"セキュリティ"に関するZoom社及び、
当社の取組について

新型コロナウィルスの影響に伴い、集合型研修からオンライン型研修へのニーズが高まっています。一方、2020年3-4月にかけてZoomビデオコミュニケーションズ社(以下、Zoom社)の提供しているツールである「Zoom」に関して、セキュリティへの懸念や指摘が報道されました。当社も標準オンライン研修ツールとして「Zoom」を採用しているため、これらの懸念・指摘に関して、Zoom社の対応状況の整理を行いました。また、当社の取り組みに関し、下記の通りご説明いたします。

「Zoom」に関する“セキュリティ”の
懸念・指摘事項及び、Zoom社対応状況

Facebook へ
不要な情報送信について

<影響環境>
 影響を受ける環境は、iOS 環境で4.6.9 より前のバージョンのクライアントをご利⽤の場合。原因となっていたFacebook ログインの為のSDK は使⽤を停⽌

<対応状況>
 3/27公開の4.6.9 以降の最新版iOS クライアントにて対処

<Zoom社の公式情報>
■iOS環境に関するアップデート情報
 https://support.zoom.us/hc/en-us/articles/201361943-New-Updates-for-iOS         

Windows 認証情報
取得の脆弱性について

<影響環境>
 影響を受ける環境は、Windows環境でユーザーがチャット上に共有されたUNC リンクをクリックした場合

<対応状況>
 4/2公開の4.6.9 以降の最新版Windows クライアントにて対処

<Zoom社の公式情報>
■Windows環境に関するアップデート情報
 https://support.zoom.us/hc/en-us/articles/201361953-New-Updates-for-Windows

Mac 版インストーラの
脆弱性について

<影響環境>
 影響を受ける環境は、Mac OS 環境で4.6.9 より前のバージョンをご利⽤の場合

<対応状況> 
 4/2公開の4.6.9 以降の最新版Mac クライアントにて対処

<Zoom社の公式情報>
■Mac OS 環境に関するアップデート情報
 https://support.zoom.us/hc/en-us/articles/201361963-New-Updates-for-macOS

セキュリティボタンの追加

<影響環境>
 影響を受ける環境は、4.6.10 より前のバージョンをご利⽤の場合

<対応状況> 
 4/8公開の4.6.10 セキュリティアイコンは、デスクトップ(Mac & Windows)、モバイル(iOS & Android)、iPad、Webクライアントのすべての無料および有料アカウントタイプのすべてのZoomホストおよび共同ホストに提供。ホストの利便性を⾼めるため、それまでメニューの様々な場所にあったミーティングのロック、待機室等のセキュリティに関わる機能を新しく作った セキュリティボタン内に集約

<Zoom社の公式情報>
■ホスト用の新しいセキュリティアイコン、ミーティングIDが非表示  
 https://sites.google.com/zoom.us/zoomjapanfaq/zoomblog/zoom-product-updates-new-security-toolbar-icon-for-hosts-meeting-id-hidden?authuser=0

不審なユーザーの参加防⽌

<影響環境>
 ー

<対応状況> 
 管理者の⽅は⾃社のポリシーに即した設定がされているか、改めてご確認が必要。今までもパスワードロックと、待機室機能はございましたが、無料ユーザーと1ライセンスのみの有料ユーザーは初期値で、それらのセキュリティ機能が有効となるよう変更(複数ライセンスをお持ちの有料ユーザーは、これまで通りに設定可能)

<Zoom社の公式情報>
■無料アカウントとシングルProユーザーに対する更新の設定
 https://support.zoom.us/hc/ja/articles/360041408732-April-2020-Setting-updates-forfree-accounts-and-single-Pro-users

<参考>
■招待していないゲストをZoom イベントから遠ざける⽅法 
 https://sites.google.com/zoom.us/zoomjapanfaq/zoomblog/keep-uninvited-guests-out-of-your-zoom-event?authuser=0

■Zoom ミーティングを安全に実施するための10 の⽅法
 https://sites.google.com/zoom.us/zoomjapanfaq/home/top-10-ways-to-secure-your-zoom-meetings

エンドツーエンドの暗号化

<影響環境>
 ー

<対応状況> 
 Zoom社の暗号化の実装に対しての議論の中で、Zoomのミーティングはエンドツーエンドで暗号化されているという表現により、混乱を引き起こしたが、参加者全員が Zoom クライアントを使用しており、録画がされていないミーティングでは、すべてのビデオ、オーディオ、画面共有、およびチャット コンテンツを送信側クライアントで暗号化し、受信側クライアントに到達する前のいかなる時点でも復号化しません

