CEOレポート:90日間プランが完了し、Zoomが次に計画していること

CEOレポート:90日間プランが完了し、Zoomが次に計画していること

2020年の最初の数か月間、新しく異なるタイプのユーザーが当社のプラットフォームに殺到したため、Zoomのチームはサポートのために24時間体制で対応してきました。当社のシステムの需要は、ほとんどの会社が経験したことのないペースで、急激に増大しました。3月末になるに伴い、当社はストレスフリーのビデオ通信を1億名の日々のミーティング参加者に提供するという並外れたミッションには、セキュリティと個人情報保護にも焦点を当てる必要があることに気づきました。これらは当社がさらに改善する必要のある部分でした。

2020年4月1日、弊社はセキュリティと個人情報保護への対応策として多岐にわたる機能強化を行うことを約束しました。同日ロールアウトした90日間のプログラムにおいては、ZoomのDNAに安全性と個人情報保護を永続的に組み込む7つの取り組みに焦点が当てられました。本日、私はこれらのコミットメントのそれぞれの状況の最新情報をお伝えし、今後の道筋を共有します。

コミットメント#1:4月1日より、効率的かつ迅速に機能を凍結し、信頼性、安全性、個人情報の問題に集中して取り組むため、エンジニアリングの人材の配置転換を行います。

ステータス:個人情報保護、安全性またはセキュリティに関連しない機能については、すべてを90日間フリーズすることを定めました。エンジニアリングと製品のリソースすべてをこの方向に投入し、当社は以下を含む100を上回る機能をリリースしています:

  • Zoom 5.0
    • AES(Advanced Encryption Standard)256 GCM暗号化(無料および有料のすべてのユーザーが利用可能)
    • UIの更新 – セキュリティアイコン、データセンターのロケーションのクリックスルーのある緑の暗号化シールド
    • ユーザーを報告する
    • ミーティングのデフォルト – パスワード、待機室、画面共有の制限
    • 他の機能 – ホスト無効化の複数デバイスサインイン、ミュート解除の同意、クラウド録画の有効期限切れ、厳格なZoomチャットコントロールなど
  • Keybase買収とエンドツーエンドの暗号化の構築を開始(無料および有料のすべてのユーザー)
  • 場所によりカスタマイズされたデータルーティングを提供

今後に向けて、当社は、製品と機能の開発の各段階でセキュリティと個人情報保護が優先されるために必要な仕組みを確保しています:

  • 設計段階:セキュリティ要件、リスクアセスメント、脅威のモデリング
  • 構築:セキュアなコードのガイドライン、セルフサービスのスキャン、CI/CDのツール
  • テスト:セキュリティテスト、自動テスト実行、Webテストのツール
  • 段階:セキュアな構成、整合性モニタリング、要件の検証
  • 生産:当社のシステムのセキュリティ、システム状態、驚異の状況の監視

コミットメント#2:第三者機関の専門家や代表ユーザーと協力して包括的なレビューを行い、新たなユースケースを把握し、セキュリティ保護に努めます。

ステータス:私たちは、CISO諮問委員会、Lea Kissner、Alex Stamos、Luta Security、Bishop Fox、Trail of Bits、NCCグループ、Praetorian、Crowdstrike、Center for Democracy and Technologyなどの第三者機関の専門家グループと協力して、プロダクト、業務および方針を見直し、向上を図っています。このリストに記載されている全員が著しい貢献をしており、彼らの支援に当社は深く感謝しています。

コミットメント#3:データ、記録、コンテンツのリクエストに関する詳細を示す透明性レポートを作成します。

ステータス:Zoomに寄せられるデータ、記録およびコンテンツの要望に関する詳細情報を記載した透明性レポートのフレームワークおよびアプローチの定義においては著しい進歩を遂げました。今年後半に、今年最初となる第2四半期決算発表をご報告できることを楽しみにしております。その間、当社は政府のリクエストに対応する方法についてガイドを作成しました。また、当社は個人情報保護のポリシーを更新しています。これはもっぱら、理解しやすいように改善されていて、California Privacy Rights Statementが別に追加されています。これらの文書は、zoom.com/privacy-and-legalにてご覧いただけます。

コミットメント#4:現在のバグバウンティプログラムを強化します。

ステータス:セントラルバグリポジトリおよび関連するワークフローのプロセスを開発しました。このリポジトリは、PraetorianでトリアージされたHackerOne、Bugcrowd、およびsecurity@zoom.us(後者はNDAを必要としない)から脆弱性レポートを取り入れます。定期的なミーティングによる継続的なレビュープロセスを確立し、セキュリティ研究者や第三者評価者との連携を強化しました。また、Vulnerability and Bug Bountyの責任者と数人のAppsecエンジニアを雇いましたが、現在、さらにセキュリティエンジニアを雇用している過程にあり、脆弱性への対応に努力しています。その間に、当社は応答時間の改善に焦点を当てています。全体としてバグバウンティプログラムは強固であり、雇用目標を達成するに伴いさらに強化されます。当社はこのプロセスに支援を提供していただいたLuta Securityに感謝しています。

