Zoom全学ライセンスにおけるセキュリティとプライバシーについて

(English information will appear soon)

文責:情報環境機構 情報環境支援センター(オンライン化支援窓口)

最新の状況

セキュリティ&プライバシーに関する考え方

危険性の分類

現在取り沙汰されている危険性には、以下のタイプがあると考えています。

1) システム実装上の問題(ビデオ会議機能に直接関わらないZoom特有のもの)

2) ビデオ会議システム設計上の問題(Zoomに限定されないもの)

3) ビデオ会議システムの利用方法に関する問題

これら危険性に対する考察と対策

指摘されているセキュリティ上の問題に対して、Zoom社による対応が比較的迅速に行われている状況に鑑み、現時点では大学における一般的な講義をオンライン化する上での利用において、直ちにZoomの利用を停止しなければならない段階ではないと考えますが、トラブル発生に備えて皆様にも以下の点に注意しながら利用して頂きますようをお願い致します。(Zoom社は4月から90日間、新機能の追加を停止しセキュリティとプライバシーの問題の改善に専念することを宣言しています(4/1))。

1) システム実装上の問題

現時点でユーザに知られずに不正アクセスや情報漏洩が発生するような問題は起きておらず、Zoomの利用をすぐに停止すべき状況ではないと判断しています。 同様の脆弱性はZoomに限らず存在する可能性があるため、同様のアプリケーションの利用の際には

といった配慮をお願いいたします。

パスワードについて

Zoomで扱うパスワードには2種類あります。使い分けに十分注意をお願いします。

2) ビデオ会議システム設計上の問題

ミーティングの妨害問題

ミーティングの妨害(いわゆるZoom Bombing)問題は、他のテレビ会議システムなどと同様に接続方法が公開されていることと、多数の(多様な)の参加者がいるために、アカウントを持たない利用者が容易にミーティングルームに参加できるようにておきたいという利用形態上の要求などから、認証等による参加者の制限が難しく、対策が容易ではありません。

妨害の機会を減らすための対策の一つとして、Zoom社により、個人アカウントでミーティングパスワードを必須とする仕様変更がおこなわれたことから、全学ライセンス下でのユーザーにおいてもミーティングパスワードを必須とすることにしました。これにより、ある程度リスクが軽減されると考えています。

ミーティングパスワードが設定されているミーティングルームの情報を参加者に伝える場合には、

とともに、

についても併せて通知して頂く配慮をお願い致します。(通知を受け取った端末とは異なる端末からミーティングに参加したい場合への配慮。)

一方、正当な参加者による不適切なコンテンツ共有については、双方向型のオンラインミーティングシステム全体の本質的な問題も含むため、引き続きZoom社側の対応状況を見ながら慎重な運用を行うのが適切と考えていますが、現時点で提供されている機能については以下の点について注意しながらご利用頂きますようお願い致します。

ミーティングの秘匿性に関する問題

ビデオ・オーディオの通信を盗聴などから守るためには暗号化が必要です。ミーティングに参加する2人の利用者間を完全に暗号化することはエンド・ツー・エンド暗号化(E2E暗号化、E2EE)と呼ばれます。Zoom社は通信をAES 256bitによりE2E暗号化していると説明していましたが、この説明は誤りであると指摘されています。Zoom社による説明が誤っていたことは問題ではありますが、3人以上の参加者によるコミュニケーションを円滑にするとともに、クラウドレコーディング機能などを実現する上で、クラウド上で一旦復号を行うことは広く一般的に行われている手法であり、クラウド上で暗号化を維持することは実装上容易ではありません。 Zoomに限らず、システム設計上E2E暗号化が実現されていないものは多く、電子メールなどと同様、機密性のある情報の扱いに対する配慮が必要です。

クラウドレコーディング機能を利用する場合は、暗号化されていない状態(設定で許可すれば誰もが閲覧可能となる状態)でミーティングの記録がクラウド上に保存されることになりますので、そのことに配慮してミーティングの中で扱う内容に注意をして頂くようお願い致します。

なお、4月18日よりZoomにおいて利用するクラウドの範囲(地域)を指定することが可能となっています。ZoomのWebサイトにログインして「設定」メニューの「ミーティングにて(詳細)」の中にある「Select data center regions for meetings/webinars hosted by your account」の項目で設定を行ってください。USは、契約の経緯により除外できないようです。

高機密性情報を扱う会議等の利用においては、信頼性のあるファイル共有サービス等の併用、あるいは代替となる信頼性のあるビデオ会議サービスの利用なども選択肢に入れることが妥当と考えられます。最終的にはミーティングの目的・形態・内容に応じて判断すべきところですが、判断に迷う場合については、情報環境機構情報環境支援センター(オンライン化支援窓口)online_support at mail2.adm.kyoto-u.ac.jp までご相談ください( at を@記号に変換ください)。

ビデオ会議システムのE2E暗号化に関する参考情報

3) ビデオ会議システムの利用方法に関する問題

自宅や出張先から、また移動中にオンラインミーティングに参加する場合は、ミーティングに参加する場所の環境にも注意を払う必要があります。端末でやりとりされる映像・音声に注意を払うことはもちろん、自分の声が周囲に聞こえてしまうことについても注意を払いながらご利用頂きますようお願い致します。

技術的な対策としては以下の方法があります。

また、居場所を伏せているような場合には、背景の音から場所が特定されてしまうことがあることにも注意が必要です。

Zoom関連情報

(最終更新:2020年4月25日)