Web会議Web会議とは

Web会議でのセキュリティ面のリスクとその対策を詳しく紹介

Web会議でのセキュリティ面のリスクとその対策を詳しく紹介

インターネットに接続して利用するWeb会議システムには「クラウド型」「オンプレミス型」がありますが、現在の主流はクラウド型です。
ベンダーが管理するクラウドサーバーを利用するため、利用者が負担する導入コストはごくわずかです。

しかし、外部とつながるクラウド型のWeb会議システムは、セキュリティ面の脆弱性が心配という人もいるでしょう。
クラウド型のWeb会議システムを使うと、どのようなリスクがあるのでしょうか。

本記事では、Web会議システムの導入前にチェックしておきたいポイントやセキュリティ対策を怠るリスクなどについて紹介します。

jinjerミーティング 資料請求

Web会議のセキュリティ面の4つの注意点

Web会議システムの主流となっているクラウド型は、自社にサーバーを設置する必要がありません。ネットワーク構築のためのコストや時間、さらには保守・運用のための費用も不要です。

企業にとってはメリットが大きいといえますが、思いがけないトラブルに見舞われる可能性もあります。

Web会議システムを検討する際は、セキュリティ面のチェックもしっかりとおこなっておきましょう。
Web会議システムで確認しておきたいポイントを紹介します。

1. 暗号化機能を実装しているか

デジタルデバイスからクラウドサーバーへ送るデータを全て暗号化すれば、第三者には理解できません。万が一、覗かれても、情報漏洩のリスクは低減できます。

データ暗号化と復号には「暗号鍵」が使われます。そして、暗号鍵を使った暗号化の方法は2種類あります。

  • 共通鍵暗号:暗号化・復号ともに同じ鍵を用いる暗号化方式
  • 公開鍵暗号:暗号化・復号で別の鍵を用いる暗号化方法

共通鍵暗号は、ファイルの変換などによく使われ、処理速度が早いのが特徴です。「DES」「RC4」「AES」といった暗号化処理(暗号アルゴリズム)がよく知られています。Web会議システムでは、AESを使っているものが多く見られます。

一方、公開鍵暗号は、処理速度が低速ですが、管理する鍵の数が少なくてすむというメリットがあります。ただし、公開鍵暗号のみで使用されることは稀です。

近年は共通鍵暗号と組み合わせて使われることが多くなっています。「RSA」「楕円曲線暗号」などが有名です。

プロトコルをチェック

プロトコルとは、インターネット上で通信するときのさまざまな取り決めやルール、方式を指します。
暗号化プロトコルの中には、暗号化に対応していないものもあります。

Web会議システムについては、セキュリティ度の高いプロトコルを採用しているかどうか確認することが大切です。

セキュリティ度の高いプロトコルとしては、主に以下のようなものが有名です。

  • SSL/TLS:通信相手の認証やデータの暗号化機能がある
  • HTTPS:通信相手の認証やデータの暗号化機能がある
  • SNMPv3:インターネット上の機器の監視や管理で使われる

このほか、Web会議システムでは「DTLS (Datagram Transport Layer Security)」や「SRTP (Secure Real-time Transport Protocol)」を使ったものも多いでしょう。

2. 入室制限できるか

Web会議システムは、会議参加者の確認・認証方式が設定できるものがベストです。
誰でも自由に入室できるシステムでは、意図しない第三者が混在する恐れがあります。

会議の内容や個人情報漏洩のリスクが高く、会議をスムーズに進められません。
会議に参加する人を一人ひとり確認し、部外者を入れない機能が必要です。

会議参加者の確認・認証方式としては、以下の方法があります。

  • 会議室にパスワードを設定する
  • 会議参加者に個別のIDを付与する
  • 待機室で個々の参加者を確認できるようにしておく
  • 会議参加者を事前登録しておく
  • 入室に2段階認証を設ける 
  • IPアドレスによる参加者指定
  • デバイスの製造番号認証

なお、これらの機能があったとしても、主催者が参加者を適切に把握できていなければ意味がありません。
会議を開催する際は、どのようなメンバーが揃うのかきちんと把握しておきましょう。