コミットメント#5:セキュリティとプライバシーのベストプラクティスに関する継続的な対話を促進するため、業界のCISOと協力し、CISO協議会を設立します。

ステータス:私たちは、SentinelOne、アリゾナ州立大学、HSBC、Sanofiなど、さまざまな業界の36人のCISOメンバーが率いるCISO評議会を立ち上げました。同評議会は、グローバル副CIO、ゲーリー・ソレンティーノが率いていて、過去3か月間に4回の会合を開き、地域のデータセンターの選択、暗号化、ミーティングの認証、ならびにユーザーへのレポート、パスワード、待機室などの機能などの重要な問題について意見を出し合いました。同協議会の成功は実証済みで、当社はこのプログラムをCISOラウンドテーブルと共に延長します。このラウンドテーブルは、CISOのお客様と当社のセキュリティチームリーダーの間のインタラクティブなディスカッションの場で、Zoomが講じた措置を理解し、将来に向けて当社のプラットフォームのセキュリティと個人情報保護を保証するためのものです。興味を示したCISOとCIOはZoomアカウントエグゼクティブに詳細を求めることができます。

コミットメント#6:問題点をさらに特定して解決するために、ホワイトボックス侵入テストを同時に実施します。

ステータス:Zoomは、Trail of Bits、NCCグループおよびBishop Foxなどの複数の企業と協力してプラットフォームの全般的な見直しを行いました。この作業は以下の範囲をカバーしています:

  • Zoomの生産環境で、パブリックおよび共同設置されたデータセンター:
    • クラウドの構成
    • 外部IPスペース
    • 内部生産ネットワーク
  • ZoomコアWebアプリケーションとZoomコーポレートネットワーク:
    • 内部ネットワーク
    • 外部ぺりメーター
  • コモンクライアントのためのパブリックAPI(Application Program Interface)
    • モバイルクライアント
    • デスクトップクライアント

Zoomは、セキュリティプログラムの基礎として、連続的な第三者機関のペネトレーションテストを実施することをコミットしています。

コミットメント#7:毎週水曜日週次ウェビナーを開催し、プライバシーとセキュリティに関する最新情報をコミュニティに提供します。

ステータス:本日のウェビナーを含めて、当社は13ものウェビナーを合計でホストしています。これは4月1日以来毎週水曜日に開催されています。これらのバーチャルイベントには、当社の上級職員やコンサルタントが多く参加していて、参加者からの質問をライブで受付けています。また、当社は、ウェビナーの要約と録画を毎週水曜日にブログで共有しています。当社はこれらのウェビナーを継続します。次回は7月15日で、その後毎月行われるようになります。

その他の主な最新情報

当社は、いくつかの追加の重要な手順を実行しました:

  • 4月1日以降に、次のような主要リーダーの人事異動がありました。
    • Velchamy Sankarlingamが、Zoomのプロダクトおよびエンジニアリング部門社長となる 
    • Jason Leeが、情報セキュリティ最高責任者となる
    • Aparna BawaがCOO(最高執行責任者)に指名され、Zoomのセキュリティの取り組みを監督するようになる
    • 副ゼネラルカウンセル、ならびに最高コンプライアンス・倫理責任者のLynn Haalandが、最高個人情報保護責任者も兼務するように指名される
    • Josh Kallmerが、パブリックポリシーとガバメントリレーションのグローバルリーダーとなる
    • Ginny Leeが、個人情報保護担当アソシエイトゼネラルカウンセルとなる
    • Mara Davisが、コンプライアンス・倫理担当アソシエイトゼネラルカウンセルとなる
    • Vunerability and Bug Bountyのリーダー、7月13日にスタート
    • Andy Grantが、Offensive Securityのリーダーとして7月13日にスタート
  • Zoom PhoneがZoom for Governmentに追加されました。これは既に米国で認可を得ています。米国連邦政府リスク・認証管理プログラム(Federal Risk and Authorization Management Program
  • アリゾナ州フェニックスおよびペンシルバニア州ピッツバーグに拠点を置く新しいオフィスでの使用量の増加をサポートするために、米国を拠点とするエンジニアチームの大幅な増員に引き続き取り組んで参ります

今後の目標

この期間に当社は意義ある変革を遂げ、当社のプラットフォームの安全性、個人情報保護、セキュリティを当社の業務すべての中心に据えることができました。このようにして、お客様からの信頼を得ることができるよう努力しています。私は、危機を迎えている世界中の人々を結び付ける上でZoomが担っている役割、ならびにZoomのチームが当社のプラットフォームを安全にするためにこの90日間に達成したすべてのことを誇りに思っています。

しかし、当社はここで立ち止まるわけにはいきません。個人情報保護とセキュリティは引き続きZoomで優先順位の高い取り組みであり、この90日間は実りあるものでしたが最初のステップに過ぎません。このレポートを通じて、私は新しいプロセスと人に関する情報を提供しています。これらはZoomが世界で最もストレスフリーで安全なビデオ通信プラットフォームとするために役立つプロセスと人です。

ご支援、ご辛抱、信頼をユーザーの皆様から賜りまして感謝したいと思います。当社の会社としての中核となる価値は、ケアです。この90日間で取ったアクションを通じてこれを示すことができたことを願っています。今後のアクションでもこれを引き続き示していきたいと思います。

この記事をシェアする