事故から学ぶ

米ズーム・ビデオにプライバシー懸念浮上、新型コロナで利用急増の中

事故概要

業種
発生時期 2020/04/3
漏えい人数
事故概要

テレビ会議サービスの米ズーム・ビデオ・コミュニケーションズは、新型コロナウイルス感染拡大の中で利用が急増し、株価上昇が目立つ数少ない銘柄の一つだが、ここにきてユーザーのプライバシーとセキュリティーを巡る懸念が浮上している。
ユーザーの1人が最近、個人情報を違法に開示しているとして同社を提訴。またロイター通信は1日、スペース・エクスプロレーション・テクノロジーズ(スペースX)がプライバシー懸念から、従業員にズームの利用を禁じたと報じた。
こうした状況を受け、オデッド・ガル最高製品責任者は「当社の暗号化慣行に最近関心が寄せられていることを踏まえ、ズーム上での会議に対するエンドツーエンド(E2E)の暗号化という不正確な示唆により混乱が生じたことについてまずおわびしたい」とブログに投稿。「顧客を欺く意図は決してなかったものの、一般に受け入れられているE2E暗号化の定義と、当社のその使い方に食い違いがあることを認める」と説明した。

引用元 Bloomberg

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-3(第20条)安全管理措置 パソコン設定(インターネット利用 不正ログイン防止)

チェックリストにある要求ルール:

利用中のウェブサービス・インターネットサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認し、社内共有して社内での対策を確実に実施していますか?
自分が理解できないセキュリティー設定に関しては、勝手な解釈や判断を行わず、専門家や専任者の意見を踏まえた防御策を構築と監視をしていますか?
パスワードは数字だけのものを避けて、記号を含むなどの複雑なものにしていますか?
2段階認証、2要素認証が可能な場合は設定していますか?
安全性を確認せずにサイトからファイルをダウンロードしていませんか?
感染した、情報が洩れている、などのサイトからの指示に惑わされ、システム管理者の許可を得ず勝手にフィルをダウロードしていませんか?

■ 推奨対策

対策:

テレワークの普及に伴う新たなリスクである。ネットを利用したサービスやアプリでトレンドになったものは、多くの悪意ある人物から徹底的に狙われる。
不正の兆候を感知した時には、すでに手遅れであった、というのが常態化しているので、想定想像できるリスクに対し手を打っておくことが常に要求される。

具体例:

トレンドに昇り詰めるのであれば、セキュリティーインシデントレポートを幅広に集め、毎日リスク評価をする必要がある。トレンドに対する不正アクセス成功者は、ブラックマーケットの称賛を浴び評価が高まることを、セキュリティー担当者は真剣にとらえておく必要がある。生半可な安全対策はまったく意味をなさないので、経営者はセキュリティーへの投資を常に必要経費に算定しておくべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。