ZoomやMicrosoft Teamsなどビデオ会議ツールの安全性をまとめたレポートをNSAが発表

videochat

テレワークでビデオ会議が急速に増えていますが、ZOOMで発覚したセキュリティ問題など、結局「どのビデオ会議ツールを使うのが安心なの?」が悩ましいところです。

本日アメリカ国家安全保障局(National Security Agency:NSA)による、ZoomやMicrosoft Teams、Slackなどリモートワークでよく使われている主なビデオ会議ツールやメッセージングツールの安全性を評価するレポートが発表されたので、ご紹介していきます。

ZoomやMicrosoft Teamsなどビデオ会議ツールの安全性をまとめたレポートをNSAが発表

参照:GIZMODEさんの記事より

ビデオ会議ツールの安全性評価の内容

1. エンドツーエンドでの暗号化を実装しているか?

送信者から受信者に至るまでをすべて暗号化するだけではなく、暗号鍵を慎重にやりとりしているかどうかも重要だとNSAは述べています。

なお、大規模ビデオチャットの場合はパフォーマンスの問題からエンドツーエンドでの暗号化を実装していません。

2. 通信の暗号化は、強力でよく知られるテスト可能な暗号化標準に基づいているか?

エンドツーエンドの暗号化がない場合でも、NSAは強力な暗号化標準の使用を推奨しており、「TLSやDTLS、SRTPなど、公開されているプロトコル標準を使用することが望ましい」と述べています。

3. 多要素認証は利用できるか?

NSAは各ツールを利用する上で、コードやトークン、生体認証など、多要素認証を使って既存のアカウントへのアクセスを許可する仕組みを求めています。

4. ユーザーはセッションに接続するユーザーを確認および制御できるか?

NSAは「ログインパスワードや待合室などの機能を使ってセッションへのアクセスを招待された人だけに制限できるかどうか、セッションへの合流は合理的に強力な認証をサポートしていることが望ましい」としています。

5. プライバシーポリシーでサードパーティあるいは関連会社への情報共有を認めているか?

会議ツールには連絡先の詳細やコンテンツなどの機密性の高いデータを保護することが求められます。

ユーザーIDに関連するメタデータ、デバイス情報、セッションの履歴など、組織を危険にさらす可能性のある様々な情報はサードパーティと共有されるべきではなく、仮にされる場合はプライバシーポリシーに明記する必要があります。

6. ユーザーはクライアントとサーバーの両方で、サービスとリポジトリから必要に応じてデータを安全に削除できるか?

NSAは「データの安全な上書き/削除機能を完全にサポートしているサービスはないと思われるが、ユーザーには共有したファイルやセッションの内容といったデータを削除し、使用されなくなったアカウントを永久に削除する機会が与えられるべきです」と述べています。

7. オープンソースで開発されているか?

8. アメリカ連邦政府のセキュリティ認証であるFedRAMPを準拠しているか?

FedRAMPとは?
(Federal Risk and Authorization Management Program)

米国政府でのクラウドサービスの調達基準

米国政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認証、継続的監視に関する標準的なアプローチを提供しています。FedRAMP の関係省庁には、米国行政管理予算局 (OMB)、米国一般調達局 (GSA)、米国国土安全保障省 (DHS)、米国国防総省 (DoD)、米国国立標準技術研究所 (NIST)、連邦情報統括官 (CIO) 協議会があります。

https://www.fedramp.gov/

ビデオ会議ツールの安全性の評価マトリックス表

Table of Assessments against Criteria

左から2番目の Basic Functionallyに各ツールの機能がまとめられています。

  • テキストチャット(a)
  • 音声チャット(b)
  • ビデオチャット(c)
  • ファイル共有(d)
  • 画面共有(e)

左から3番目以降の各質問の回答が

「はい(Y)」か「いいえ(N)」で表記されています。

まとめ

nomadworker

アメリカ国家安全保障局(National Security Agency:NSA)による、ZoomやMicrosoft Teams、Slackなどリモートワークでよく使われている主なビデオ会議ツールやメッセージングツールの安全性を評価するレポート内容を確認していきました。

Microsoft Teams、Google G Suite

  • 暗号化・多要素認証・FedRAMP準拠とさまざまな点でNSAの求める水準を満たす
  • 個人のデータがサードパーティや開発会社と共有されるとポリシー明記

Slack

  • クライアント側でもサーバー側でもデータを自由に削除不可。

Zoom

  • FedRAMP準拠だが、ユーザー認証で多要素認証に非対応。
  • ユーザーの個人情報流出やセキュリティ問題あり。

どのツールにも、セキュリティの堅牢な一方、大企業による個人データ取得など、それぞれメリット・デメリットありそうですが、今後も開発は進んでいく分野ですので、NSA評価は今後のツール選びの参考になりそうです。

テレワークが快適になるグッズ3選

ネットワーク環境

ビデオ会議は動画なのでネットワーク回線が遅いと仕事になりません。光回線にすると快適なコミュニケーションで作業効率があがります。

テレワークの働き方は進むと思われるので、今のうちに環境を整えるのもいい投資ですかね。

ヘッドセット

周囲の雑音を防いだり、声をクリアにするマイク付きイヤホンを用意しておくと、コミュニケーションがスムーズです。

SONYのヘッドセットは、マイク付きワイヤレスなので、ストレスなくビデオチャットで会話ができます。

ソニー SONY ワイヤレスオープンイヤーステレオイヤホン SBH82D : Bluetooth/ながら聴き/NFC対応/マイク・操作ボタン付 2019年モデル ブラック SBH82D B

ディスプレイ

ビデオ会議で画面が専有されてしまうと、ソースコードを確認したり、ブラウザで調べたり、資料を閲覧するなど、並行作業が難しくなります

これはゲーミング用ディスプレイですが、クオリティが高く、ブルーライトカットで目が疲れないので、サブ画面として使うと作業が快適です。

Acer ゲーミングモニター SigmaLine 24.5インチ KG251QIbmiipx 0.5ms 240Hz TN フルHD FreeSync フレームレス HDMI スピーカー内蔵 ブルーライト軽減

そんな場所がない!という方は、モバイルディスプレイを使うと場所も取らず、終わったら畳んだり、持ち運べるので、ベットやキッチンでもスマホゲームやYoutubeを投影したりなど仕事以外でも使えるので便利です!

モバイルモニター/Vecele 13.3インチ/ モバイルディスプレイ/フルHD IPSパネル/USB Type-C/標準HDMI/Micro-USB/ゲームモニター Switch/XBOX/PS4/サブディスプレイ/PC 対応用/軽薄型/正面全ガラス化

ビデオチャット時に部屋や顔を見せたくない時などに、便利な使い方です!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA