-Web会議セキュリティレポート.png?resize=768%2C432&ssl=1)
Web会議システムって?
新型コロナウィルス拡大にともない、テレワークなどが実施されはじめました。今までもIT企業やグローバル企業などではテレワークを実施していましたが、旧態依然とした企業でもテレワークをせざる得ない状況が進んでいます。
では、主要なWeb会議システムをご存知ですか?実はあんまり知られていないんじゃないかなーって思いまして。でNSA(アメリカ国家安全保障局)がWeb会議システムのセキュリティレポートをあげましたので、ちょうど良い機会かとまとめてみました。
働き方改革で柔軟な働き方をする施策の一つとして注目されており、一部の企業で導入は進んでいましたが、冒頭でもお伝えした通り感染防止による自粛活動により、さらに導入が進んできました。
そんなWeb会議システムにも多くの種類がありますが、特にアメリカで流行っているシステムをNSAがレポートしました。
NSAとは
NSAとはアメリカ国家安全保障局(National Security Agency)の略称です。アメリカのインテリジェンス・コミュニティーに属していてCIA(中央情報局/Central Intelligence Agency)との違いは?って感じで取り上げられます。
シギント(SIGINT; signal intelligence)と呼ばれる電子機器を使った情報収集活動とその分析、集積、報告を担当する。(Wikipedia引用)
CIA-大統領直轄
おもにヒューミント(HUMINT; human intelligence)と呼ばれるスパイなどの人間を使った諜報活動を担当する(Wikipedia引用)
つまり、NSAは機械関連の情報を、CIAが人的な情報を統括しています。
んで、CIAはアメリカの巨大な情報とすべての情報機関の情報をまとめて分析→大統領に報告するって感じです。
CIAの方が情報という点では上位機関ですが、NSAそれ自体、軍の下位組織ということでもなくCIAのように優先的な権限が認められていて各情報機関や情報収集にかかわる権限を持ってる特殊な組織でもあるんですよね。
アメリカの良いところは、いかに情報を大切にしているか、そして縦割りにせずに大切だと思われる点は横断的に権限をもたせるっていうところ。この辺りは日本と違うなぁと思ったりするわけです。
そんな、情報機器のスペシャリストがレポートしたってことで興味わいてくれましたか?
では、続いてNSAのレポートを解説していきます。
NSAのレポートを解説
情報機器のスペシャリスト、NSAのレポートを解説しました。一部抜粋になるので、もし、気になるようでしたら以下のリンクからレポート(英文)を参照してみてくださいませ。
続いてNSAのレポートを抜粋します!
概要
グローバルなパンデミックが発生したいま、多くの米国政府の要員は重要な国家機能を実行し続け、政府サービスの継続的なサポートを続けながら在宅勤務をしなくてはなりません。
PCやスマホなど政府が提供する機器はアクセスが制限されているので、個人所有の機器で商用のコミュニケーションサービスを使用する必要がでてきました。(通常は承認されない)
そのため、このガイドをリリースしました。
主な対象者は、在宅勤務、特にスマートフォンや家庭用コンピューターなどの個人所有のデバイスを使用する在宅勤務に従事している米国政府職員および兵隊です。(可能な場合は極力政府から渡されたサービスを利用すること。)
この表は、NSAの国家安全保障の顧客基盤全体からの問い合わせと使用方法によって推進されました。
政府は、この分析でリストされた製品のテストや評価を行っておらず、製品の公開された属性のみを確認しています。 リストはすべてを網羅しているわけではありません。
セキュリティ基準
Basic Functiona;ity(基本機能)
(a)テキストチャット、(b)音声会議、(c)ビデオ会議、(d)ファイル共有、(e)画面共有
1:エンドツーエンドでの暗号化を実装しているか?
エンドツーエンド(E2E)暗号化とは、コンテンツ(テキスト、音声、ビデオ、データなど)が送信者から受信者に至るまで暗号化され、途中のサーバーや他のサービスに理解されないことを意味します。なお、大規模なグループビデオチャットなどの一部のサービスはパフォーマンス上の理由からエンドツーエンドでの暗号化を搭載していません。
2:強力かつ有名でテスト可能な暗号化標準が使用されているか?
