スポンサーリンク

Zoomは本当に安全か?

 

Zoomの安全性について、Zoom日本法人代表からのインタビュー記事があった。

 

Zoomの利便性は高く評価されている。また、使いやすさも今までのWEB会議システムにはない特徴であろう。だからこそ世界的にユーザーが爆発的に増加した。その結果、不慣れな人もどんどんこのシステムを使い始めた。

Zoomは顔が見ることのできるコミュニケーションを重視してきた。昨年の今頃は「顔を見て会議をやる必要なんてない」という声もあったが、今ではZoomでいかに多くの人の顔が見れるかが話題になっている。

 

一方で、セキュリティ面の懸念が表明されている。中には必ずしも正しくないものもあるので、まずは整理しておきたい。

(「ズーム爆弾」と呼ばれる攻撃の報告が増えたことから)Zoomの使用を禁止する動きも出ている。台湾政府やNASA(米航空宇宙局)、オーストラリア軍が使用禁止にし、ドイツ外務省は使用制限を設けた。ニューヨーク市教育局も使用を禁じている。民間でも、米バンク・オブ・アメリカや米グーグル、独ダイムラー、スウェーデンのエリクソンなどが使用禁止にした。

 

創業者である袁征CEOは中国に生まれ育った中国系アメリカ人で、
(中略)
中国の拠点にはデータを経由するサーバーが置かれ、研究開発を担当する社員が700人もいるほどの規模だという。そんなことから、通信が中国のサーバーを経由していたり、暗号化するための「暗号鍵」が中国で管理されていると批判されてきた。

 

従来は企業のユーザーがメインだったので、パスワードを管理するなど、セキュリティーポリシーを守った使用がされていた。しかし、徐々に大学等にも使用が拡大すると、学生など不慣れなユーザーが多く使うようになり、パスワードをかけない利用が増えた。ミーティング参加のための情報がSNSでシェアされる例が増え、その情報が広がっていまい、荒らし行為へと繋がっていった。

 

Zoomにログインする際、個人のフェイスブックのIDなどでログインできる機能がある。フェイスブックのSDK(ソフトウェア開発のツールセット)を使う際、このSDKの仕様で、ZoomのiOSアプリから利用者のデバイス情報がフェイスブック側に提供できるようになっていた。そうなることを知らなかった。

 

以上の記述を見る限り、システム上のシビアな設計ミスというよりも、使い方が慣れないユーザーへの対応や便利だからと思わぬ落とし穴に気づかずに技術を採用したことに要因がありそうだ。

人気者ゆえに標的にされやすい。セキュリティを強化するために必要なのは、悪巧みをする者たちからユーザーを守ること、不慣れなユーザーが犯しがちなミスをシステムでカバーすること、であろう。

 

しかし、一方でこのような記事もある。

「インターネット上のデータはすべて読み取られている」と考えるのが基本。そこで、どういうルートでデータが通っても、どこの地域にデータセンターがあっても、セキュリティを担保しようというスタイルに変わってきた。目に見えてわかりやすいのがHTTPSというヤツですね。

データそのものをガードすれば、パケットをキャプチャされようとデータを蓄積されようと、問題にはならない。

でもリスクは厄介な形に変えて相変わらず存在する。それは「エンドトゥーエンドで暗号化されているから大丈夫」というユーザー側の盲信と「暗号鍵の管理体制」というサービス側にある組織的・政治的なリスク

鍵が手に入ればすべての前提が崩れる。現在のZOOMが持つセキュリティリスクは技術面ではなく、その暗号鍵の管理体制にあるようです。

 

コメント

タイトルとURLをコピーしました