【Web会議クラウドサービス】
企業はどんなセキュリティ対策を実施するべきか?
「セキュリティ対策」といっても、いろいろな状況から対策を考える必要があります。企業の知的財産や技術、顧客データー、社員の生年月日を含むプライベート情報など、企業で管理しているさまざまなデーターを、漏洩や悪用から守るためのセキュリティ対策。またこのような機密情報が話材として取り扱われるオンライン会議での会議内容や情報を、外部に出さない・漏らさないようにするための対策も考えなくてはいけません。
社内に限らず、社外ともオンライン会議を実施するにあたり、情報漏洩を防止する事が最重要事項となりますが、ユーザーのちょっとした油断や運用面から漏洩してしまうケースもたくさんあります。
この章では、Web会議クラウドサービスのセキュリティ対策を、目で見える「モノ(物理的な手法)」と運用やルールで強化できる「コト(論理的な手法)」の2つの「物事」から考えたいと思います。
Web会議クラウドサービスのセキュリティを「物事」で考える(モノ編)
Web会議クラウドサービスのセキュリティ対策で、一番気をつけるべき事は「ユーザー(利用者)」の使い方です。クラウドサービス側で強固なセキュリティを設定しても、ユーザーがセキュリティに無関心だったり、自分には関係ないと思っていると、思わぬところで情報漏洩がおこってしまうケースがあります。
前章で「自分でできる!【Zoom】のセキュリティ強度を高める方法」をご紹介しましたが、Web会議クラウドサービス全般で活用できる、物事の「モノ」から見た物理的なセキュリティ強化方法をご紹介します。
簡単な事ではありますが、意外に軽視されがちな強化方法ですので、リモートワーク中のオンライン会議で「自分はちゃんと出来ているか?」を確認してみてください。
カメラの背景を変更する・ぼかす、カメラミュートにする
Zoomの機能にもありますが、自分のカメラ映像の背景を変更するなど、自身以外の映像は映さないようにしましょう。
例えば会社の自席から社外の方とオンライン会議する際、自分の後ろにホワイトボードや掲示板があるような場所では、ホワイトボードに書かれている内容を読み取られてしまう可能性があります。またリモートワークで自宅からオンライン会議に参加する際も、部屋の様子が丸見えでは自分のプライバシーを守ることができません。
ご利用のWeb会議クラウドサービスに「背景を変える」「背景をぼかす」などの機能が実装されていれば、設定をONにして背景を隠すようにしてください。このような機能がなければ、利用するクラウドサービスアプリの操作メニューから、カメラの状態を「カメラミュート」にして自分の映像を見えなくし、音声と資料表示でオンライン会議に参加することをおすすめします。
Zoomを使ってご説明します。
カメラ映像の背景にホワイトボードや掲示板がある場合、内容を読み取られてしまう可能性があります。
利用するクラウドサービスに「背景を変える」「背景をぼかす」などの機能が実装されていれば、背景変更をおすすめします。
Zoomの場合は、初期設定で利用できる背景のほか、自分のお気に入りの画像を背景として設定する事も可能です。
背景を変更できないサービスの場合、カメラミュートしてWebカメラ映像全体を相手に映さないことで、プライバシーを守ることができます。
Zoomの場合、カメラミュートするとプロフィール設定した自分のアイコンがカメラ映像の代わりに表示されます。
ヘッドセットを利用し、こまめにマイクミュートする
オンライン会議に参加する際に、音声デバイスとして利用する「ヘッドセット」もしくは「マイクスピーカー」ですが、会社の自席から個人(1人)でオンライン会議に参加する場合はヘッドセットを利用しましょう。
マイクスピーカーでは、相手の声がスピーカーから聞こえてしまうため、周りに会話内容が伝わってしまいます。マイクスピーカーを利用する場合は、会議室やミーティングスペースなど、外部に音声が漏れない・聞こえない場所での利用をおすすめします。
ヘッドセットを利用する際、自分が話さない時は「こまめにマイクミュート」をしましょう。収音性の高いヘッドセットだと、社内の隣の席で電話や会話をしている音声をマイクが収音し、社外のオンライン会議参加者に聞こえてしまう可能性があります。
またリモートワークからオンライン会議に参加すると、生活音など自分が気にならない「音」も収音される可能性が高いので、プライバシー保護の観点からすると、こまめにマイクミュートすることをおすすめします。
