Web会議のセキュリティでチェックしておきたい10のポイント|SkypeやZoomの比較表あり

Web会議は、従来の会議室でおこなう会議と比べて、多くの費用や手間を省くことができるなどのメリットが挙げられます。
しかしWeb会議は、インターネットを通してやり取りするため、セキュリティについての不安を抱いている人もいるのではないでしょうか。
企業にとって情報漏洩や不正アクセスなどはあってはなりませんよね。
そこで、企業の重要な会議でもWeb会議は利用できるのか、Web会議のセキュリティ対策についてまとめました。

Web会議のセキュリティで気になること

Web会議をする際、セキュリティ面には十分に注意する必要があります。
インターネット上にはフィッシングサイトやサイバー犯罪などの多くの危険があります。
そのため、個人の不注意や、十分にセキュリティ対策がされていないWeb会議を利用することによって、情報漏洩や不正アクセスにつながってしまいます。

日本ネットワークセキュリティ協会の「2017年 情報セキュリティインシデントに関する調査報告書」によると、情報漏洩が起きる原因の上位3つは誤操作25.1%、紛失・物忘れ21.8%、不正アクセス17.4%という結果となっています。
これらを含め、Web会議に潜むセキュリティリスクについてみていきましょう。

盗聴・のぞき見

Web会議は専用の会議室を必要としないため、自宅や外出先、どこでもWeb会議をすることができます。そのため、注意をしなければ、第三者に画面ののぞき見や盗聴される恐れがあります。
安全にWeb会議をおこなうには、周囲に部外者がいない場所を選ばなければなりません。

誤操作

Web会議システムでは、会議ルームのURLを会議参加者に共有することで会議を開けるものもあります。
その場合、会議ルームのURLなどを誤送信をしないように気を付けたり、むやみに多くの人に教えないなどの注意を払ったりする必要があります。

不正アクセス・ウイルス感染

いくら個人で注意していても、インターネット上でおこなわれるWeb会議は第三者の侵入やウイルス感染、サイバー攻撃などの多くの危険が存在しています。
これらは個人の注意だけではどうしようもありません。
そのため、しっかりしたセキュリティ対策がされているパソコンやスマホなどのデバイスを使用することが大切です。

紛失・物忘れ

Web会議のセキュリティを考えるときに、システムそのものやデバイスのセキュリティにとらわれがちですが、先ほども紹介したように、情報漏えいの原因として「紛失・物忘れ」も気を付ければならないポイントです。
いくらセキュリティの高いWeb会議システムを使っていても、仕事で使うパソコンやスマホを紛失したり、どこかに置き忘れてしまったりしては意味がありません。Web会議システムのなかには、紛失・物忘れを想定したセキュリティ機能が備わっているものもあります。

そこで今回は、Web会議の導入を検討している方のために、セキュリティに関するチェックポイントを紹介します。
セキュリティを重視したいという企業は参考にしてみてはいかがでしょうか。

Web会議のセキュリティチェックポイント:サービス編

セキュリティチェックポイント①:公的認証を取得している

Web会議を利用するにあたって、セキュリティについて第三者機関が正式に認められているものであれば、より安心できますよね。
セキュリティの安全性を認める代表的なものに、プライバシーマークとISMS認証(ISO27001)があります。

プライバシーマーク

プライバシーマークは、日本工業規格の1つで、個人情報の取り扱いを適切に行っている事業者に対して、一般財団法人日本情報経済社会推進協会(JIPDEC)が認証するものです。
プライバシーマークは、主に個人情報を保護する目的として取り組まれていています。プライバシーマークを取得しているWeb会議システムの事業者は、個人情報を正しく取り扱っているということを第三者から認められているといえます。

ISMS認証(ISO/IEC27001)

ISMS認証は、情報セキュリティマネジメントシステムに関する認証制度です。現在では、一般社団法人情報マネジメントシステム認定センターで認定をおこなっています。

ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。

引用:情報セキュリティマネジメントシステム(ISMS)とは|情報マネジメントシステム認定センター(ISMS-AC)