また、万が一、意図しない第三者が混在していた場合のため、会議参加者を強制的に退出させられる権限も必要です。

3. 会議や資料のデータはどこに保存されるか

Web会議システムがオンプレミス型の場合、情報漏洩リスクはさほどありません。
しかしクラウド型を使う場合、会議や資料のデータがどこを経由してどこに保存されているのか確認が必要です。

Web会議では、企業秘密・名簿や会議中に取り交わされた議論について、音声、画像、チャット、動画など、多数のデータが残ります。
Web会議システムが情報を適切に管理しない場合、情報が漏洩してしまうリスクは高いでしょう。

特に注意したいのが、Web会議システムが海外のデータセンターを利用している場合です。

サーバーの負担を減らすため、国外サーバーを利用するベンダーは少なくありません。
このこと自体に問題はありませんが、データセンターが配置された国によっては、政府がデータを強制収容することが法的に可能です。

重要な機密や資料を扱う場合は、海外拠点は避けるのが望ましいといえます。
有料版のシステムなら、どのデータセンターを使うかは契約時に確認できますが、契約を結ばない無料版の場合は注意が必要です。

4. データの抹消についても要確認

データの保管と同様に、データの抹消についても確認が必要です。
重要なデータがクラウドサーバーに残らないよう「完全に抹消できる機能があるか」をチェックしておきましょう。

この機能がないと、消したはずのデータが復元され、悪用される恐れがあります。

Web会議のセキュリティ対策を怠ることの3つのリスク

Web会議のセキュリティ対策を怠ることの3つのリスク

通常の会議は密室でおこなわれます。
会議が終わればそのまま解散となり、録画や議事録を見なければ詳細なやり取りはわかりません。

一方、Web会議は、対面式の会議よりもはるかにオープンな状態でおこなわれます。
インターネットを通じてデータをやり取りするため、外部からの接触が容易です。

セキュリティ対策を怠っていると、大きなトラブルに見舞われることもあるでしょう。
ここからは、Web会議でセキュリティを甘く見た場合に起こり得るリスクについて紹介します。

1. 重要なデータの流出

Web会議システムのセキュリティ対策に穴があった場合、第三者による不正アクセスを受ける恐れがあります。
Web会議で重要機密を扱っていた場合は、それが社外に漏れたりインターネット上で公開されたりするかもしれません。

特に近年のWeb会議システムは、会議資料を共有したり録画できたりするものが多々あります。
こうした資料を第三者がダウンロードして、ところ構わず拡散するなどの事態も起り得ます。

また、注意すべきはインターネット上だけではありません。
Web会議システムなら、インターネット環境さえあればどこからでも会議に参加できます。

会議参加者のセキュリティ意識が低い場合は、他人に会議の様子を盗み見られたり録音されたりすることもあるでしょう。

2. 参加者のアカウント流出や乗っ取り

こちらも、会議参加者のセキュリティ意識に関わる事項です。

会議参加者が会議のアカウントを適切に保守していない場合、全く関係のない部外者の手に渡る恐れがあります。
アカウントが乗っ取られたり悪用されたりといった事態が懸念されるでしょう。

また、Web会議は屋内外問わずに参加できます。
参加者の不注意から、デバイスそのものを紛失したり盗られたりするかもしれません。

PCやスマホが悪意のある第三者の手に渡れば、重要な情報を抜き取られる可能性があります。
アカウントの不正利用はもちろん、データ改ざんや流出などのトラブルなども心配です。

3. 参加者のプライバシー流出

Web会議では、参加者はPCやスマホのカメラを使って顔出しをします。
このとき、プライベートな場所が多くの人の目に晒されることとなってしまいます。

「誰も他人の家など気にしない」という意見もありますが、個人として見られたくないものがあるかもしれません。
また、会議参加者の中に悪意のある第三者が潜んでいた場合は、プライベートの様子がインターネット上に流出する恐れもあります。

一見すると些細なことでも、どのようなトラブルにつながるかはわかりません。参加者のプライバシーに配慮し、本人にとって不本意な情報流出は避けるようにすべきです。

Web会議のセキュリティ対策の甘さによるトラブル事例

Web会議のセキュリティ対策の甘さによるトラブル事例

働き方改革やコロナ禍の影響により、Web会議システム市場は大幅に拡大しました。
2020年度の市場規模は前年度比120.4%の487億5,000万円になると予測されています。[注1]

