在宅ワークや、リモートワーク勤務が増え、需要が急増しているWeb会議システム。
しかし、セキュリティ面での不安があるサービスも多々ある事で、安全性や危険性に不安を感じている人や企業も多いと思うので、アメリカ国家安全保障局(NSA)によるセキュリティ評価を参考にしましょう。
NSAによるWeb会議システムのセキュリティ評価
NSAはアメリカの安全保障を担う国家機関で、中央情報局(CIA)が人間を使って諜報活動を行うのに対し、NSAは電子機器を使った情報収集活動とその分析、集積、報告を担当しており、アメリカサイバー軍の歴代司令官もNSA出身者となっています。
ファイブアイズの軍事目的の通信傍受システムである「エシュロン」を運用し、世界中の情報を吸い上げているとされています。
NSA内部の「国立コンピューター保安センター」では、セキュリティ問題の調査や研究を行っており、評価を行う上で、最高峰の機関と言えます。
NSAのWeb会議システムセキュリティ評価ポイント
1.エンドツーエンド暗号化(E2E暗号化)を実装しているか?
E2E暗号化はプライバシー保護技術で、サービスの利用者(暗号化を使用する利用者)のみが鍵を持ち、サービスの管理者やプロバイダなどを含めて、第三者が盗聴できない様にします。
2.E2E暗号化が無い場合は強力な暗号化の標準使用しているか?
「E2E暗号化が無い場合でも、NSAは強力な暗号化の標準使用を推奨します」としており、具体的には「TLS、DTLS、SRTPなどの公開されたプロトコル標準の使用が推奨されます。」としています。
3.多要素認証(MFA)は利用できるか?
多要素認証とは、アクセス権限を得るのに必要な本人確認において、複数の要素をユーザーに要求する認証方式です。
4.ユーザーはセッションに接続するユーザーを確認、制御可能か?
「主催者がセッションへのアクセスを招待されたユーザーだけに制限する必要があります。ログインパスワードや待合室などの機能で実装し、適度に強力な認証をサポートする。参加者が参加できる時期も確認できる必要があります」としている。
5.プライバシーポリシーにより、サードパーティーとデータ共有をしているか?
「Web会議システムは、運用に必要な特定の基本情報を収集する必要があるが、機密性の高い連絡先の詳細や、Web会議の情報や会話をサードパーティーと共有するべきではない。」そのほか、ユーザーID、デバイス情報、セッション履歴、その他の情報を含むとしています。
6.ユーザーがサービス提供しているサーバーやリポジトリから安全にデータ削除可能か?
「完全に安全な上書き、削除機能をサポートする可能性のあるサービスはありませんが、ユーザーにはコンテンツ(共有ファイル、セッション情報、録画された会議内容)を削除し、使用しないアカウントを完全に削除できるべき」としています。
7.Web会議システムのソースコードは公開されているか?
「オープンソース開発は、安全なプログラミングの最も効率の良い方法ですが、ユーザーとデータを危険にさらす可能性のある脆弱性または弱点を引き起こす可能性がある」としています。
8.サービスやアプリが、セキュリティに重点を置いた機関によるレビュー、認定がされているか?
「NSAはクラウドサービスを行政機関の下で評価する事を推奨しています(FedRAMP)。また、サービス提供企業から独立した企業が評価する事を推奨しています。」としています。
NSAによるWeb会議システムセキュリティ評価一覧表
当サイトでおすすめしているWeb会議システム「マイクロソフト Skype Meet Now」「Google Meet」は、良い評価を得ている様です。このセキュリティ評価一覧表と以下の記事の機能比較表も見て、自分に合ったサービスを選びましょう。
