Zoomなどの「Web会議」はなぜ危険か？　セキュリティ確保が難しい理由を解説：「Web会議セキュリティ」の傾向と対策【第1回】

在宅勤務などのテレワークの広がりに伴い、Web会議ツールのセキュリティが重大な問題となっている。Web会議ツールのセキュリティ確保には幾つかの問題がある。どのような問題があるのか。

　2020年は、Web会議ツールが飛躍した年だ。これまでWeb会議ツールは徐々に進化し、緩やかなペースで導入されてきたが、わずか数カ月で市場規模が急激に拡大した。新型コロナウイルス感染症（COVID-19）の世界的流行に伴い、在宅勤務などのテレワークが一般化する中で、Web会議ツールが脚光を浴びたからだ。

　Web会議ツールの脆弱（ぜいじゃく）性も明らかになった。例としてZoom Video CommunicationsのWeb会議ツール「Zoom」のセキュリティ問題は、暗号化の不備に加え、第三者が会議に乱入して迷惑行為を働く「Zoombombing」（Zoom爆撃）などが広く報じられている。こうした問題は、Web会議ベンダーがセキュリティ確保において直面する課題を浮き彫りにしている。

Web会議ツールが危険な理由

　問題は、セキュリティとプライバシーの要件が競合する場合があることだ。Web会議ツールを利用する際は、まずどのエンドユーザーを保護し、プライバシーを守りたいのかを決める必要がある。

　例えばエンドポイントから他のエンドポイントまでの通信を暗号化することでセッションを保護する「エンドツーエンド暗号化」は、プライバシーの確保に役立つ。暗号化は、Web会議の内容をWeb会議ベンダーが傍受することを防ぐ上でも望ましい。ただし全ての会話を記録するよう規制によって義務付けられている業界では、暗号化の適用は困難だろう。

　Web会議ツールは、本質的に2つの大きなセキュリティリスクを抱えている。1つ目は、攻撃者に悪用されかねない、暗号化技術の脆弱性。2つ目はツールの実装自体に問題がある恐れがあることだ。開発者のセキュリティチェックに漏れがあったり、実装に関して間違った判断を下したりしたことで、攻撃者にとって格好の脆弱性が残っている場合がある。

　「AES」（Advanced Encryption Standard）や「SHA-1」（Secure Hash Algorithm 1）といった暗号化技術について考えてみよう。AESは共通鍵（暗号化と復号に使う同一の鍵）を用いて固定長（ブロック）単位でデータを暗号化する「ブロック暗号」の一種だ。Web会議ツールでやりとりされるテキストの暗号化や、ブルートフォース（総当たり）攻撃の回避に役立つ。SHA-1はハッシュ関数で、データが改ざんされていないことを確認するために利用される。Web会議ベンダーが使用するこれらのセキュリティ関連の標準技術は、時間とともに長所だけではなく短所が明らかになることもある。

　Web会議ベンダーの中には、セキュリティよりもユーザビリティを優先する企業もある。そのためユーザー企業は、安全なセキュリティの標準技術を実装し、適切な暗号アルゴリズムを使用したWeb会議ツールを選ぶことが極めて重要になる。選択のよりどころとなるのが標準化団体の取り組みだ。さまざまな国やベンダーのセキュリティ専門家がそうした取り組みに参加している。

　例えば「H.323」「SIP」（Session Initiation Protocol）は、安全なリアルタイム音声・映像配信を可能にする通信プロトコルだ。リアルタイムコミュニケーション（RTC）機能をWebブラウザに実装するためのオープンソース技術「WebRTC」は、通信の暗号化を必須としている。