Zoomのセキュリティリスクや安全性は?無料版・有料版の具体的な対策
目次
AI搭載型コラボレーションプラットフォームとして多くの企業で重宝されるZoom Workplaceは、過去にZoomミーティングのセキュリティ上の懸念点が話題になったこともありました。セキュリティ重視の機能追加やサービス改善により安全性・信頼性は向上していますが、ビジネスユースには不安があるかもしれません。
そこでこの記事では、Zoom Workplaceの安全性や過去に問題になったセキュリティ上の懸念点、セキュリティを高める方法を解説します。無料プランと有料プランのセキュリティ機能の違いも知り、Zoom Workplaceをより安全に活用しましょう。
Zoom Workplaceのセキュリティは安全・安心?
Zoomミーティング・Zoomウェビナー・Zoomチームチャット・AI Companionなど、各種ZoomプロダクトはISMAP(政府情報システムのためのセキュリティ評価制度)に登録されています。Zoom Workplaceは、日本政府のセキュリティ要件に基づき、安全性と信頼性が確認されたサービスです。さらに、国際的なセキュリティ規格にも準拠しており、安全な運用を支える機能も充実しています。
一方で、アカウント管理者やミーティングのホスト(主催者)の設定に不備があると、思わぬトラブルを招く可能性があります。使用方法によってはリスクも存在するため、組織のニーズに応じたセキュリティ構成を検討することが重要です。
過去に問題になったZoomのセキュリティ上の懸念点
Zoomの利用者が爆発的に増加したコロナ禍の時期に、セキュリティ上の問題が世間を賑わせたこともありました。いくつかの大きな問題が知られていますが、Zoom社の迅速かつ適切な対処により、現在では解消されています。
デバイス関連の情報が一部の外部サービスに収集されていた
当初、Zoom社はiOS用Facebook SDK(ソフトウェア開発キット)を使用し、iPhoneなどからFacebookアカウントでログインできる機能を提供していました。ところが2020年3月、Facebook SDKがOSの種類やバージョン、ディスク容量など、サービス提供に不要なデバイス関連情報を収集していることが判明しました。
Zoomの利用内容に関する情報は含まれていなかったものの、Zoom社は速やかにiOSクライアントからFacebook SDKを削除した修正版をリリースし、Webブラウザ経由でFacebookにログインできる仕様へと変更しています。
エンドツーエンド暗号化(E2EE)に対応できていなかった
Zoom社は当初、「Zoomミーティングはエンドツーエンド暗号化(E2EE)に対応している」と表記していましたが、実際にはE2EEによる暗号化ではなかったという問題がありました。E2EEとは、暗号鍵を利用者側で管理し、サービス提供者(Zoom社)を含む第三者が復号できないようにする暗号化方式です。
この問題についてZoom社は、一般的なE2EEに対応していなかったことを認め、E2EEを有効化できるオプションを追加しました。E2EEは無料プランでも利用可能ですが、一部機能に制限があります。なお、Zoomミーティングはデフォルトで強力なAES256-GCM暗号化を採用しているため、特別にセキュリティが重視される場合のみE2EEの使用が推奨されます。
一部データが中国国内のサーバを経由する可能性があった
カナダの研究機関は2020年4月、北米で行われたZoomミーティングの一部データが、本来経由しないはずの中国国内サーバを通過する可能性を指摘しました。Zoom社は、これは設定ミスによるものであると認め、データが中国国内サーバを経由しないよう迅速に修正しています。
また、「プロ」以上の有料プランでは、Zoomミーティングのデータ転送において使用するデータセンターの地域をカスタマイズすることが可能です。
ミーティングIDの漏えいなどによる「Zoom爆弾」が頻発した
2020年頃、Zoom爆弾(Zoom-Bombing)と呼ばれる愉快犯的な行為が、日米などで大きな問題となりました。Zoomを使ったオンライン会議や遠隔授業などに無関係な第三者が乱入し、不快な画像を表示するなどして、会議の進行妨害や参加者に対する嫌がらせを行うものです。
この問題を受けてZoomミーティングでは、ミーティングパスワード(パスコード)や待機室の使用が必須化されました。現行バージョンでも、不正入室を防止するセキュリティオプションの完全な無効化はできなくなっています。
