Zoom のセキュリティ問題で、逆に安心した話

 みなさん、発信してますかぁー?

 新型コロナウィルスの影響が長引くにつれて、テレワークやテレクラス(遠隔授業)が急激に広まっているようです。

 そこで必要になるのが、webミーティングの利用です。これまでは利用に消極的だった人たちの間でも、必要に迫られて広まり始めているようで、webミーティングのプラットフォームを提供している事業者は、需要に追いつくのが大変というニュースも目にするようになりました。

 そんな中、この分野の最大手として知られている Zoom 社のサービスは、「セキュリティ上問題がある」と米国で発表されたことが大きな話題になりました。

 SpaceX や NASA が Zoom の利用をすぐさま禁止した、というニュースも伝わってきて不安が広がったようですが、Zoom社(NASDAQ上場企業)のその後の対応のスピードが早かったです。

 札幌Geezerは、webミーティングをホストする際には “Google Meet” という Zoom とは別のサービスを使っていますが、Zoom を使ったミーティングにも参加することもあるため、少々気になります。

 そこで、「情報はソースにあたれ」の精神で、この件を少し深掘りしてみました。

どのようなセキュリティ上の問題が指摘されているのか?

 まず騒ぎの発端ですが、これは米国内で、Zoomを利用したテレクラスに、第三者が侵入して、よからぬ画像を表示したりする『ズーム爆弾』の報告が相次いだことにあるようです(米FBIによる公報はこちら)。

ホスト側の注意で防止できる『ズーム爆弾』

 学校が提供している遠隔授業に侵入されたのではたまりませんが、こうしたことは、ミーティングを主催する側が必要な対策をきちんと取ることで、防止できるようです。

 上記のFBIの公報にも、

  • パスワードや待合室機能を使い、適切な入室管理を行うこと
  • 会議室のリンク情報を公開しないこと
  • 画面シェア機能は、ホストのみに限定しておくこと
  • 参加者が最新版のアプリ(2020年1月に更新)を使っていることを確認すること

などが指示されています。

 入室のためのリンクが、仮に外部に漏れてしまっても入室させないための機能がちゃんと備わっていることが分かります。でも、使い始めの頃は他の機能に埋もれてしまって少々分かりにくいのが、難点といえば難点かもしれません。

 ちなみに、”Google Meet” の場合には、ひとりひとりの入室を主催者が許可するようになっていますので、誤って入室させてしまわない限り、知らない人が入り込むことはありません。

 リンク情報をSNSなどの公開の場でばらまく人がいるということには、驚かれるかも知れませんが、でもよく考えてみると、SNSは友達とやり取りをする安全な場所だと勘違いしている生徒・児童がいても、不思議でもなんでもありません。

 また、集客目的のセミナーなどでは、一人でも多くの人に参加してもらいたいという気持ちから、リンクを公開してしまうということもありそうです。でも、誰が参加したのか分からない状態になってしまうのであれば「意味がなくない?」と、私なんかは思うワケですが、いかがでしょう?

脆弱性などシステム側の問題

 一度ネガティブなことで取り上げられてしまうと、いろいろなクレームが始まるというのは、日米共通なのかも知れません。セキュリティー関連の問題点がいくつか指摘される結果となました。

 具体的には、iOSアプリに問題点が見つかったり、チャット利用時などに脆弱性が見つかったようです。

 でもいずれについても、もう既に対応済みようで、詳細については Zoom社のブログ(英語)に公表されています。取りあえずの暫定的な対応ということになるのでしょうが、素早い対応には、逆に安心感を覚えます。また、同社がツイッターでつぶやいているように、こうした指摘を歓迎するとのことですし、新たなものが指摘された場合には、きちんと対応してくれそうです。

 話は飛びますが、Zoom のユーザ数は、昨年末時点では一日の利用者数は1000万人だったのが、この3月にはなんと一気に2億人になったのだそうです。クラウドサービスを使っているからこそできることなのでしょうが、ユーザ数がこれだけ一気に増えると、さぞかし現場は大変だったろうと思うわけです。

 そうした状況下での素早い対応は、まさにアメリカンだと思うのですが、これは私の偏見かも知れません。あ、自分ではアメリカかぶれだとは、思っていませんので、そこんところは宜しくです(笑)。

 でもこうして一連の流れを見てみると、今回の騒ぎでは、逆に Zoom社のファンになった人が多いはずです。

何を持って安心とするか?

