CEOレポート:90日プランが終了、Zoomの次の挑戦

CEOレポート:90日プランが終了、Zoomの次の挑戦

2020年に入ってからの数ヵ月で、当社のプラットフォームは利用者数が急増し、さまざまな新しいユーザーにご利用いただくようになりました。Zoomチームは24時間体制で、サポートに当たりました。当社のシステムに対する需要は爆発的に増大し、他の企業が経験したことのない規模であったと思います。3月が終わりに近づいた頃、「世界の数億人のユーザーにストレスフリーなビデオ通信を届ける」という当社のミッションには、セキュリティとプライバシーの向上が不可欠であり、さらに力を入れなくてはならないと、認識を新たにしました 

2020年4月1日、セキュリティとプライバシー保護を強化するさまざまな取り組みを約束しました。この日発表した90日セキュリティプランは、ZoomのDNAにセキュリティとプライバシーを永続的に埋め込むための7つの取り組みに重点を置いています。今日は、これらの取り組みの進捗状況を報告するとともに、今後の道筋を皆さんにお伝えします。 

取り組み 1:4月1日より、効率的かつ迅速に機能の凍結を実行し、信頼性、安全性、プライバシーの問題に集中して取り組むため、エンジニアリングの人材の配置転換を実行します。

現状:プライバシー、安全性、セキュリティに関係のないすべての機能を90日間凍結しました。この方向性を目指し、エンジニアリングと製品の人材を総動員して、以下のような100以上の機能をリリースしました。

  • Zoom 5.0
    • すべてのミーティングにAES 256ビットGCM暗号化を有効化(無料/有料のすべてのユーザーに適用) 詳細については、https://support.zoom.us/hc/ja/articles/360043555772をご覧ください。
    • UIのアップデート:セキュリティアイコン、グリーンの暗号化シールド、データセンターの場所のクリックスルー
    • ユーザーレポート
    • ミーティングのデフォルト:パスコード、待機室、限定の画面共有
    • その他の機能:ホストによる複数のデバイスログインの無効化、ミュート解除の同意、クラウド録画の有効期限設定、Zoomチャットコントロールの強化など
  • Keybaseを買収し、エンドツーエンド暗号化の構築を開始(無料/有料の全ユーザーに適用)
  • 地域別にカスタマイズされたデータルーティングを提供

今後も、製品と機能開発の各段階において、セキュリティとプライバシーを優先事項とするためのメカニズムを導入していきます。

  • 設計段階:セキュリティ要件、リスク評価、脅威のモデル化 
  • 構築:セキュアなコードガイドライン、セルフサービスのスキャン、CI/CDツール
  • 検査:セキュリティテスト、自動化テスト実行、ウェブテストツール
  • 実施:セキュリティの高い構成、整合性の監視、検証された要件
  • 生産:当社システムのセキュリティ、システムの健全性、脅威の状況を監視 

取り組み 2:第三者機関の専門家や代表者を協力して包括的なレビューを行い、新たなユースケースを把握し、セキュリティとプライバシー保護に努めます。

現状:CISO評議会、Lea Kissner、Alex Stamos、Luta Security、Bishop Fox、Trail of Bits、NCC Group、Praetorian、Crowdstrike、Center for Democracy and Technology、プライバシー、安全、およびインクルージョンの分野における組織を含め、サードパーティの専門家のグループと協力して、当社の製品、慣行、ポリシーを見直し、強化しました。ここに挙げた方々は多大な貢献をしていただきました。皆さんの協力に深く感謝しています。 

取り組み 3:データ、記録、コンテンツのリクエストに関する詳細を示す透明性レポート作成に取り組む

現状:Zoomがデータ、記録、またはコンテンツに関する詳細をまとめた透明性レポートの枠組みとアプローチの定義において大きく前進しました。今年後半の第1回目のレポートでは、第2四半期のデータをお届けします。また、先日、政府からの要請に対応する際のガイドを作成しました。また、わかりやすくすることを目的としてプライバシーポリシーを更新し、カリフォルニアプライバシー権利法を別途追加しました。資料に関しては、zoom.com/privacy-and-legalをご覧ください。

取り組み 4:現在のバグ報奨金プログラムの強化

現状:セントラルバグリポジトリと関連するワークフロープロセスを開発しました。このリポジトリは、PraetorianでトリアージされたHackerOne、Bugcrowd、security@zoom.us(後者はNDAを必要としない)から脆弱性レポートを取得します。毎日のミーティングによる継続的なレビュープロセスを確立し、セキュリティ研究者や第三者評価者との連携を強化しました。また、脆弱性とバグ報奨金プログラムの責任者とappsecエンジニアを新たに採用し、さらに脆弱性専属のセキュリティエンジニアを増員する予定です。また、レスポンスまでの時間短縮にも力を入れています。バグ報奨プロセスは堅牢であり、採用目標を達成すれば、より強固になるでしょう。このプロセスに関しては、Luta Securityの協力に感謝します。