無料プランでもできるZoomのセキュリティを高める方法
Zoom Workplaceは、セキュリティを重視した機能追加や改善が継続的に行われています。ミーティングのホスト(主催者)が設定を適切に調整することで、さらに安心して利用できます。ここでは、無料プランのユーザー(ベーシックユーザー)でも実践できるセキュリティ強化の方法を紹介します。
パーソナルミーティングIDはビジネスに使用しない
パーソナルミーティングID(PMI)を使うミーティングルーム(パーソナルミーティングルーム)は、家族とのプライベート利用などに便利です。しかし、PMIを知っているユーザーは常に同じミーティングIDで参加できるため、ビジネス利用にはリスクがあります。意図しない第三者の入室などでPMIが流出しても、無料プランのユーザー(ベーシックユーザー)はPMIを変更できません。
PMIを使わない場合は、毎回異なるミーティングIDとパスコードが自動生成されます。参加者を招待する手間は増えますが、セキュリティを重視するならPMIを使用しない形式でミーティングを主催しましょう。
待機室を利用してミーティングルームへの不正入室を防止する
待機室は、Zoomミーティングにおける基本的なセキュリティ対策の1つです。参加者を直接ミーティングルームに入れず、待機室に送って一時保留することで、ホストが許可したユーザーだけを入室させられます。ミーティングIDやパスワードが流出しても、第三者は待機室までしか到達できません。
ミーティングをスケジュールする際は、[ミーティングセキュリティ]欄で[待機室]にチェックを入れることで有効化できます。
予定された参加者がそろったらミーティングをロックする
Zoomミーティングは、ホストによる簡単な操作でロックをかけ、それ以降の入室を禁止できます。予定された参加者がそろったら、[ホストツール]→[ミーティングをロックする]の順にクリックしましょう。ロックされたミーティングには新しい参加者が入室できなくなるため、仮にミーティングIDやパスコードが漏えいしていても、意図しない第三者が入室することを避けられます。
Zoomウェブポータルからセキュリティ設定を見直す
画面共有時の参加者による注釈や、参加者同士のプライベートチャットなど、望ましくないアクションを実行できないようにすることで、ミーティング中のトラブルを未然に防止できます。
自身が主催するミーティングのセキュリティ設定は、Zoomウェブポータル(https://zoom.us/ja/signin#/login)から有効化・無効化を調整できます。[マイアカウント]→[設定]→[ミーティング]の順に選択し、事前に設定を見直しておきましょう。
ミーティング中に参加者が利用できる機能をコントロールする
ミーティング中には、[参加者]メニューから個別にミュート設定などを行えます。
[ホストツール]メニューをクリックすると、「次のことを参加者全員に許可:」欄から[画面共有][チャット][自分のミュートを解除する][ビデオをオンにする]などを選択し、許可・禁止を一括で設定できます。また[参加者アクティビティを一時停止する]をクリックすると、全員のミュートやビデオ・画面共有の停止ができ、トラブル発生時の緊急対応ができます。
Zoom Workplaceアプリを最新版にアップデートする
Zoom社は、脆弱性(セキュリティ上の欠陥)への対応や、より高度なセキュリティ機能の実装などを迅速に行います。Zoom Workplaceアプリは頻繁に新しいバージョンがリリースされ、ユーザーがアプリをアップデートすることで既知の問題を解消できます。必要最低バージョン以前のアプリを使用しているユーザーは自動的にサインアウトされるため、いずれにせよ定期的なアップデートは必須です。
Zoomデスクトップクライアントの場合、右上のプロフィールアイコン→[更新をチェック]の順にクリックし、最新バージョンにアップデートしましょう。また、プロフィールアイコン→[設定]→[一般]タブから、[アプリを自動的に更新する]設定もできます。
有料プランでできるZoomのセキュリティを高める方法
組織内のZoom Workplace利用者が全てベーシックユーザーの場合、ミーティングのホストになる各ユーザーがセキュリティ設定を管理します。また利用できるセキュリティ機能は限定的です。「プロ」以上の有料プランなら組織内ユーザーのセキュリティ設定を一括で管理でき、より高度なセキュリティ機能も活用できます。