マイクスピーカーは自席では利用せず、会議室やミーティングスペースなど、外部に音声が漏れない・聞こえない場所で利用しましょう。
ヘッドセット利用時は、隣人の会話内容や自宅の生活音をマイクが収音してしまう可能性が高いので、こまめにマイクミュートしましょう。
自社(会社)が承認(許可)しているサービス、デバイスを利用する
Web会議クラウドサービスだけではなく、リモートワークを実施する際のセキュリティ対策として、自社(会社)が承認(許可)しているクラウドサービスやパソコンなどのデバイスを利用するようにしましょう。
社外から招待されたオンライン会議に参加する場合、そのサービスや利用する仮想会議室に何のセキュリティも設定されていなければ、思わぬトラブルに巻き込まれる可能性があります。
また自宅で使っているプライベートなパソコンや、ネットワークを利用してオンライン会議に参加してしまうと、インターネット上のウイルス感染や、プライベート情報の漏洩を招きかねません。必ず自社が承認しているサービスやデバイスを利用し、承認されていないサービスでのオンライン会議を社外の方から招待された場合は、必ずIT担当者や情報システム部に確認しましょう。
パソコン・タブレット・ヘッドセットなどのデバイスや、ネットワーク、Web会議クラウドサービスは、会社が承認しているモノを利用しましょう。
もし承認外のデバイスやサービス、ネットワークを利用してトラブルが発生した場合、利用した「自分」が責任を負わなければいけません。
ちょっとした事なのですが、セキュリティ面での大きなトラブルは、ルール違反から起こっていることが非常に多いのです。
Web会議クラウドサービスのセキュリティを「物事」で考える(コト編)
次は、Web会議クラウドサービスのセキュリティを論理的に「運用やルール」で強化する手法をご紹介します。社内で共用する設備や備品を利用する場合、必ず運用方法やルールが決められますが、なかなか社員が守ってくれない・浸透しないなど、管理者にとっては悩みどころですよね。ですが、これからご紹介する「3つ」の運用ルールを徹底していただくだけで、セキュリティ強化が見込まれます。誰でもできる簡単な方法ですので、ぜひ実践してみてください。
オンライン会議の招待メールは、必ず会議参加者だけに送る
オンライン会議を開催する場合、必ず接続先VMR(仮想会議室)のURLとPIN(暗証)番号を会議参加者に伝える必要があります。
サービス上で会議予約し、予約設定できた内容のテキストをコピーした後、メールにペーストして参加者に会議招待メールを送る、という方法が多いと思いますが、ここで注意していただきたいのが、この招待メールを送る際、この会議に「参加しない人」をメールの CC に入れない、ということです。
この会議には参加しないが、進行しているプロジェクトメンバーなので招待メールに CC で追加し、状況を知っておいて欲しいという気持ちもありますが、招待されていない関係者が間違って会議URLに接続してしまう可能性も考えられます。
また送られてきた招待メールを利用して、関係者以外の方に使いまわしメールしてしまう可能性も考えられます。オンライン会議の招待メールは、必ず会議参加者だけに送りましょう。また招待メールを使いまわしたメールのやり取りは絶対に控えてください。
Zoomを使ってオンライン会議の予約設定方法からご紹介します。
スケジュールアイコンをクリックし、ミーティングをスケジューリングします。会議名、日時やセキュリティ設定した後、スケジュールボタンをクリックすると会議予約が完了します。
次に、操作画面の上にあるミーティングアイコンをクリックします。
先程会議予約した「〇〇プロジェクト 進捗ミーティング」の「招待をコピー」ボタンをクリックすると、設定された会議内容がテキストでコピーされます。
お使いのメーラーでテキストのペーストを行います。会議名や時間、接続先URLなどがペーストされます。
あとは会議参加者のメールアドレスを入れて送信するだけなのですが、CC に「会議に参加しない人」を追加しないようにして下さい。情報漏洩の原因となったり、間違って会議に参加される可能性があります。
不特定多数の人が閲覧できるSNSなどに、会議URLやPIN(暗証)番号は掲示しない
Zoomのセキュリティ問題で、利用者が被害を受けた一番多い報告として、不特定多数の人が閲覧できるSNSにオンライン会議情報を掲示したことによる「Zoom爆弾」の多発がありました。
