90日セキュリティプランの進捗状況に関するレポート:5月20日

90日セキュリティプランの進捗状況に関するレポート:5月20日

プラットフォームのセキュリティとプライバシーを向上させる90日セキュリティプランを進めるにあたり、今週の 「Ask Eric Anything」 ウェビナーでは、安全性の確保、Zoom PhoneのFedRAMP認定、Zoomのバグバウンティプログラムを取り上げました。

Zoom CEOのEric S. Yuanのウェビナーには、Zoom CPOのOded GalとZoom副法務顧問、最高コンプライアンス兼倫理担当責任者のLynn、Luta Securityの創設者兼CEOのKatie Moussourisが加わりました。Zoom CTOのBrendan Ittelson、プライバシーと暗号化に関してZoomの顧問を務めているGoogleの前プライバシーテクノロジーグローバル責任者、Lea KissnerもQ&Aセッションに参加しました。

先週の最新情報と予定されている今後のプラン:

今週のセッションの要点

Zoom PhoneFedRAMP認証を取得

本日付けで、Zoom PhoneがU.S.FedRAMPによる認証を取得したことを発表しました。 認証を取得したことで、米国連邦政府機関および請負業者は、政府サービス向けの広範囲な認定Zoomの一環として、Zoom Phoneを使用できるようになります。政府向けZoomは、米国政府機関に、Zoomミーティング、チャット、Zoomビデオウェビナー、会議室ソリューション、そしてZoom Phoneを含む、Zoom UCaaS完全ソリューションを提供します。

安全なミーティング

Lynn Haalandは、ミーティングを妨害する荒らしを防ぐ対策として、Zoomがこの数ヵ月行ってきた取り組みについて説明しました。つまり、特定のユーザーのパスワードや待合室などのデフォルトのセキュリティ設定の追加、セキュリティアイコンのミーティング中のセキュリティ制御の表示、レポート作成機構の追加、法執行機関などのオンラインプラットフォームとの緊密な連携、セキュリティのベストプラクティスに関するユーザーの教育などです。

Lynnから、Zoomミーティングのセキュリティを守るヒントについても説明がありました。

  • ミーティングIDやパスワード(あるいはその両方)を公的に共有しない。
  • 待機室、パスワード、画面共有の制限など、Zoomのデフォルトのセキュリティ機能を常にオンにしておく。
  • ビデオを無効にする、参加者をミュートする、参加者を削除する、ミーティングをロックするなど、ホストのプライバシーとセキュリティ機能の知識を深める。
  • ユーザーのミーティング登録

また、Lynnは、Zoomミーティングは、インターネット上で招待を告知するような大規模な公開イベントを想定して設計されていない、と説明しました。そのようなイベントの場合、オーディエンスやエクスペリエンスをコントロールできるZoomビデオウェビナーの利用を強く推奨しています。サポートページでミーティングとウェビナーの詳細をチェックしてください。

Zoomバグバウンティプログラム

Zoomのセキュリティコンサルタントを務め、Luta Securityの創設者兼CEOのKatie Moussourisは、Zoomバグバウンティプログラムについて説明しました。これは、セキュリティ研究者を含むすべての関係者がクラウドソースのモデルを使ってバグを発見し、報告するプログラムです。また、Zoomでは、変更を導入する前に、プログラムを最適化するために、幅広いコミュニティからのフィードバックを求めているとも述べました。

Zoom 5.0リリースのお知らせ

Zoom 5.0は、4月27日に公開になり、2020年5月30日にはシステム全体のアカウントがAES 256ビットGCM暗号化に対して有効になる予定です。これ以降は、Zoom Roomsを含め、バージョン5.0以降のZoomクライアント以外、Zoomミーティングに参加できなくなります。変更を完了していないお客様には、Zoom 5.0以降へのアップグレードを呼びかけています。Zoom管理者は、 IT管理者ページにアクセスして、更新状況をそれぞれの環境で管理する必要があります。ユーザーの皆様は、zoom.us/testgcmでGCMのエクスペリエンスをプレビューすることができます。

エンドツーエンドの暗号化デザイン文書を金曜日に発表

今週金曜日、エンドツーエンドの暗号化サービスの詳細な暗号設計のドラフトをGitHubで公開する予定です。暗号の専門家、顧客、利益団体と議論し、最終設計を評価するためのフィードバックを求める予定です。

Q&A

今週のウェビナー参加者から寄せられた質問の一部を紹介します。

セキュリティバグがあった場合、どのように報告したらよいですか?

zoom.us/securityにアクセスするか、メール(security@zoom.us)でご報告ください。

Chromebookを使用している場合、どのようにZoom 5.0クライアントをダウンロードしたらよいですか?

Chromebookユーザーは、GoogleアプリストアからZoom Chromebookアプリケーションをダウンロードし、Zoomウェブクライアントを使用できます。アプリケーションは常に最新にアップデートされています。

ユーザーがZoomにレポートを送信すると、アカウント管理者に通知が届きますか?

ホストまたは共同ホストがユーザーの報告機能を使用してミーティング参加者を報告すると、レポートがトラスト&セーフティチームに送信されます。ただし、将来的には、特定の状況でユーザーの1人が報告された場合、そのアカウントの管理者に通知する予定です。

ホスト以外もミーティングを録画できますか?

ホストは、別の参加者が録画にアクセスするのを許可しますが、ホストの同意がなければ、録画を開始することはできません。

522日のエンドツーエンド暗号化に関するドラフト設計の詳細を教えてください。

5月22日にリリース予定のドラフトでは、エンドツーエンドで暗号化されたビデオサービスを構築するための計画と設計を公開します。このドラフトには実際のコードは含まれません。エンドツーエンドの暗号化サービスを開発する前に、皆さんからのフィードバックを集め、評価したいと考えています。

待機室のユーザーのID(身元)を確認するため、プライベートチャットを許可する予定はありますか?

Odedによると、これは最も要求が多い機能で、計画のロードマップに入っているということです。

「全員のミュート解除」機能を外したのはなぜですか?今後、この機能を再開する可能性はありますか?

ユーザーインターフェイスから「全員のミュート解除」機能を外したのは、ホストが同意なく参加者のミュートを解除できるからです。将来的にこの機能を再開する予定です。しかし、ホストがミーティング中に参加者のミュートを解除するには、同意が必要になります。

皆様のご協力に感謝します

今週のセッションにご参加いただきありがとうございました。質問を送信してくださったユーザーの皆様にも感謝を申し上げます。Zoomを世界で最も安全なエンタープライズ向け通信プラットフォームにするための皆様のご協力に感謝いたします。

今週のセッションに参加できなかった方も、こちらで録画をご視聴いただけます。

Zoomに関するご質問やご感想は、answers@zoom.us宛にEメールをお送りください。また、来週の「Ask Eric Anything」ウェビナーにぜひサインアップしてください。

この投稿のPDF版をダウンロードする

 

 

この記事をシェアする