナー概略 - 90日セキュリティプランの進捗状況に関するレポート：7月1日

90日セキュリティプランも最終段階を迎えた今週の「Ask Eric Anything」では、セキュリティプラン開始以来の進捗状況や今後の方向性を中心に、当社が行った主要なアップデート、90日セキュリティプランの一環としてお客様に行ったコミットメントの状況、Zoom CISO評議会に関する最新情報などを紹介しました。

Zoom CEOのEric S. Yuanは、COOのAparna Bawa、CPOのOded Gal、副CIO兼CISO評議会会長のGary Sorrentino、そして新たにCISOに就任したJason Leeと共にセッションに登場しました。

Q&Aセッションには、CTOのBrendan Ittelson、セキュリティエンジニアリング責任者のMax Krohn、コンプライアンスおよび倫理担当最高責任者のLynn Haalandも参加しました。

製品最新情報

この90日間で実施したプラットフォームの主なアップデートについて、Odedが次にように簡単にまとめました。

• Zoom 5.0リリース： 現在の市場で最もセキュアな暗号化標準であるAES 256ビットGCM暗号化を搭載したZoom 5.0を4月27日にリリースしました。5月30日、AES 256ビットGCM暗号化がシステム全体で有効になりました。
• ユーザーインターフェースの新しいセキュリティアイコン セキュリティアイコンを使用することで、ホストおよび共同ホストは、ミーティングをロックする機能、待機室の有効化、参加者の画面共有、チャットへの参加、名前の変更、ミュート解除などの機能を管理するオプションを含め、ミーティングの重要なセキュリティコントロールに即座にアクセスできます。
• 「ユーザーを報告する」機能： ホスト/共同ホストは、ミーティングの進行を邪魔をするユーザーやインシデントをZoomのTrust & Safety（信頼性および安全性向上）チームに報告することができ、当社は報告を受けた後、プラットフォームの悪用の疑いを審査し、適切な措置を講じます。
• ミーティングのセキュリティのデフォルト設定をアップデート： パスコード、待機室、ホストのみの画面共有は、無料/ベーシック、およびシングルプロアカウントでは、デフォルトでオンに設定されています。無料/ベーシックアカウントユーザーは、ミーティングのパスコードは必須に設定されています。
• データルーティングのカスタマイズ：ホストがデータをより細かくコントロールできるようにするために、4月18日、有料アカウントのお客様向けにデータルーティングオプションを実装し、データセンターの設定をカスタマイズできるようにしました。Zoom管理者と有料アカウントオーナーは、アカウント、グループ、またはユーザー、ミーティングのレベルで、転送中のデータに関して特定のデータセンター地域をオプトアウトまたはオプトインできるようになりました。

今後、新機能を開発する際に、製品や機能開発の各段階でセキュリティとプライバシーを優先させる仕組みを導入しました。

ゲストを交えたCISO評議会に関する最新情報

Garyは、CISO評議会の2人のメンバー、PwCのグローバルおよび米国CITO（最高情報技術責任者）であるJames Shira氏とRalph Laurenのグローバルインフラ担当CSO（最高セキュリティ責任者）兼CPO（最高個人情報保護責任者）兼シニアバイスプレジデントであるCy Fenton氏にインタビューを行い、評議会の権能やミーティングに関するさまざまな情報を提供しました。このセッションのハイライトは以下のとおりです：

Cy、ZoomのCISO評議会への参加を決めたのはなぜですか？

「決断したのは簡単でした。Zoomは、エンドユーザーにサービスを提供するためのツールキットの核であり、重要な要素となっています。私たちは、COVID-19以前は、会議ツールとしてZoomを使用していましたが、それが、ほぼすべてのミーティングを毎日、1日に何度も使用するようになりました。Zoomは、当社にとって非常に重要なベンダーであり、意見や見解を提供し、ロードマップに関する知識を深めることができたのは素晴らしい機会でした」

James、90日セキュリティプランの進捗状況についてどのように考えていますか？

「私は、大規模なエンタープライズセキュリティの変革に何度も関わってきましたが、忘れてはいけないのはそれが『移行の過程』だということです。Zoomの場合、特にユニークなのは、その移行の過程が現実の世界かつリアルタイムで、公の場で行われたということです。そういう意味では、非常にうまくいっていると思います」

ZoomのCISO、Jason Leeの紹介

EricがZoomの新しいCISO、Jason Leeを紹介しました。20年に及ぶ経験で培った情報セキュリティやミッションクリティカルなサービスの運用に関する専門知識を活かした手腕が期待されます。最近まで、Salesforceでセキュリティ運用担当シニアバイスプレジデントを務めており、全社的なネットワークおよびシステムセキュリティ、攻撃的セキュリティチームなど、重要なエンドツーエンドのセキュリティ運用を顧客と従業員に提供するグローバル組織の責任者として活躍していました。