ツイッターやフェイスブック、インスタグラムにオンライン会議情報を掲載してしまうと、関係ないまったくの他人までオンライン会議に参加できてしまいます。
ビジネスシーンでこのような事をする方はいないと思いますが、社外の方とプロジェクトチームを組んでいる場合などで、Microsoft TeamsやWebex Teamsで共通書き込みのできる「グループチャット」をご利用の方も多いと思います。プロジェクトチームのメンバーであっても、開催されるオンライン会議に参加しない人もいますので、グループチャット内でも会議情報の掲載は控えてください。社内、または社外の関係者とおこなうオンライン会議のURLやPIN番号は「機密情報」レベルで取り扱ってください。
こちらはMicrosoft Teamsのグループチャット画面です。このチャットスペースでは「12人」のメンバーでテキストチャットを行っています。
オンライン会議を行う際、毎回このメンバー全員が参加するとも限りませんので、会議参加者には別途メールで告知するなど、グループチャット内に会議情報を掲載しないようにしましょう。
こちらはWebex Teamsで利用できるグループチャットの画面です。以前弊社のセミナー開催時に、社外(メーカー)の方と利用したチャットスペースです。
社内外あわせ8名で利用していました。Microsoft Teamsでも書かせていただきましたが、オンライン会議情報は、グループチャット内には掲載しないようにしましょう。特に社外とのグループチャットスペースでは掲載しないようにして下さい。
リモートデスクトップ機能は利用禁止にする
オンライン会議中に会議資料を表示してミーティングを進める機会も多いですが、資料表示中「リモートデスクトップ機能」を使うと、資料表示している方のパソコンを遠隔操作する事ができます。パソコンやクラウドサービスの操作が不慣れな方にとっては、遠隔で操作してくれるので助かるのですが、この機能は悪用されると大問題になりかねません。
一般的に行われるオンライン会議でのリモートデスクトップ機能は利用禁止にすることをおすすめします。Zoomの「リモート制御のリクエスト」を見ながら、なぜ利用してはいけないのかをご説明します。
Zoomを利用したオンライン会議中です。相手から会社案内のpdfが資料共有されています。資料受信画面の上にパソコンのカーソルを当てると、オプションを表示という項目が出てきます。その中の「リモート制御のリクエスト」を選択すると、表示されている相手のpdfをこちら側からリモートで操作できます。
※リクエストした時に、会議主催者が許可しなければ機能しません。
リモート操作権限を許可してしまうと、表示されているテキストや画像を、リモート操作側でコピーできてしまいます。
こちらの画像はリモート操作で資料のテキストをコピーしている様子です。エクセルで書かれた会計データーや顧客情報データーも、このようにテキストや画像コピーすることで情報を抜き取ることができます。
【さらに注意!】パソコンのデスクトップやハードディスク、共有フォルダーなどに対してリモート操作権限を許可してしまうと、個人データーで収まらず、社内の重要なデーターが全て抜き取られる可能性があります。
特に社外とのオンライン会議では、リモート操作機能は絶対に利用しないでください。
最後に
アプリの機能やデバイスからセキュリティを高める「モノ」手法と、運用やルールから対策する「コト」手法をご紹介しましたが、いかがだったでしょうか?
本文中にもありますが、社内で共用する設備や備品を利用する場合、必ず利用方法や運用方法、ルールなどが決められますが、なかなか社員が守ってくれない・浸透しないケースをよく耳にします。
手軽に使えるWeb会議クラウドサービスですが、その手軽さゆえ、重要な情報やデーターも軽視しがちになってしまいます。「ちょっとだけだったら」「他の人もやってるだろう」という軽率な使い方をしてしまうと、サービス上で設定しているセキュリティ効果もなくなってしまいます。
社内で決めている運用やルールにそぐわない利用は控えるとともに、サービスを利用する際に分からない事や疑問に思った事は、必ずIT管理者もしくは情報システム部へご相談ください。
次回は、Zoom以外のWeb会議サービスで利用実績が高く、多くの企業が採用している「4つ」のWeb会議サービスから、セキュリティを強化する設定方法をご紹介いたします。