家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

Web会議のセキュリティ注意事項について

概要

コロナの影響もあり最近はリモートワークがに関する話題が多くなっています。それに伴い、Web会議のツールの利用も増えています。Web会議ツールは業務以外にもリモート飲みなどにも使われています。
そういった中で、独立行政法人情報処理推進機構は7月14日に「Web会議サービスを使用する際のセキュリティ上の注意事項」を公開しました。

www.ipa.go.jp

 

 

 

Web会議サービスを使用する際のセキュリティ上の注意事項(まとめ)

資料では最初にWeb会議サービス選定時の確認事項がまとめられています。

 

Web 会議サービス選定時に考慮すべきポイント

区分 詳細
会議データの所在
  • Web会議サービスの形態がクラウドサ-ビスかオンプレミかを確認する
  • クラウドサービスの場合は、データを格納する所在地を確認する。
    ※無料サービスでは契約プロセスを通さないため注意が必要
  • 会議で使用したデータの削除の可否
暗号化
  • 通信経路が暗号化されているかを確認する
  • 暗号化方式を確認する
    -Web会議サービス提供者が暗号鍵を持つ暗号方式か
    -サービス提供者が暗号鍵をもたないエンドツーエンドの暗号方式か
    -安全性が確認されている暗号アルゴリズムや通信方式が採用されているかを確認
会議参加者の確認・認証方式
  • 会議参加者の確認・認証方式の確認
    -会議パスワード設定機能
    -待機室(ロビー)での参加者確認機能
    -参加者の事前登録機能
    -参加者名の設定機能
    -二要素認証等の確認
    -参加者を強制退室できる機能の有無
プライバシーポリシー
  • 特に個人情報に関して、会議目的以外で第三者提供を含め使用されないことの確認
  • 個人情報保護法等の法律、規制に準拠していることを確認
脆弱性と企業姿勢
  • サービス提供者のウェブサイト、JVN iPedia、ニュース等の脆弱性情報を確認する。
    ※サービス提供者のセキュリティに対する取り組み姿勢と情報公開姿勢の確認
  • サービス提供各社のウェブサイト等で最新のセキュリティ対策状況を確認する。

 

Web 会議サービスを安全に開催するためのポイント

区分 詳細
会議の準備

(1)会議の機密性の確認

  • 会議の機密性を確認したか?
    セミナー・講演会と、経営情報・顧客情報等の機密情報を扱う会議では、会議の機密性が異なります。 それぞれに応じ最適な会議開催方法を選択する必要があります。まず、各組織の規則に従い会議の機密性を確認して下さい。

(2)会議の機密性に応じた Web 会議開催方法の決定
会議の機密性に応じて以下の項目を考慮し会議開催方法を決定します。

  • エンドツーエンド暗号化の会議は利用可能か?利用できない場合、サーバで万が一復号されるリスクは許容可能か?
  • 会議参加者に外部組織の人がいる場合には、それら組織のセキュリティポリシーに準拠しているかについての参加者の同意を得たか?
  • Web 会議サービス参加者の制限を明確にし、会議の設定を適切に行っているか?
  • 非公開会議の場合は、会議を非公開に設定する。
  • 意図しない参加者を避けるため、会議パスワードを設定し、待機室機能を有効にする。
  • 参加者の入室時に許可する機能(主催者以外全員ミュート状態等)を確認する。
  • 会議の機密性、会議参加者の人数に応じ、会議案内メールと別経路での会議パスワードの送付、参加者の二要素認証、参加者の事前登録機能等を適切に使用する。
  • 万が一意図しない参加者が登場した場合に備え、参加者の強制退室機能が使えることを確認したか?

(3)Web 会議開催案内

  • 会議 URL、会議パスワード等を記載した会議開催案内の送付経路は安全か?
    非公開会議の場合、ソーシャルメディア経由の案内は避けるべきです。
  • 機密性の高い会議の場合、万が一の案内メールの漏えいに備え、メールの題名は機密性を悟られない文面となっているか?
会議の実施

(1)参加者の確認

  • 組織外参加者がいる会議では特に、意図しない第三者が会議に参加しないよう、参加者確認業務の担当者を明確にしているか?
    参加者の確認方法としては、顔、声による確認も有効です。
 

(2)会議終了後のデータ削除

  • 会議録音・録画データ、共有資料、チャット等の会議データがクラウド上に存在する場合には、クライアント端末への移動・暗号化、クラウド上からの削除を実施したか?
その他の一般的注意事項

(1)会議で使用するクライアント端末のセキュリティについて

  • クライアント端末のセキュリティ対策は十分か?

基本的にはセキュリティ対策が十分に管理されている組織からの支給端末、または、BYOD(Bring Your Own Device)として組織から許可され一定のセキュリティ対策が施されている私物端末の使用が望まれます。

Web 会議サービスのクライアントソフト、および、クライアント端末の OS 等は、脆弱性の悪用を防ぐため常に最新の状態にアップデートを行う事が必要です。

Web 会議サービスのクライアントソフトをダウンロードする時は「偽サイト」に注意しましょう。 サービス提供者の公式サイトや公式マーケット等からダウンロードしてください。

(2)会議の参加環境

  • 機密情報および個人情報保護のために、意図しない映り込みや音声の漏えいを避けるよう、参加者端末の場所、映像の背景が配慮されているか?