「Zoomの優秀なチームと一緒に仕事をできることを嬉しく思います」と、Jasonは語りました。「最近のセキュリティ面の進歩は非常に素晴らしく、今後の展開が非常に楽しみです」

90日セキュリティプランの取り組みのレビュー

ZoomのCOO、Aparna Bawaは、90日セキュリティプランの一環として、お客様に約束した内容を説明しました。

• 4月1日より、機能開発を凍結し、エンジニアリングのリソースをすべて信頼性、安全性、個人情報の問題に集中して取り組むようにシフトする。
• 第三者機関の専門家や代表ユーザーと協力して包括的なレビューを行い、新たな使用事例におけるセキュリティとプライバシーを理解し、セキュリティ保護に努める。
• データ、記録、コンテンツのリクエストに関する詳細を示す透明性レポートを作成する。
• バグバウンティプログラムを強化する。
• CISO評議会を立ち上げる。
• 問題点をさらに特定して解決するために、ホワイトボックス侵入テストを同時に実施する。
• 毎週水曜日、ウィークリーウェビナーを開催し、プライバシーとセキュリティに関する最新情報をコミュニティに提供する。

こうした取り組みの状況については、90日セキュリティの経過を綴ったZoomブログのほか、2020年7月1日以降の主な更新内容をまとめたPDFをご覧ください。

Q&A

Zoomの90日セキュリティプランを実行する上で一番大変だったこと、そしてリーダーとして学んだことは何ですか？

「Zoomは本来、企業向けに設計されたもので、プライバシーやセキュリティ、独自の使用事例など、初めて利用するユーザーのニーズに対応することが大きな課題でした」と、Ericは説明しました。また、お客様の声に耳を傾け、透明性を守り、可能な限り最高のプラットフォームを構築することに専念すれば、Zoomは何でも克服できることを学んだと説明しました。

Zoomの90日セキュリティプランが完了するということは、セキュリティ以外の機能リリースを再開するということですか？

Zoomは、今後もセキュリティに重点を置くことを約束します。また、90日プランの間凍結していたセキュリティ以外の機能に関する取り組みを再開し、現在だけでなく、将来的な働き方に合う新機能や製品を作っていく予定です。

強制的なセキュリティ設定は、アカウントレベルで設定するのではなく、グループレベルで設定できますか？

はい。アカウント、グループ、またはユーザーレベルで設定できます。

CISOとして、エンドユーザーにセキュリティのベストプラクティスを教育するための最善の方法は何だと思われますか？

ゲストのCISO、Cy Fenton氏は、企業レベルでセキュリティについて従業員を教育する最善の方法は、強力なセキュリティ教育プログラムを開発し、従業員が直面しているセキュリティ上のリスク、その対策方法、日常のワークフローにおけるセキュリティが果たす役割について話し合うことによって、従業員がセキュリティの重要性を理解できるようにすることだと語りました。

Zoomが政府によるリクエストのガイドを発行したのはなぜですか？

Aparnaは、Zoomがこのガイドを発行したのは、当社の運営方法についてオープンで透明性を保つための継続的な取り組みの一環だと説明しました。Zoomでは、これを政府からのさまざまな要請に対応する際に必要な連絡先情報や基準、プロセスなど、Zoomと政府の連携に関する青写真であると考えています。

Zoomの一般的なセキュリティへの取り組みとは？

Jasonは、業界標準と公開フレームワークを使用して、Zoomのセキュリティ対策を構築し、Zoomのセキュリティ対策の機能や成熟度を明確にしたいと、説明しました。

システム管理者は、ユーザーのクライアントバージョンを確認できますか？

システム管理者は、ダッシュボードのユーザー管理セクションに移動し、右上の歯車をクリックして、クライアントのバージョンを表示する追加の列を表示させることができます。ビジネスプランやそれに相当するプランの管理者は、Zoomダッシュボードにアクセスすると、アカウント内のクライアントバージョンの分布を示すグラフが表示されます。また、 「ミーティング」 タブに移動してミーティングのメタデータを表示し、参加者が使用しているクライアントバージョンを確認することもできます。

クラウド型のサービスに移行する企業が増える中、ベンダーを評価して、サイバーセキュリティの責任を問うにはどうすれば良いでしょうか？

ベンダーの現在形といままでの革新性を検証し、組織の経営陣の質も調べるのだ、Jasonは説明しました。彼は他のCISOに対しても、組織での経験について尋ねました。組織の問題や課題に対処する方法について透明性を保つことも重要だと、Cyが付け加えました。

皆様のご協力に感謝します

今週のセッションにご参加いただきありがとうございました。質問を送信してくださったユーザーの皆様にも感謝を申し上げます。Zoomを世界で最も安全なエンタープライズ向けコミュニケーションプラットフォームにするための皆様のご協力に感謝いたします。

今週のセッションに参加できなかった方も、こちらで録画をご視聴いただけます。