ISMSは、情報セキュリティを適切に取り扱っている企業に対して、情報資産全般を審査をし、情報の機密性などを評価します。
また、ISMSは国際規格(ISO/IEC27001)の基準を準拠しているため、国際的に認められた認証といえます。

セキュリティチェックポイント②:通信が暗号化されている

インターネット上で情報をやり取りするため、データが盗まれたり、漏れたりする危険は常にあります。そのため、Web会議システムの通信が暗号化されているかは重要なポイントです。
Web会議で音声やデータ、文書、動画などをやり取りする際に、通信が暗号化されていると、データを読み取られることを防ぎ、より安全なやり取りをすることができます。

Web会議システムで使われている暗号化の方法には主にSSL暗号化とAES暗号化があります。

SSL暗号化

SSLとはSecure Socket Layerの略で、インターネットを通して、送受信する際にネットの情報を暗号化するプロトコルのことです。
URLが「https://~」となっていればSSL暗号化がなされている証拠で、ブラウザ上に表示されているURLで確かめることができます。

AES暗号化

AESは、Advanced Encryption Standardの略で、アメリカで標準的な暗号化方式として採用されている技術です。
無線LANなどの暗号化に採用されていることが多く、現状において強度の高い暗号化技術であるとされています。

セキュリティチェックポイント③:オンプレミスでサービスを提供している

オンプレミス型とは、企業が専用のサーバーを自社で導入し、必要なソフトウェアをダウンロードし運用していく形態です。
クラウド上でのWeb会議は、常に外部からの危険が潜んでいます。

しかし、オンプレミス型のWeb会議は、自社でサーバーを保有するため、外部からの影響を受けにくい点がメリットです。
クラウド型よりも導入費用などのコストはかかりますが、セキュリティ面においてはより安心できます。Web会議のセキュリティに不安がある人はオンプレミス型のWeb会議を利用するのも1つの手です。

セキュリティチェックポイント④:ペネトレーションテストをクリアしている

ペネトレーションテストとは、インターネットに接続されているシステムに対し、これまでの技術を用いて侵入を試すテストのことです。
システムは常に外部からの攻撃を受ける可能性があり、危険に晒されています。それらの攻撃に対して、システムのセキュリティツールが耐えれるかなどをテストをします。

Web会議によっては、脆弱性を減らすために、定期的にペネトレーションテストを行っているものもあります。定期的にテストをすることで、アップデートに伴う新しいサーバー攻撃などからも防御できるようになります。
そのため、このテストが定期的になされているWeb会議は新しい攻撃の対策もできており、安全性が高いといえるでしょう。

Web会議のセキュリティチェックポイント:機能編

セキュリティチェックポイント⑤:ユーザーを管理できる

Web会議では、主催者が会議ルームを立ち上げて、参加者がその会議ルームに参加するという方法が一般的です。そのため、会議ルームに誰が入室しているのか、入室できる権限があるのかなどを適切に把握する必要があります。
そこで重要なのがユーザー管理の機能です。利用者ごとに権限や利用制限を設定することができます。この機能によって管理者はユーザーを把握するだけでなく、不正利用の防止にも役立ちます。

セキュリティチェックポイント⑥:通信履歴やログが保存されている

Web会議をする際に、通信履歴やログが保存されていると、いつ誰がどの操作をおこなったか把握することができます。
そのため、Web会議の参加者が適切に利用しているかを確かめることができます。

また、万が一、外部からの侵入があった場合に、通信記録から容疑者を特定できるのがメリットです。
いつ、どの経路で侵入したかを知ることができるので、今後のセキュリティ対策にも役に立てることができるでしょう。

セキュリティチェックポイント⑦:接続するIPアドレスを制限できる

IPアドレスは、インターネット上で、接続された機器が持つ番号です。
IPアドレスは現実世界での住所と似たようなもので、同じIPアドレスは存在しません
そのため、IPアドレスを制限する機能があれば、端末を識別し、なりすましなどの不正アクセスを防ぐことができます。

