ソースコード レビューに関する Zoom と MITRE の提携

今日のサイバーセキュリティ情勢における複雑な脅威に対応するため、私たちは Zoom プラットフォーム保護に関する包括的なアプローチを採用してきました。 このアプローチには、攻撃 / 防御セキュリティ チームのスタッフ配置や、Zoom トラスト センターおよびラーニング センターでの教育やトレーニングに関する強固なリソース構築などが含まれます。

これらの取り組みを補完するために、最近 Zoom は MITRE の公益技術財団である MITRE Engenuity と提携しました。この提携は、オンラインのビデオ コラボレーション ツールに影響を及ぼすもっとも高頻度かつ重大な脆弱性のさらなる把握を目的としています。同財団による調査の一環として、2021 年、Engenuity チームにより、Zoom のコア ソースコードがレビューされました。このレビューには行政機関向け Zoom サービスが含まれています。 

このレビュー プロセスの主な特徴の一部を以下に示します。

• レビュー期間中にソースコードの機密性を保護するための MITRE Engenuity チームメンバー専用の調査環境。
• レビューを合理化するための、Zoom 社内セキュリティ / エンジニアリング チームから MITRE Engenuity へのプロセス全体を通じた継続的サポート。
• 脆弱性やバグを検出するうえでの、ソースコードの静的分析と手動調査。

このパートナーシップの副産物として、Zoom はセキュリティ体制を強化し、以前は不明であった多数の脆弱性を修正できました。

適切なテスト（自動の静的コード分析や手動のコード調査など）が行われない場合、多様なソフトウェアの脆弱性タイプが過去の開発や特定のビデオ コラボレーション ツールのコードベースに存続することでしょう。

Zoom は、セキュリティに積極的に着目し、MITRE Engenuity のようなサイバーセキュリティ業界における中立的な協力者と提携しました。私たちはこのような行動を他の組織にも推奨します。

MITRE Engenuity、サイバーセキュリティ エンジニア部門責任者、Drew Buttner 氏

MITRE Engenuity の調査は、公益を目的としており、サードパーティ テクノロジーの推奨や承認を行うものではありません。

Zoom では、全体的なプラットフォームのセキュリティと Zoom 体験の水準を引き上げる新しい方法に常に着目しています。

Zoom のプライバシーとセキュリティについては、Zoom トラスト センターにお問い合わせください。