<Zoom社の公式情報>
■ミーティング・ウェビナーの暗号化について
 https://sites.google.com/zoom.us/zoomjapanfaq/zoomblog/facts-around-zoom-encryption-for-meetings-webinars?authuser=0

中国本⼟のデータセンターを
経由していたことについて

<影響環境>
 前例のないパンデミックの間に世界中の⼈々の助けになろうという緊急性の中で、私たちはサーバーの容量を追加し、(アウトブレイクが始まった中国から開始し)迅速に展開しました。その過程において、Zoom では通常のジオフェンシングのベストプラクティスを完全に実施することができませんでした。その結果、本来は接続できないはずの中国のシステムへの接続が許可されたミーティングがあった可能性があります

<対応状況> 
 その後、この問題は修正されました。Zoom の有料会員のお客様は、アカウントがリアルタイムのミーティング・トラフィックに使⽤できるデータセンターのリージョン(地域)をカスタマイズできるように変更

<Zoom社の公式情報>
■トロント大学 Citizen Lab研究へのレスポンス
 https://sites.google.com/zoom.us/zoomjapanfaq/zoomblog/response-to-research-from-university-of-torontos-citizen-lab?authuser=0
■Zoomデータルーティングの制御
 https://sites.google.com/zoom.us/zoomjapanfaq/zoomblog/coming-april-18-control-your-zoom-data-routing?authuser=

暗号化の強化

<影響環境>
 全参加者がZoomクライアントを使用している場合、各クライアントからの送信データは相手クライアントに到達するまで復号化されません。(録画機能が有効になっている場合を除く) テレビ会議端末、公衆電話回線との通信は各Connectorで復号化,(再)暗号化されます

<対応状況> 
 • 4/27: AES 256bit GCMによる暗号化をサポートしたZoom 5.0のリリース
 • 5/7: Keybase社の買収
 • 5/22 E2EEを含めた今後の暗号化デザインのドラフトをGitHubに公開
 • 5/30 GCM暗号化がZoomミーティングにてフルに有効化。ミーティング参加前に、古いバージョンのZoomクライアントのアップグレードが必要

<Zoom社の公式情報>
■現行の暗号化
 https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/

■Zoom5.0のリリース

 https://zoom.us/docs/jp-jp/zoom-v5-0.html

■90 Days Planの進捗
 https://blog.zoom.us/wordpress/ja/

<参考>

 ❖ Zoom社 ZVC Japan 株式会社カントリーゼネラルマネージャー・メッセージ(動画)    
 https://success.zoom.us/rec/play/uMItd-2qrWg3SdXB4wSDB_R7W9S_fPqshCAd_KYIyU62WnABNgb3M7MWYLDoLm4nEpAn9vX0mdbcPICy?startTime=1587717838000&fbclid=IwAR152L1yEyqOJoiwGPG3ipuj9TsSsUIREqpi_QuUTg2F5GM1XCvLawcL6OU

 

 ❖ Zoom のセキュリティ・プライバシーへの対応状況 (4 ⽉16 ⽇)  
  https://sforce.co/3fhmMhM



当社オンライン研修の取り組みについて

当社では、安定したセキュアなオンラインLive トレーニングを実現するため以下の体制で実施しております。
前述のZoom社の対応状況も含め、お客様が安心してご受講いただけるよう取り組んでおります。

専任のスタッフ配置

o   コース実施状況の監視

o   トラブル時の対応窓口設置

体系化された手順の
確立・見直し

o   講師、スタッフへの手順書の配布

o   ベンダーのベストプラクティスへの準拠

o   受講者からのアンケート結果の確認、手順書への反映

リスク軽減策の実施

o   オフラインと同様、Pマーク認証制度に準拠した対応を実施

o   ベンダーの推奨設定の確認と適用検討および実施

o   受講者の誤操作による事故を最小限にするための設定や案内を実施

o   セキュリティ専門家の監修

※研修での運用の具体例につきましては、下記記事の「3.トレノケートの研修での運用」もご参照ください。
 https://blog.trainocate.co.jp/blog/web-meeting-security_015  

 

 ❖ 安全で安心な研修に関する当社取り組み方針について   
   https://blog.trainocate.co.jp/1494030  

 ❖ オンラインLive トレーニングの詳細   
   http://www.trainocate.co.jp/THT200608rp

ニュース・お知らせ

© Trainocate Japan, Ltd. All Right Reserved. 2008-2020