90日セキュリティプランの進捗状況に関するレポート:6月24日

90日セキュリティプランの進捗状況に関するレポート:6月24日

Zoomプラットフォームのセキュリティとプライバシーの向上を図る90日セキュリティプランを進める中、最近の製品のセキュリティ更新(バグバウンティプログラムに関する取り組みや5.1.1クライアントリリースに伴うアップデートなど)に重点を置いて、今週の「Ask Eric Anything」ウェビナーが開催されました。

ZoomのCEO、Eric S. Yuanが、製品・エンジニアリング担当社長のVelchamy Sankarlingam、ZoomのCPOであるOded Gal、Zoom製品セキュリティ責任者のRandy Barrとともに、今週のセッションに登場しました。

Q&Aセッションには、Zoom CTOのBrendan Ittelson、ZoomプライバシーおよびセキュリティアドバイザーのAlex Stamos、Zoomの次席法務顧問、コンプライアンスおよび倫理担当最高責任者のLynn Haalandも参加しました。

Jason LeeのCISO就任を発表

Ericはウェビナーの初めに、新情報セキュリティ最高責任者としてJason Leeを指名し、2020年6月29日から正式に就任することを発表しました。Salesforceのセキュリティ運用担当シニアバイスプレジデントやMicrosoftのセキュリティエンジニアリング担当主任ディレクターなど、20年に及ぶ経験で培った情報セキュリティやミッションクリティカルなサービスの運用に関する専門知識を活かした手腕が期待されます。製品のセキュリティとプライバシーを改善するための継続的な取り組みの一環として、プラットフォームの安全性向上において重要な役割を果たしてくれるでしょう。

製品最新情報

今週末、5.1.1クライアントとウェブをリリースします。以下のような変更・改善点が盛り込まれます:

  • バーチャル背景の一元管理:アカウント管理者は、組織で使用されているバーチャル背景を管理し、事前に承認された背景のリストから選択できるようにします。
  • ミーティング設定のウェブポータルセキュリティヘッダー:セキュリティヘッダーは、パスワードや待機室、認証方法などのセキュリティ関連の設定を一つに見やすくまとめた、ウェブポータルのミーティング設定に表示されます。
  • Zoomチャットの最新情報: ユーザーは自分のプレゼンス(在室)ステータスを外部の連絡先から隠すことができ、外部の連絡先がチャンネルやグループチャットに新しいユーザーを追加しないようにすることもできます。

Velchamy Sankarlingamの紹介

VMwareでクラウドサービス開発・運用担当シニアバイスプレジデントを務めていたVelchamy Sankarlingamが、Zoomのプロダクトおよびエンジニアリング部門社長に就任したことがEricから発表されました。20年以上の経験を持つクラウドおよびコラボレーションソフトウェアのベテランとして、Velchamyは豊富な経験と知識をチームにもたらしてくれます。Zoomの製品、エンジニアリング、DevOpsチームの取り組みを総括してくれるのを非常に楽しみにしています。

新しいミーティングセキュリティ要件

7月19日からは、有料・無料アカウントのすべてのミーティングで、ミーティングの安全性とセキュリティを向上するため、パスコードまたは待機室を有効にする必要があります。いずれの設定も無効の場合は、Zoomが待機室を有効にします。すでにパスコードまたは待機室のいずれかを有効に設定している場合は、ミーティングのスケジュール設定には変更はありません。既存のミーティングにパスコードを追加する場合、カレンダーの招待状にパスコードを含めて再送信する必要がありますが、パスコードを有効にして新しいミーティングを設定した場合、自動的にミーティングの招待状にパスコードが含まれるようになります。待機室が有効に設定している場合、ミーティングのスケジュール設定方法に変更はありません。

バグバウンティプログラムの最新情報

バグバウンティプログラムと脆弱性開示プログラムの最新情報をRandyが紹介しました。90日プランの一環として、当社では、内部の脆弱性処理プロセスと、使用しているバグバウンティプラットフォームの有効性を評価しています。バグバウンティプログラムと脆弱性開示の取り組みを改善するため、ISO 29147と30111に準拠したセントラルバグリポジトリと関連するワークフロープロセスを開発しました。このリポジトリは、PraetorianでトリアージされたHackerOne、Bugcrowd、およびsecurity@zoom.us (後者はNDAを必要としない)からの入力を取り入れます。定期的なミーティングによる継続的なレビュープロセスを確立し、セキュリティ研究者や第三者評価者との連携を強化しました。

Q&A

バグバウンティをZoomに報告するにはどうすれば良いですか?

バグバウンティは、security@zoom.us宛にお送りください。当社の専任チームが各申請を確認し、問題に対処する担当者を割り当てます。

今も、有料・無料アカウントのどちらにも暗号化を提供しているのですか?

はい、有料・無料アカウントのいずれの場合も、すべてのミーティングは、AES 256ビットGCM暗号化を適用しています。無料・有料アカウントのいずれの場合も、エンドツーエンドの暗号化を有効にし、安全性の高いミーティング環境を構築します。

Zoomは、ユーザーデータを収集し、販売しているのですか?

お客様が当社のプラットフォームを利用する際、当社がサービスを提供できるよう、必要なIPアドレスなどの情報は収集しますが、お客様の情報を販売することはありません。

管理者がパスコードや待機室の設定をグローバルにリセットするオプションはありますか?

アカウント管理者は、これらの設定をアカウントレベルで有効にしたり、ロックしたりすることができるので、すべてのミーティングとユーザーのセキュリティ設定がデフォルトで有効になります。グループまたはユーザーごとに、パスコードや待機室を有効に設定することもできます。

待機室はどのような仕組みになっていますか?

待機室を有効にした場合、参加者は一時的にバーチャルロビーに入り、ホストが参加者の身元を確認し、一人ひとり、あるいは一括で参加を許可します。待機室機能はアカウント、グループ、ユーザー、ミーティングごとに有効にできます。

皆様のご協力に感謝します

今週のセッションにご参加いただきありがとうございました。質問を送信してくださったユーザーの皆様にも感謝を申し上げます。Zoomを世界で最も安全なエンタープライズ向けコミュニケーションプラットフォームにするための皆様のご協力に感謝いたします。

今週のセッションに参加できなかった方も、こちらで録画をご視聴いただけます。

Zoomに関するご質問やフィードバックは、answers@zoom.us宛にEメールをお送りください。また、来週の「Ask Eric Anything」ウェビナーにぜひサインアップしてください。

この記事をシェアする