エンドツーエンドの暗号化がない場合でも、NSAは強力な暗号化標準、できればNIST承認のアルゴリズムと現在のIETFセキュアプロトコル標準の使用を推奨しています。「TLSやDTL・SSRTPなどの公開されたプロトコル標準の使用を推奨します。」製品ベンダーが独自の暗号化スキームまたはプロトコルを作成している場合、認定ラボによる独立した評価を受ける必要があります。
3:ユーザーのIDを検証するために多要素認証は使用されているか?
NSAは各ツールを利用する上で、認証の3要素である知識情報(パスワード等)、所持情報(ICカード等)、生体情報(指紋認証等)のうち、2つ以上を組み合わせて認証する「多要素認証」を使ってアカウントへのアクセスを許可する仕組みを提供する必要があると述べています。
4:主催者は接続するユーザーを確認および制御できるか?
NSAはログインパスワードや待合室などの機能によって制御できることが望ましいが、さらに強力な認証をサポートすることが望ましいです。と述べています。
5:サービスのプライバシーポリシーでは、ベンダーがサードパーティまたは関連会社とデータを共有することを許可しているか?
会議ツールには、運用に必要な連絡先の詳細やコンテンツなどの機密データを保護する必要があります。ユーザーIDに関連する情報やデバイス情報等をサードパーティと共有しないでください。もし共有する場合はプライバシーポリシーに明記する必要があります。
6:ユーザーは、必要に応じてサービスとそのリポジトリからデータを安全に削除できますか?
完全に安全な上書き/削除機能をサポートする可能性のあるサービスはありませんが、ユーザーにはコンテンツ(共有ファイル、チャットセッション、保存されたビデオセッションなど)を削除し、使用されなくなったアカウントを完全に削除する機会を与える必要があります。
NSAは「データの安全な上書き/削除機能を完全にサポートしているサービスはないと思われるが、ユーザーには共有したファイルやセッションの内容といったデータを削除し、使用されなくなったアカウントを永久に削除する機会が与えられるべきです」と述べています。
7:オープンソースで開発されているか?
NSAはオープンソース開発は、開発者が書きやすいように書かれていて、ユーザーとデータを危険にさらす脆弱性をもたらす可能性があります。と述べています。
8:全国もしくは政府機関によるレビューや認定はされていますか?
NSAは、Federal Risk and Authorization Management Program (FedRAMP) プログラムで評価することを推奨しています。(FedRAMP)とはアメリカ政府全てのプログラムで、クラウドサービスに対するセキュリティの評価・認証・継続的な監視に関する標準的な方法を提供しています。
※Teamsは上記表の (d)ファイル共有 は満たしています。
@●●(数字)は各ベンダーのクレジットなのでセキュリティ的観点では気にしないでいいです。
日本で主に使われて言うのは、「WebEX」、「G Suite」、「Microsoft Teams」、「Skype for Business」、「Slack」、「WhatsApp」、「Zoom」あたりかな?
最後に
それじゃ、まとめ!
Web会議システムとは会議専用のカメラなどを必要とせず、PCやスマートフォンに内蔵されたカメラ・スピーカーなどを用いて手軽に会議ができる仕組みのこと。
②NSAとは
NSA-国防総省直下
シギント(SIGINT; signal intelligence)と呼ばれる電子機器を使った情報収集活動とその分析、集積、報告を担当する。
③NSAレポートのセキュリティ基準
8つの基準をどこまで満たしているかを確認すること。
日本で多く使われているシステムをセキュリティの観点からすると以下の順序です。
・WebEX
・G Suite、Microsoft Teams、Skype for Business(後日Teamsに統合予定)
・Slack、Zoom
ただ、WebEXは超使いづらい&Web会議のみの機能なので、コミュニケーションHUBといった観点での使いやすさはTeamsかSlackあたりをオススメしますね。(WebEX利用者談)
(2020年5月時点の情報として参考としてください。)
WebEXが使いづらい理由はZoom創業者に関係あり!?興味があれば↓の記事を読んでみてね!
さて、どうです?
Withコロナ、AfterコロナからITソリューション活用の加速は否が応でもまぬがれないです。
そんななか、皆さんが選択する一助となれば嬉しいです!
おわりっ!!