アカウントレベルまたはグループレベルでセキュリティ設定を管理
Zoom Workplaceの有料プランでは、1つのアカウントに組織内ユーザーを統合し、アカウント全体または特定グループのメンバーに対して、一括でセキュリティ設定を変更できます。
例えば、プライベートチャットや画面共有の注釈など、組織内ユーザーがZoomミーティングで利用できる機能の有効化・無効化をコントロール可能です。さらに、サインイン時に使用するパスワードの要件や有効期限を設定し、強力なパスワードへの定期的な変更を義務づけることもできます。
「ビジネス」以上の有料プランでは、ダッシュボードから組織内で利用されているZoom Workplaceアプリのバージョン比率や、ミーティング中の機能利用状況を詳細に確認できます。これにより、現状の問題把握やトラブルの未然防止に役立ちます。
【関連記事:Zoomのビジネスライセンスの魅力は価格以上?有料プランの選び方】
認証プロファイルや手動認証で意図しないミーティング参加者を制限
Zoomミーティングへの不正参加を防ぐ方法のひとつに、認証プロファイルの活用があります。プロ以上の有料プランでは、アカウントに認証プロファイルを有効化し、特定の認証方法を設定することで「○○に認証されていないユーザーはミーティングに参加できない」という制限を設けられます。参加が許可されるのは、次のような認証済みユーザーのみです。
- 組織のアカウントにサインインしているユーザー
- 指定のドメインを含むメールアドレスでサインインしたユーザー
- 指定のSSO(シングルサインオン)による外部認証を経由したユーザー
さらに、事前登録したユーザーだけがミーティングに参加できる設定も可能です。ビジネス以上の有料プランであれば、ホストが手動で承認するまで参加用URLの送信を保留するなど、より詳細な管理も行えます。
二要素認証やSSOによるサインインで組織内ユーザーの「なりすまし」を防止
プロ以上の有料プランでは、アカウント内の全員やグループのメンバーに対し、二要素認証によるサインインを強制できます。Zoomにおける二要素認証は、ZoomウェブポータルやZoom Workplaceアプリにサインインする際、スマホの認証アプリやSMSで送信されるワンタイムパスワードによる追加認証を行う、2段階のサインイン方式です。組織内ユーザーが所有するスマホでの認証が必要となるため、第三者による不正サインインや操作を防止できます。
またビジネス以上の有料プランであれば、組織のメールアドレスドメインやサインインページのバニティURL(「https://yourcompany.zoom.us」など)を設定し、企業の認証情報を使用したSSO(シングルサインオン)による認証も行えます。
Zoom有料プランでセキュリティ強化するならイッツコム!
ZoomミーティングはZoom Workplaceの主要機能の1つですが、不正入室などのリスクに対応するにはセキュリティ設定を調整することが大切です。ただし無料プランの場合、利用できるセキュリティ機能は基本的なものに限られます。
プロ以上の有料プランへアップグレードすると、さらに高度なセキュリティオプションを利用でき、全ての組織内ユーザーに対する一括設定も可能です。また、1回当たり30時間までのミーティングを回数無制限で主催できるようになり、AI Companionをはじめとした強力な新機能の利用制限もなくなります。
イッツコムなら、プロ1ライセンスの最小構成から、日本語サポート込みのZoom Workplace有料プランをお得に契約できます。業務効率化・生産性向上を目指す運用方法の提案などもお任せください。
【関連記事:Zoomの法人契約は代理店経由ですべき?有料プランの選び方を解説】
まとめ
過去に大きな話題になったZoomのセキュリティ上の問題は、すでに解消されています。ミーティングのホストが設定を調整すると、より安心・安全に利用できます。有料プランなら、組織内ユーザーのセキュリティ設定の一元管理なども可能です。
AI搭載型コラボレーションプラットフォーム「Zoom Workplace」としてリブランディングされてからは、業務効率化・生産性向上に役立つ機能性も大きな魅力となっています。Zoom Workplaceの本格活用をお考えなら、最適なプラン選びや効果的な運用のトータルサポートができるイッツコムにご相談ください。