ところが利用者が増えたことに伴い、Web会議システムのさまざまな問題が表面化しました。

セキュリティの甘いWeb会議システムの利用によるトラブルが多数報告され、セキュリティの重要性が再認識されるようになったのです。
Web会議システムのトラブルについて、Zoomの事例を用いて紹介します。

[注1]テレワーク関連ソリューションの動向調査を実施(2020年)|株式会社矢野経済研究所

1. 荒らし行為が多発

Web会議システムのトラブルとして特に有名なものとして「荒らし行為」が挙げられます。
これはWeb会議システム「Zoom」で一躍知られるようになり、「Zoom Bombing」「Zoom爆弾」などと呼ばれました。

Zoom爆弾とは、悪意のある第三者が無関係なZoom会議に乱入し、不適切な画像や動画を共有する行為です。
荒らし行為をする人は主に中・高校生の若者がメインだったといわれており、「ほんのいたずら」という人も多かったのでしょう。

彼らはGoogle検索を使って見つけたZoom会議に押し入り、会議を壊して回りました。
しかし、Zoom爆弾の被害は思いのほか広範囲に及び、Zoomのセキュリティそのものに疑問が抱かれるようになります。

ついにアメリカの大企業や政府機関では、Zoom使用禁止のお達しが下ったほどです。

2. 適切に暗号化されておらず情報流出

Zoomは「エンドツーエンド暗号化」をおこなっていると表明していました。
これは発信元のデバイスでメッセージを暗号化して送信先のデバイスでしか復号できないようにする、非常に高度なセキュリティプロトコルです。

しかし、Zoomでは適切なやり方でおこなわれていませんでした。

暗号化したデータを復号するには「鍵」が必要です。
しかしZoomはこの鍵をZoomのサーバーで管理していたのです。

Web会議のデータは、Zoomの鍵さえあれば全て見られてしまいます。
情報漏洩リスクが高いとして、Zoomは大きな批判を受けました。

3. 利用者情報が別のアプリに送信される

Zoomは、端末情報をFacebookに送信していたというトラブルもありました。Zoomにログインするときは、Facebookアカウントも選択できます。

こうしたつながりから、本来漏らしてはいけない情報までもFacebookに送っていたのです。

転送された情報そのものは、個人や会社機密にまつわるものではありませんでした。
しかし、問題なのはFacebookを利用していない人の情報まで転送していたという点です。

Facebookとの連携についてはプライバシーポリシーでも触れられて織らず、これも大きな問題となりました。

4. 中国のデータセンターにつながっていた

Zoomのセキュリティ問題として、中国のデータセンターにつながされていたというものもあります。

Zoomには世界17カ所にデータセンターがあります。
システムの利用が集中しても、1つの拠点に負荷が集中するのを避け、スムーズなサービスを提供するためです。

とはいえ、それぞれの地域にはジオフェンシングと呼ばれる仮想境界が設けられています。
アメリカや日本のデータセンターが混雑していても、本来であれば中国を経由することはありません。

しかし、中国のデータセンターが増設された際、このジオフェンシングが設けられませんでした。
これにより一部のWeb会議が中国に接続されてしまったのです。

この状態でZoomが情報開示を求められれば、中国政府にアメリカや日本の情報が伝わることになります。
これはセキュリティ上甚大なリスクだとして非難されました。

Web会議でのセキュリティ対策

Web会議でのセキュリティ対策

Web会議システムを安全に使うには、システムのセキュリティ対策を確認することが必須です。

しかし、どれほど万全なセキュリティ対策が取られていたとしても、利用者のセキュリティ意識が低ければ、セキュリティリスクは下がりません。
Web会議をおこなう際は、主催者側・参加者側ともセキュリティ意識をしっかりと持ち、個人情報や会議情報を守る必要があります。

