WEB会議・テレビ会議のセキュリティについて

昨年はコロナ禍もあり、爆発的なWEB会議・テレビ会議の普及の中でいくつか大きなトラブルも発生し、セキュリティについての問題も意識されるようになりました。

しかし、多くの企業でテレワーク等も普及して必要不可欠なツールとなっている中でどの程度セキュリティを意識していけばよいのかを利用するシステムに分けて説明していきます。利用するシステムによってセキュリティの必要性も変わってくるのでここではおおまかにWeb会議(主にインターネット経由でサービス・プロバイダ利用)、テレビ会議システム専用機(インターネット利用)、テレビ会議システム専用機(社内網などの専用網利用)の3つに分けて考えます。

Web会議

外部からの攻撃

昨年一気に利用が広まったZoomでトラブルが喧伝されたので、セキュリティへの関心も一気に広がりました。

攻撃者が無作為に開催中のZoomのチャットに侵入し、画面共有などにて不適切画像を参加者に無断で共有するZoom爆弾など、「なんでそんなことが起こるのだろうか?」と思うとともに、Zoom(に限らずWeb会議)は大丈夫なのか?と思う方も多かったようです。

当時も機能的にあったものもあると思いますが、現在では会議室へのパスワードの設定やホスト参加前のミーティングの開始の禁止、待機室の利用などの機能を使って防ぐことができるため、このような攻撃の話は聞かなくなりました。

Zoom爆弾に限ってみればパスワードの設定をすればほぼ防げるとは思いますが、ミーティングIDやパスワードの埋め込まれた参加用のURLを参加者に共有する際に誤ってメールを送ってしまったりすると受信した人は簡単に参加できる状況になってしまいます。予定していない参加者以外が参加したらすぐにわかるようなレベルの会議であれば問題ないとは思いますが、重要な会議だったり、参加者が多い会議などでは少し不十分ともいえるでしょう。

ただし、防御のための設定を入れれば入れるほど使い勝手は落ちてくるので利用目的に応じてどこまで厳格に運用するか考えるのがよいでしょう。

会議の盗み見

インターネット上で会議の情報が全て流れるので暗号化が必須と、多くのWEB会議ではAESという協力な暗号を利用して通信を保護しています。しかし、暗号を使っていないとしても会議の情報を通信回線上で盗み見するというのはかなり難しい話です。暗号化されていないフリーWifiを利用して会議に参加しているような状態であればデータのキャプチャも可能かもしれませんが、東京ー大阪間の会議のデータを名古屋で盗み見するなどということは狙ってできるようなことではありません。できるとすれば同じ社内にいるネットワークに精通している内部者か、WEB会議のサービス提供会社の人くらいではないかと思います。

暗号化をすれば万一キャプチャされても安心というのはそんな場合を想定しているのかもしれませんが。

逆に、データを盗みとるようなことをしなくても、テレワークで自宅やカフェなどで会議をしていたら家族や周囲の人に会議の内容がダダ漏れになってしまいます。そちらの意識の徹底がより重要に思います。

サービス提供会社

疑うわけではありませんが、可能性の問題として、一番なんでもできてしまうのはサービス提供会社になります。Zoom社も昨年、「暗号化ははエンドエンドで行っている」とか、いないとか、話題になっていましたが、サービス提供者側がその気になれば参加者がわからないように会議の内容を見たりするのは当然できる話です。こんなにすごいプログラムを作っているのですから。

サービス提供会社の中の誰かが悪い気を起こしても一人では盗み見をしたりできない仕組みがきっちりできていれば安心ですが、ユーザ側ではそこまでわからないです。(どこの会社もそうしていると言うとは思いますが)

聞いたことのない会社の無料のサービスなどで大事な会議はしないというのが最低限、さすがにここなら大丈夫だろうと思う会社のサービスを利用するのが無難かなと思います。シェアの高いサービスは使い勝手や利便性のみでなく、そのあたりも含んで人気なのだろうとは思います。