 リモートワークや遠隔授業は、今がまさに、一般ユーザに広まっている時期だと思いますが、インターネット上で新しいツールが「広く一般に(←ここが重要)」広まる時というのは、使い始める側としては、「不安があるんだけれども」状態の人が多いと思います。

 記憶に新しいのは、日本のどこぞの大手企業が始めたスマホ決済。あれ、結局なくなってしまったんですよね?Zoom 社と比較するのは酷かも知れませんが、社長自らが先頭に立って情報を積極的に公開していれば、異なった結果になったかも知れないなーなんて、素人考えですが、思ったりしています。

 安心感って、考えれば考えるほどワケがわからなくなるものだと思いますが、今回のように大きな話題になるようなことが発生したときは、やはり「情報はソースにあたれ」だと、札幌Geezer的には強く感じます。

ズーム爆弾は、主催者側で防止できる

 ニュースサイトなどから情報を辿っていく過程で、どうやら技術的なこと云々よりも、無頓着なユーザが増えたことによるトラブルが多く発生していたようだということが分かりましたし、「ズーム爆弾」もミーティングに招かれなかった人のやっかみから起ることもあるらしいと知って、「あぁー、そういうことね」と妙に納得できたりもしました。

 この程度を知るだけでも、安心感ってあると思いますよ。

 もちろん専門家からみれば、この程度では無頓着に見えるのかもしれませんが、それはそれでOKだと思うのです。システムサイドの技術的なことまで、私達一般ユーザが、理解する必要性はないはずです。

 これはちょうど、玄関のドアをかけたから安心というのと同じで、これだって鍵の仕組みのプロからすると、気休めにしかなっていないはずなのです。

 なので技術的な細かいことは、専門家に任せておいていいのではないでしょうか?すると、ソフトやアプリの更新はきちんとして、ユーザとして注意すべきところは、きちんと把握してから使い始めるということで十分なはずです。

 少なくとも、今回のZoom社の対応からは、そんな安心感が、私的には伝わってきます。

参考:Zoom 以外のWebミーティングのサービス

 Zoomは一般消費者の間で人気を博して急に広まったようですが、リモートワークや遠隔授業に利用できるプラットフォームは、たくさんあります。

  • 札幌Geezerが使っているGoogle Meetは、GSuite の一部として提供されているため実質有料です。
    (2020年5月7日追記)無料のGoogleアカウントでもMeetが使えるようになりました。Google社による公式発表はこちら
  • Microsoft社が提供しているのは、Teams 。Office 365の一部として提供されているようです。Meetと同様実質有料。Microsoft派の皆さんは、こちらでしょう。
  • あのAmazonが提供しているのは、Chime。こちらは、クラウドサービスを使う企業向けの趣きです。
  • CISCO社が提供しているのは、Webex。インターネットを支えるルーターを製造している会社ですが、早くからリモートワークを推進していることでも知られているようです。
  • 変わり種としては、Signal。こちらはメッセージとビデオ通話用のアプリですが、寄付によって運営されていることで知られています。大手企業などによる無料の通信手段を使いたくない人向けです。
  • などなど、他にも多数あり。

 コロナウィルスの影響が長期化する中、リモートワークを導入したいけれどもどこからどのように始めたら良いのかわからず躊躇されている読者の方がもしいらっしゃれば、『日本テレワーク協会』のサイトが分かりやすいと思います。

 無料コンサルティングも提供しているようですので、参考までに、ここで紹介しておきます。