Web会議システムで利用者側が取りたい対策を紹介します。

1. セキュリティソフトをインストールする

セキュリティソフトをインストールしておけば、マルウェアへの感染リスクを減らせるほか、不正アクセスによる情報漏洩リスクやパスワード流出リスクなどを低下できます。

ダウンロード型なら、すぐに利用可能です。
無料体験期間が付いているものも多いので、使い勝手を試してから購入しても良いでしょう。

また、セキュリティソフトはスマホ用のものもあります。
頻繁にWeb会議を実施するなら、入っておいた方が安心です。

なお、セキュリティソフトをインストールしたあとは、きちんとアップデートしていきましょう。
アップデートはソフトの脆弱性を改善するためにおこなわれるケースが多々あります。
古いバージョンのまま放置していては、有益なセキュリティ対策にはなりません。

2. フリーWi-Fiは使わない

基本的に、Web会議に参加するのは自宅からがベストです。
どうしても屋外から参加しなければならない場合でも、公共のフリーWi-Fiを利用するのは避けましょう。

全てのフリーWi-Fiが危険というわけではありませんが、なかには暗号化機能を備えていないものも散見されます。
個人情報や会議情報が漏洩してしまうリスクが高く、大変危険です。

また、人が多い場所で会議に参加すれば、盗み見や盗聴のリスクも高まります。
Web会議の実施・参加については「第三者の目がないところに限る」などのルールを設けておくのがおすすめです。

3. データをクラウドサーバーに放置しない

ベンダー提供のクラウドサーバーに重要なデータを残さないようにしましょう。
どんなに強固なセキュリティを謳っていても、ハッキング被害に合わないという保証はありません。

近年トラブルとなっている情報漏洩は、サーバーへのアタックが原因だったケースが多いのです。

「会議資料やフィードバックを大勢で共有したい」という場合でも、サーバーに残す期間を決めておきます。
必要があれば個々でデータを取得してもらい、一定期間の後、クラウドサーバー上のデータは全て削除してしまいましょう。

また、アクセス制限を設けたりパスワードを設定したりすることも忘れてはいけません。

4. 会議室へのアクセスはURL発行型を選ぶ

Web会議システムでは、同じURLを使い回さないことが大切です。
会議ごとに新しいURLを発行できるシステムを選びましょう。

毎回違うURLをランダムに発行できれば、第三者の侵入や盗聴・盗み見のリスクを抑えられます。
ただし、会議参加者に会議URLを知らせるときは、誤送信などに十分注意してください。

5. 通信履歴・ログを適切に管理する

通信履歴やログを管理しておけば、誰が会議に参加してどのような動作をおこなったのかがわかります。
これは、万が一、外部から不正なアクセスがあったり情報が漏洩してしまったりしたときなどに、有益な情報となります。

通信履歴やログから、不正な第三者や情報漏洩の元となった人を追跡できます。

6. 有料版のWeb会議システムを使う

無料版のWeb会議システムは手軽で便利ですが、ベンダーと契約を交わす訳ではありません。
セキュリティ面では有料版に劣る面があり、万が一のときのサポートにも不安が残ります。

Web会議システムで重要な機密を扱う、会議の頻度が多い、などの場合は無料版ではなく有料版を選ぶのがベターです。

Web会議システムの比較について、こちらの記事でも詳しく解説をしています。

【最新版】Web会議システム39種類を比較 | jinjerミーティング[ジンジャーミーティング]
【最新版】Web会議システム39種類を比較 | jinjerミーティング[ジンジャーミーティング]
近年多くの企業がリモートワークやWeb会議を急速に推進しています。インターネット上には多くのWeb会議システムがあります …
www.calling.fun

セキュリティレベルを上げて不安なくWeb会議を実施しよう

近年主流のクラウド型Web会議システムは、インターネットを介して会議の主催者と参加者がつながります。
「参加者の所在地を選ばない」「利用できるデバイスが多い」などのメリットがありますが、セキュリティリスクも高いことを心に留めておきましょう。

システムを選ぶときは、暗号化されているかどうかや入室制限機能、データの保存場所などを確認します。
また、無料のWeb会議システムが多々ありますが、セキュリティ面を考えるなら有料版がおすすめです。

ベンダーのバックアップも得られるので、万が一のときにも備えられます。

なお、Web会議システムでは、個々のセキュリティ意識を高めることが非常に重要です。
セキュリティソフトをインストールしたりフリーWi-Fiを避けたりするよう心がけ、不安なくWeb会議を実施できるようにしましょう。