インターネット回線を利用したテレビ会議システム

専用の装置を利用したテレビ会議システムも以前から利用されておりますが、セキュリティの問題があまり公にならないので意識されないかたも多いかとは思いますが、いくつか注意点があります。ここでいう「インターネット回線を利用」というのはグローバルIPアドレスを直接利用して会議を行う形態で、インターネットVPNのようなものは含みません。

社内での会議のみですと専用の社内網などを利用するケースも多いですが、グループ会社等も含む社外の会社との会議を行う場合や、社内網にテレビ会議を流すとデータの帯域を圧迫する等の理由でインターネット回線を直接(ルータでNAT変換して利用する場合も含む)利用する会社も多いです。

外部からの攻撃

テレビ会議システムの専用機ですと、公開されているサーバーを利用するケースも少なく、どのアドレスで会議をしているかも外部からは容易にはわからないので勝手に会議に参加されるなどのケースはあまり聞いたことはありません。念の為テレビ会議の暗号化は有効にしておこうというレベルが多いかもしれません。

しかし、設定上で注意しておくことがあります。

テレビ会議システムをインターネット上で利用する際にはルーターやファイアウォールの機能を使って、テレビ会議システムで利用するポート番号以外の通信は遮断することが多いですが、メーカーや機種によって設定内容がまちまちだったり、メーカー指定のポート番号も実は使われたりと面倒なことも多く、このようなフィルターを入れていないケースも多いと思います。

そのようなケースでも直接テレビ会議で接続してくるようなケースはあまりないと思いますが、注意するのはブラウザからのアクセスです。テレビ会議システム側でWEBでのアクセスを拒否していれば問題ありませんが、アクセスを許容した上で、パスワードをある程度適切に設定していないと外部からテレビ会議システムにログインされる可能性もあります。

セキュリティの設定

テレビ会議システム上での設定としては暗号化は有効にしておくのが無難ですが、相手側も暗号化に対応していない機種だと暗号化はできないので、その場合には暗号化なしでも仕方ないです。

通信先が決まっているのであれば、ルーター等の設定で、通信可能な接続先を限定してしまうのが確実です。それができればほぼ問題ないと言えると思います。

専用網を利用したテレビ会議システム

外部からの攻撃

重要な会議を開催する企業等では社内の会議については専用網を利用して専用のテレビ会議システムを利用するテレビ会議を行っているところが多いと思います。インターネットから遮断されている時点で全くの部外者からのアタック等を受ける可能性はほぼないと言えると思います。

同じ社内網の中でもPC等ですとマルウェア等によってセキュリティのリスクはかなり高いですが、テレビ会議専用機はそもそも外部のアプリケーションを埋め込む等はできない仕組みなので、そのようなリスクも(たぶん全く)ないためです。

セキュリティの設定

セキュリティの設定も考えるとしては社内からの不正アクセスでしょうか。テレビ会議のネットワークが社内で一般的に利用するネットワークとも切り離されているようであればその心配もかなり少ないですが、会社の中からであればアクセス可能であればある程度のセキュリティはかけておいた方が無難でしょう。テレビ会議システムの設定を操作できるのは限られた担当者のみにするとか。

更に心配であれば一般の社内網からも遮断したり、参加拠点の会議室への入室を制限したりと、社員を疑ってかかるセキュリティ対策になろうと思います。そこまでの話は聞いたことはないですが。。

結論

見ていただけるとわかるようにセキュリティの高さは費用の高さや利便性・柔軟性の低さとほぼセットになっていきます。どこまで必要かとセットですし、シーンによって使い分けも解の一つです。

ただ、せっかくそれなりのものをそろえても設定が不十分だと費用がかかるだけで十分なセキュリティを確保し損ねていることになります。できる範囲で利便性を損なわずに適切な設定をすることが重要だと思います。