取り組み 5:セキュリティとプライバシーのベストプラクティスに関する継続的な対話を促進するため、業界のCISOと協力し、CISO評議会を設立

現状:SentinelOne、アリゾナ州立大学、HSBC、Sanofiを含め、さまざまな業界の36名のCISOで構成されるCISO評議会を設立しました。副CIOのGary Sorrentinoが統括するこの評議会は、過去3ヵ月間で4回開催され、地域のデータセンターの選択、暗号化、ミーティングの認証、ユーザーの通報、パスコード、待機室の機能などの重要な事項について助言を行いました。評議会の成功が証明されたので、当社はこのプログラムをCISOラウンドテーブル(Zoomがプラットフォームのセキュリティとプライバシーを確保する現段階と今後の手段を理解するために、CISOの顧客と当社のセキュリティチームのリーダーとの間のインタラクティブなディスカッション)で拡大する予定です。関心のあるCISOおよびCIOは、Zoomアカウントエクゼクティブまで詳細をお問い合わせください。  

取り組み 6:問題点を特定して解決するため、ホワイトボックス侵入テストを同時に実施

現状:Zoom は、Trail of Bits、NCCグループ、Bishop Foxなどの複数の企業に、当社のプラットフォーム全体の見直しを依頼しました。評議会の責任:

  • Zoom本番環境(パブリックおよび共同データセンター) 
    • クラウド構成
    • 外部IP分野
    • 社内本番ネットワーク
  • ZoomコアウェブアプリケーションとZoom企業ネットワーク:
    • 社内ネットワーク
    • 周辺
  • 共通クライアント向けパブリックAPI
    • モバイルクライアント
    • デスクトップクライアント

Zoomは、セキュリティプログラムの基盤として、継続的な第三者ペネトレーションテスト(侵入テスト)に取り組んでいます。 

取り組み 7:毎週水曜日、週次ウェビナーを開催し、プライバシーとセキュリティに関する最新情報をコミュニティに提供

現状:本日分を含め、4月1日から毎週水曜日、合計13回のウェビナーを開催しました。これらのバーチャルイベントでは、当社の役員やコンサルタントが参加者からライブで質問を受けました。また、ウェビナーの要約と録画を毎週水曜日にブログで公開しました。このウェビナーは継続しますが、次回は7月15日に開催し、その後は、月1回のペースに移ります。 

その他の最新情報

そのほか、注目すべき追加措置を講じました。

  • 4月1日以降、当社では、以下のような経営陣の刷新を行いました。 
    • Velchamy Sankarlingam:プロダクトおよびエンジニアリング部門社長 
    • Jason Lee:情報セキュリティ最高責任者
    • Damien Hooper-Campbell:最高ダイバーシティ責任者
    • Aparna Bawa:最高執行責任者に任命され、現在はZoomのセキュリティ事業を総括
    • Lynn Haaland:次席法務顧問兼コンプライアンスおよび企業倫理最高責任者、最高プライバシー責任者に任命
    • H.R. McMaster:Zoom取締役に新規加入
    • Josh Kallmer:グローバル公共政策および政府渉外の責任者 
    • Ginny Lee:法務・プライバシー担当次席顧問 
    • Mara Davis:コンプライアンス・倫理担当次席顧問
    • 7月13日より、脆弱性・バグ報奨金プログラム責任者
    • Andy Grant:7月13日より、攻撃的セキュリティ責任者
  • FedRAMP(米国連邦政府によるリスクおよび認証管理プログラム)で認可済みの政府向けZoomにZoom Phoneが追加されました。
  • アリゾナ州フェニックスとペンシルバニア州ピッツバーグを拠点とする新しいオフィスを開設し、利用件数の増加をサポートするため、米国を拠点とするエンジニアリングチームの強化に引き続き取り組んでいきます。

今後の挑戦

これまでの期間は、当社に大きな意義ある変化をもたらし、お客様の信頼に値する企業として成長するにはプラットフォームの安全性、プライバシー保護、セキュリティ強化が事業の核であるという認識を新たにしました。世界が危機に直面する中、Zoomが人々を繋ぐ役割を果たしてきたこと、そして当社のチームがプラットフォームの安全性の向上のためにこの90日間に達成した成果に対し、誇りに感じると同時に謙虚な気持ちになっています。 

しかし、私たちはここで立ち止まりません。そして、立ち止まるわけにはいかないのです。プライバシーとセキュリティは、Zoomにとって継続的な優先事項であり、この90日プランの期間は、実りあるものではありますが、次への一歩に過ぎません。このレポートでは、Zoomが「世界で最もストレスフリーかつ安全なビデオ通信プラットフォーム」になるための、新しいプロセスと人材について説明しました。

ユーザーの皆さんのご支援、忍耐、そして信頼に感謝します。企業としての当社の価値観は「思いやり」です。この90日間の行動を通じて、そして今後の行動においても、この価値観を示していきたいと考えています。

最新情報をまとめたPDF版のサマリーをダウンロード

この記事をシェアする