テレワークの導入に向けて、Web会議システムの活用を検討する企業も多いのではないでしょうか。
Web会議システムを使えばテレワーク環境下においてもスムーズにミーティングが実施でき、遠隔でも円滑に業務を進めやすくなります。
しかし、セキュリティには十分注意しなければなりません。
個々の従業員が注意すべきことでもありますが、企業側も特にこの問題を重く捉え、慎重に対応することが大事です。情報漏洩で大きな損害を生じるリスクがあるからです。
ここでは、Web会議システムの導入や運用にあたってIPAの注意喚起している内容を参考に、企業がチェックすべきポイントをまとめています。ぜひ参考にしてください。
目次
Web会議システム選定時のチェックポイント
IPA(独立行政法人情報処理推進機構)から、「Web会議サービスを使用する際のセキュリティ上の注意事項」(参照:https://www.ipa.go.jp/files/000083955.pdf)として資料が公表されています。
企業でWeb会議を主催する者や、情報システム部門等に向けた、本格的な注意事項がまとめられています。
まずは、Web会議システムを導入する際、ツールを選定するときのチェックポイントから見ていきましょう。
データセンターはどこ?
チェックポイントの1つは「データセンターの所在」です。
要は、「会議データがどこに置かれるのか」ということです。
Web会議では映像を含め、資料やチャットなど、多様なデータが受送信されます。そのため、そのデータの格納先は情報漏洩のリスクに影響が及びます。
近年だとクラウドサービスとして提供されていることが多いですが、この場合、負荷を分散するため、海外のデータセンターが使われていることがあります。
そしてデータセンターが海外にあるということは現地政府によって、現地の法に基づいた取扱いを受けるおそれがあることを意味します。
特に、データセンターに関する契約を交わさないサービスの場合には留意しましょう。
会議参加者の認証機能は十分?
会議への参加を許可していない者が勝手に参加してくるリスクもあります。セキュリティ機能が十分なサービスであれば防ぐこともできますが、機能性不十分であったり、運用方法が適切でなかったりすると、意図しない者が参加してしまうかもしれません。
会議の妨害だけで済めば良いのですが、機密情報が漏らされたりすると大変です。
そこで、会議の案内については安全な経路を使用したメールなどによって通知をし、さらに参加者の確認方式および認証方式の選定にも配慮しなければいけません。
具体的な機能としては以下のものが挙げられます。
- 参加者を強制退室させる機能
- 会議パスワード設定機能
- ロビー(待機室)での参加者確認機能
- 参加者を事前登録する機能
- 二要素認証機能
- 参加者名の設定機能
通信は暗号化されている?
データセンターの安全が担保され、意図しない者の参加を防げたとしても、会議内容の通信が盗み見られては意味がありません。
データの改ざんをされるリスクも生じます。
そこで、通信過程も安全であることが重要です。
この観点からは2つ、チェックすべきポイントがあります。
1つ目は「Web会議システムのベンダーが暗号鍵を持つかどうか」、
2つ目は「安全な通信方式が採用されているかどうか」です。
ベンダーが暗号鍵を持つ場合、そのベンダーや現地政府が復号するリスクを伴います。
これに対しベンダーが暗号鍵を持たないエンドツーエンド方式である場合には参加者のデバイスにて暗号化および復号化が行われ、ベンダーは復号できません。
2つ目の通信方式・暗号アルゴリズムについては、それぞれTLS暗号設定ガイドラインやCRYPTREC暗号リストを参考にして安全性を確認するようにしましょう。
法令遵守されている?
ベンダーのコンプライアンスについても考慮する必要があります。
確認すべきは、「プライバシーポリシー」や、「脆弱性等の問題に対する企業の対応姿勢」が挙げられます。
プライバシーポリシーでは、個人情報の取扱いに関する規定、第三者提供の規定をチェックします。個人情報保護法に準拠したルールになっていることを確認しましょう。脆弱性がないことを確認することは当然ですが、脆弱性が発見されたときの企業の対応についてもチェックすべきです。
脆弱性の発生状況等についてはこちら(JVN iPedia:https://jvndb.jvn.jp/)から調べることができます。
企業のホームページもチェックしてみましょう。
Web会議を安全に開催するためのチェックポイント
前項の内容はWeb会議の導入段階でチェックすべきものでしたが、以下で、その運用段階でのポイントを説明していきます。
Web会議の機密性と適切な開催方法の選択
会議といっても、その内容によって機密性が異なり、求められる安全性は異なります。重大な内容でなければ高度に安全性を確保するより、迅速性が求められます。
逆に機密性が高い時には、例として以下の手法も検討しましょう。
- 資料の共有をしない
- 録画機能はOFFにする
- 待機室機能をONにする
- 会議パスワードと会議案内のメールを別経路で通知する
- 参加者の顔を確認してから実施する
テレワーク環境とデバイスの見直し
会議そのものが安全でも、テレワークをしている従業員等のデバイスがセキュアでなければ危険です。
企業から安全な端末を支給するか、私物である場合にはBYODとして許可され一定の対策が施された端末を使用すべきです。
また、情報漏洩の危険が伴うのは会議内容だけではありません。参加者個人の情報、例えば背景として映り込む自宅の情報なども含みます。
意図しない映り込みがないかチェックしてもらい、必要に応じて背景の設定などを行うべきでしょう。
Web会議終了後のデータ削除
機密性の高い会議の場合、会議から発生した各種データの削除を実施しましょう。
録音データ、共有資料、チャットなどのデータも、クラウド上に格納されたときにはクライアント端末へ移動・暗号化して削除を実施します。
テレワークでは個人の端末を使用する機会も増えますが、デバイスのセキュリティに対しては様々なサービスが展開されていますので、遠隔でのセキュリティ対策、遠隔操作などが可能なサービスの利用も検討すると良いでしょう。デバイスの紛失・盗難時にも活躍します。
「YubiKey」で会社のコンプライアンスレベルを上げましょう
弊社では、GoogleやFacebookなどといった世界的企業をはじめ4,000を超える企業が利用している「YubiKey」をおすすめしています。
PCに挿すだけでセキュリティを多要素認証にでき、手間と費用を抑えながら、安心安全なシステム環境を整えられる「YubiKey」で、あなたの会社のコンプライアンスレベルを上げましょう。
※「YubiKey」取扱会社であるPJ-T&C合同会社は、弊社のパートナー企業です。
オンラインストア:https://yubikey.pj-tc.com/store/