急成長のビデオ会議で浮き彫りになるセキュリティとプライバシーの課題
ビデオ会議のセキュリティをめぐってZoomとマイクロソフトがつばぜり合い
2020年04月13日 09時00分更新
新型コロナウイルスの感染防止のため、在宅勤務を推進する企業が増加し、ビデオ会議の需要が高まっている。しかし、急成長したZoomはセキュリティやプライバシーの課題が指摘されており、失速感は否めない。一方、Microsoft Teamsを擁するマイクロソフトはこうしたZoomの動きを牽制しつつ、セキュリティの実装に自信を示している。
急成長するZoomにセキュリティとプライバシーの課題
新型コロナウイルスの感染拡大を防ぐため、各国で外出を自粛する動きが加速している。リモートワークが可能な企業においては、原則在宅勤務とする企業も増加している。それに伴って、ビデオ会議が可能なコラボレーションツールの利用が促進されている。
マイクロソフトによると、Microsoft Teamsの3月における1日の利用者数は4400万人を超え、毎日9億件以上の会議に利用されたという。さらにこれが増加傾向にあるほか、3月31日にはTeamsでのミーティング時間が27億分となり、Teamsのビデオ通話の総数は、3月だけで1000%以上も増加したとのことだ。また、Zoomも3月の一日の会議参加者数は2億人を突破したと発表。シスコシステムズのWebExにおいても、3月の利用者数は3億2400万人に達したとの報道が行なわれている。
いずれも、世界的な新型コロナウイルスの感染拡大によって、利用が拡大したもの。Teamsの場合は、一日あたりの利用者数が7日間で1200万人も増加。増加の勢いはさらに加速しているようだ。Zoomでは、2019年12月の約1000万人に比べると、利用者数は約20倍に増加した計算だ。
だが、その一方で、セキュリティやプライバシーの問題も発生している。
特に問題となっているのが、Zoomにおいて発生した「Zoom-bombing(Zoom爆弾)」と呼ばれる、オンライン会議への乱入だ。招待されていない人物が、企業のオンライン会議や学校によるオンライン授業に乱入し、それを妨害するという動きがいくつも見られたのだ。
会議のURLが、SNSなどで広く公開されたり、パスワードの活用に問題があったりといったことが原因だ。こうした事件の発生を受けて、国内の企業でも、社内会議や外部との打ち合わせに、Zoomの使用を禁止する例が出始めている。
2020年4月1日には、Zoom Video Communicationsのエリック・ユアンCEOが、同社ブログのなかで、「プライバシーとセキュリティへの期待に応えられなかったことを認識している。そのことを深くお詫びする」と陳謝。「今後90日間、問題をよりよく特定し、対処し、積極的に問題を解決するために、必要なリソースを投入することを約束する。お客様の信頼を維持するために必要なことを行ないたい」とした。新機能の開発を止めてでも、これらの課題解決を優先することを示してみせたといえる。
Zoom Video Communicationsのエリック・ユアンCEO
また、同社では、米Facebookや米Yahooでセキュリティ責任者を務めたアレックス・ステイモス氏を外部アドバイザーに迎えたり、「CISO Council」や「Advisory Board」を設置し、専門家の意見をもとにした対策を図る姿勢も示している。
このブログのなかで、同社のユアンCEOは、「当社のプラットフォームは、主に企業のお客様、つまり完全なITサポートを受けている大規模な機関向けに構築された。その範囲は、世界最大の金融サービス企業から大手通信プロバイダー、政府機関、大学、医療機関、遠隔医療機関まで多岐にわたる。世界中の何1000もの企業は、私たちのユーザー、ネットワークおよびデータセンターの徹底的なセキュリティレビューを行ない、自信を持って完全な展開のためのZoomを選択した」と、セキュリティ面では高い評価を得ていることを示した。
その一方、「私たちは、数週間のうちに、世界中のすべての人が突然、自宅から仕事をしたり、勉強したり、社交したりするという、先見の明を持って製品を設計したわけではなかった。現在では、予想外の方法で製品を利用しているユーザーの範囲が格段に広がり、プラットフォームの構想時には想定していなかった課題に直面している」としている。多くのユーザーに利用が一気に広がったことで、適切な使い方を理解しないまま、会議を主催したり、参加したりする人が増加したことが、この事件の温床になっているという説明だ。
