ESET/マルウェア情報局
テレワークが進むなか、ビデオ会議で重視するセキュリティとは
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「広がるテレワーク、セキュリティに考慮したビデオ会議とは」を再編集したものです。
この記事の執筆時点では、世界の人口の3分の1が、新型コロナウイルスの感染拡大を食い止めるためにさまざまな行動の制限を受けています。都市がロックダウンされたことで、膨大な数の労働者が、多くの場合初めてテレワークを行なっています。テレワークを行う従業員、学生、教師、および専門家が急増したことにより、ビデオ会議、オンラインコラボレーションツール、およびチャットシステムの需要が大幅に増加しています。
3月11日、Kentik社(サンフランシスコに拠点を置くネットワーク事業者)は、北米とアジアにおける勤務時間中のビデオトラフィックが200%増加したことを報告しました。これは、カリフォルニア州やその他の地域で正式にロックダウンが発効する前の増加値です。
イギリスのボリス・ジョンソン首相は、ビデオでの開催に切り替えた閣僚会議で議長の座を務める自分の写真を共有し、最高レベルの政府機関であっても、ソーシャルディスタンスに取り組んでいることを示しています。
新型コロナウイルスの検査で陽性となったためこれは賢明な決定ですが、このレベルの会議を一般に公開されている会議システムで行なうことには、セキュリティ上の懸念があります。英国の国立サイバーセキュリティセンターでは、あらゆるレベルのビデオ会議でセキュリティ対策を十分に講ずる必要があると述べています。
英国政府の会議が無料で利用できるビデオ会議ツールを使用してオンラインで行なうことが許されるのであれば、従業員にテレワークを速やかに実施するように求めている企業は、ある程度安心して、同じツールを使用することができるでしょう。だからと言って、セキュリティの仕組みを理解しなくてもよいことにはなりませんし、ビデオ会議に必要な管理をしなくてよくなるわけでもありません。
以下に、いくつかの重要な考慮事項を簡単に説明します。
業務環境
お使いの環境をチェックして、共有しているビデオストリームに機密情報が含まれていないことを確認します。背後にあるホワイトボードには、前回の会議の書き残しがある可能性があります。機密の情報や資料がすべてカメラに写っていないことを確認してください。また、ストリーミングビデオのインタビューや会議に飛び入りするペットや幼児のかわいいバイラル動画を見て笑ったこともあるかもしれませんが、在宅勤務の場合、そのような中断が会議に与える影響を考えて、会議を開始する前に適切な対策が講じられていることを確認してください。
アクセス制御
ほとんどのビデオ会議プラットフォームでは、ユーザーグループを作成したり、インターネットドメイン別にアクセスを制限したりできるため、会社の電子メールアドレスが設定されているユーザーだけを会議に参加させることができます。また、会議を設定するときに招集メールに参加者の電子メールアドレスを追加し、招待された者のみを参加を許可することもできます。
会議にはパスワードを設定しましょう。通常、このオプションは会議を設定するときに利用でき、招待者が入力する必要があるランダムに生成されたパスワードを追加します。電話で接続するユーザーを認証できるように数字のパスワードを使用できます。会議のリンクにパスワードを埋め込まないでください。
参加者を「待合室」で待機してもらい、各参加者の接続を承認すると、主催者は会議に参加している人を完全に管理できます。大規模な会議でこのような操作を行なう場合、信頼できる他の参加者を主催者やモデレーターに昇格できる場合があります。
通信とファイル転送
トラフィックは必ず暗号化します。システムがビデオ通信を暗号化するオプションをデフォルトで有効に設定しているはずだと思い込まないでください。一部のサービスはデフォルトでチャットを暗号化しますが、特にユーザーが指定しない限り、ビデオ通信のトラフィックは暗号化されません。
サードパーティのエンドポイントクライアントソフトウェアを許可している場合、エンドツーエンドの暗号化要件に準拠していることを確認してください。
ファイル転送が必要な場合は、送信できるファイルのタイプを制限することを検討してください。たとえば、実行可能ファイル(.exeファイルなど)は許可しないでください。
参加状況と参加者の管理
ビデオ会議では、電子メールや他の通知ポップアップなど、他の通知の内容に気を取られてしまうことが多くあります。プラットフォームによっては、ホストは会議クライアントがプライマリ(アクティブ)ウィンドウではなくなった場合に、通知を要求できる場合があります。教師であれば、すべての生徒をビデオに集中させる場合に、この機能は非常に役立ちます。
接続するときに必ずユーザーに登録してもらうようにするか、通話後に参加者リストをダウンロードして、通話に参加したユーザーを監視します。この情報は、接続時間と切断時間も含まれている場合が多くあり、ユーザーが会議全体に参加していたかどうかを確認できます。
画面共有
画面共有の機能を会議の主催者、または会議の主催者が選んだユーザーに制限します。これにより、誰かが誤ってコンテンツを共有する可能性がなくなります。
画面を共有する場合は、デスクトップ全体ではなく、必要なアプリケーションのみを共有します。デスクトップ上のアイコンやファイルの名前が会社の機密情報になっている場合もあります。
AppleのiOSは、アプリ間でタスクが切り替わる時に、使用された画面のスナップショットを取得します。誤って機密情報が取得されることがないようにするために、会議システムでこの画像をぼかすことができるかどうかを確認してください。
備えあれば憂いなし
すでに使用している、あるいは使用を検討しているビデオ会議システムの設定のすべてのオプションを、時間をかけて順番に確認しましょう。上記の検討事項で説明したスナップショットの例のように、多くの設定があり、お使いの環境に適した構成を見つけることは、会社の通信を安全に維持するための重要なタスクです。
最後に、使用しているサービスのプライバシーポリシーを確認してください。「無料の場合は、あなた自身が製品である」という格言がありますので、会社が「無料」サービスを提供する代わりに、ユーザーのデータを収集、販売、または共有していないか確認するようにしましょう。
テレワークに伴って増加するサイバーセキュリティリスクとこれらのリスクに対抗する方法についての詳細について、以下の記事もご覧ください。
新型コロナウイルス(COVID-19)の感染拡大で進むテレワーク、効率的に行うには?
[参照元]
テレワーク:ビデオ会議を行うときのセキュリティの心得
https://www.eset.com/jp/blog/welivesecurity/work-from-home-videoconferencing -security-in-mind/#utm_source=malware_info&utm_medium=referral&utm_campaign= wfh_videoconf