セキュリティチェックポイント⑧:端末認証ができる

ログインIDやパスワードだけでは、セキュリティについて安心できるとはいい切れません。IDやパスワードの管理だけでは、他の人に知られてしまった場合、不正ログインをされる恐れがあります。
また、端末を紛失や盗難した場合も、不正利用をされてしまう可能性もあります。
その場合、端末認証の機能があれば安心です。紛失した場合、利用端末から削除したり、未登録の端末を拒否することができます。
IDやパスワードと合わせて利用すれば、セキュリティは強くなり、より安心して利用できるでしょう。

セキュリティチェックポイント⑨:Web会議ルームにパスワードを設定できる

Web会議システムには、会議ルームのURLを共有するだけで会議を開催できるなど、パスワードが必要のないものもあります。
しかし、パスワードがないWeb会議ルームでは、誰でも簡単に入室できてしまい、不正アクセスの危険があります。

Web会議ルームにパスワードを設定できるなど、Web会議ルームへの入室制限をかけることで、不正アクセスや不正利用の防止に役立ちます。
仮にパスワード機能があっても、同じパスワードを長く利用していると、いつの間にか部外者に漏れてしまったり、予測されたりしてしまいます。

そのため、パスワードを定期的に変更することも重要です。
パスワード機能がついているだけでなく、変更できる機能もついているWeb会議を選ぶと良いのではないでしょうか。

セキュリティチェックポイント⑩:Web会議ルームのURLが毎回違う

URLを共有して、Web会議を開催できるWeb会議システムはとても便利です。しかし、そのURLにもセキュリティ面で確認しておきたいことがあります。
定期的な会議を、Web会議を使っておこなう場合、そのWeb会議ルームを使い続けることになります。
また、Web会議ルームの数に制限があるWeb会議システムでは、いくつかの会議で同じWeb会議ルームを使い回すということも考えられます。

これでは、過去に会議に参加したことがある人にWeb会議ルームを知られてしまい、不正利用や情報漏洩の温床になってしまいます。一度、使ったWeb会議ルームを何度も利用することは、セキュリティ上おすすめできません。
そのため、URLの共有をするWeb会議システムを利用する場合は、毎回会議ルームのURLが変わるものを選びましょう。

主要Web会議システムのセキュリティ比較表

ここでは、Web会議の定番Skypeと、最近注目が集まっているZoomについて、セキュリティのチェック項目をまとめてみました。
Web会議を導入する際の参考にしてみてください。

項目 Skype/Skype for Business Zoom
公的認証 〇(ISMS認証) ×
暗号化通信 〇(SSL、AES) 〇(SSL、AES)
オンプレミス型 ×
ペネトレーションテスト
ユーザー管理 無料×/有料〇 無料×/有料〇
通信履歴やログの保存 無料△/有料〇 無料△/有料〇
接続するIPアドレスを制限 無料×/有料△(※1) 無料×/有料×
端末認証 無料×/有料△(※2) 無料×/有料×
Web会議ルームのログインパスワード設定 無料×/有料× 無料〇/有料〇
URLが毎回違う 無料〇/有料〇 無料〇/有料〇

※Skypeの有料版はSkype for Businessを、Zoomの有料版は大企業向け仕様のライセンスを参照
※1:Azure Active Directory Premium1というライセンスを別途購入すれば可能
※2:Azure Active Directory Premium1またはMicrosoft Intuneモバイル管理がを利用すれば可能

Web会議のセキュリティ対策について見直しましょう

現在では、URLを共有するだけで簡単に会議を開催できるものなど、さまざまなWeb会議がいくつか提供されています。
そのような、誰でも気軽に利用できるWeb会議は便利ではありますが、セキュリティ面からみると不安な要素も考えられます。

企業は、多くの重要な情報を扱っています。
そのため、企業でWeb会議を利用する場合は、セキュリティ対策がなされていることは重要なチェックポイントです。
企業で利用する際には改めて、Web会議のセキュリティについて考えてみてはいかがでしょうか。

公式Facebookページでもチェック最新記事をお届けします