同社では、すでにいくつかの対策を発表。パーソナルミーティング IDを使って公開イベントを主催するのを避けることや、主催者が画面のコントロールをきちんと行うこと、Zoomミーティングにロックをかけること、パスワードの管理を徹底すること、そして、待機室機能を活用することで、主催者が承認した人だけを入れるようにするといった使い方も提示している。
また、Zoomが、iPhoneなどのiOSクライアントから、不必要な情報をFacebookに送信しているとの指摘もあったが、これに対しては、3月27日に、iOSクライアントのFacebook SDKを削除し、不要なデバイス情報を収集しないように再設定したことを明らかにした。あわせて、3月29日にはプライバシーポリシーも更新し、「どのようなデータを収集し、それがどのように使用されるかについて、より明確で透明性のあるものにした」としながら、「私たちはユーザーのデータを販売しないこと、過去にユーザーのデータを販売したことはなく、今後もユーザーのデータを販売するつもりはないことを明確にした」と述べている。
プライバシーとセキュリティを後回しにしない マイクロソフトがけん制
こうしたZoomのセキュリティおよびプライバシー問題が注目を集め始めたのに呼応するように、米マイクロソフトは、4月6日、Microsoft 365担当コーポレートバイスプレジデントのジャレッド・スパタロウ氏が、「Microsoft Teams におけるプライバシーとセキュリティへの取り組みについて」と題したブログを投稿した。
Microsoft 365担当コーポレートバイスプレジデントのジャレッド・スパタロウ氏
スパタロウコーポレートバイスプレジデントは、「マイクロソフトは、決してプライバシーとセキュリティを後回しにすることはない」と、暗にZoomをけん制してみせながら、「Teamsでは、組織外の誰が直接ミーティングに参加できるのか、誰が参加許可を得るまでロビーで待機するべきなのかといったことを決めることが可能である。また、ミーティング中に参加者を削除したり、発表者と出席者を指定したり、どの参加者が内容を発表できるかを管理できる。さらに、ゲストアクセス機能により、自社データを制御した状態で組織外からの参加者を追加できる」と、オンライン会議に部外者が乱入できない機能を搭載していることを強調。さらに、「AI がチャットを監視し、いじめやハラスメントなどのネガティブな発言や行動を防ぐこともできる」と説明した。
また、プライバシーに関しても言及。「ユーザーのTeamsデータを使って広告配信することはない」、「参加者がミーティングに集中しているか、他のことをしていないかなどのトラッキングはしない」、「サービス契約が終了した場合や期限が過ぎた場合は、データが消去される」、「データへのアクセスを制限する強力な対策を講じており、政府がデータを要求した際の対応には慎重に要件を定義している」などといったことを示した。
そのほか、Teamsが米国のHIPPAやFedRAMP、欧州のGDPRのほか、学生や子どもたちのセキュリティを守る家族教育権とプライバシー法であるFERPAなど、90以上の国際的な規制基準および法律に準拠しており、医療分野や政府機関、教育機関など、あらゆる分野で安心して利用できることも強調してみせた。
このブログを受けて、日本マイクロソフト Microsoft 365ビジネス本部長の山崎善寛氏は、「もし、『Teamsの会議は大丈夫なのか』と、顧客や上層部から聞かれたら、安心して利用できることを示してほしい」と自信をみせる。
日本マイクロソフト Microsoft 365ビジネス本部長の山崎善寛氏
一方で、日本マイクロソフトでは、動画でTeamsの使い方を確認できる「Microsoft Teamsクイックガイド」(https://aka.ms/TeamsQG_Japanese)や、これを64本の動画で視聴することができる「Teams 使い方ビデオ」(https://aka.ms/TeamsVideo_Japanese)を用意。Teamsの使い方を解説している。
山崎本部長は、「動画を見直してもらうことで、すでにTeamsを導入している企業でも、いままで知らなかった働き方や使い方に気がついたり、恥ずかしくて聞けないかった使い方も確認することができる。Teamsの使い方を、より洗練したものに進化させてほしい」と語る。
政府の緊急事態宣言によって、リモートワークはしばらく続くことになる。正しい使い方と効率的な使い方で、リモートワークを有効なものにしたい。
