Web会議のセキュリティリスクとは?注意すべき3つのポイントや対策を解説
テレワークを始めるにあたって、Web会議システムの導入を検討する企業も増えており、システムを導入する際、セキュリティ対策の重要性を問う声もよく聞かれます。この記事では、Web会議でのセキュリティリスクで重視すべき3つのポイント、対策などについて解説します。Web会議システムで実際に起きた事例も紹介しているため、参考にしてください。
目次
自社のセキュリティ環境構築にお悩みなら、KDDI まとめてオフィスにご相談ください
Web会議システムとは?
Web会議システムとは、インターネットを活用して遠隔地や在宅勤務をする社員とのオンライン会議が行えるツールのことです。ビデオ通話だけでなく、チャットでのやり取りや画面・資料共有をすることができます。
ネット環境下であれば、パソコン以外にもスマートフォンやタブレット端末での利用も可能です。1対1だけでなく、複数人がWeb会議に参加できるため、オンライン飲み会やオンラインセミナーなどでも利用されています。
Web会議システムにはセキュリティ対策が重要
Web会議システムにセキュリティ面の弱点がある場合、他者によるなりすましや会議の盗み聞き、のぞき見などのリスクがあり、最悪のケースでは情報漏えいの可能性もあります。
企業が顧客情報や社員の個人情報などを外部流出すれば、社会的な信用を失いかねません。場合によっては、損害賠償の支払いを求められることもあるため、十分なセキュリティ対策を行うことが重要です。
Web会議システムにおける3つのセキュリティリスクと対策
Web会議システムを導入した場合、主に3つのセキュリティリスクが想定されます。
1.不正アクセスによる情報漏えい
1つ目のセキュリティリスクは、第三者による不正アクセスです。社員が外出先で会議に参加した場合、第三者に盗み聞きや盗み見によるリスクが考えられます。たとえば、会議内容を盗み聞きされたり、共有したデータや資料などが不正にダウンロードされたりする可能性があります。
対策1.利用場所を限定する
外出先でWeb会議に参加する社員がいる場合、不特定多数が利用できる公共の無料Wi-Fiを利用しないよう注意喚起を促します。公共の無料Wi-Fiのなかには、暗号化されている場合もありますが、誰でも利用できることから、不正アクセスのリスクが高いとされているためです。
また、周囲の人に会議の内容を盗み見や盗み聞きされない環境を確保することも必要です。盗み聞きの防止策として、外部に音声が漏れないようにヘッドセットを利用するなどの工夫も有効です。
対策2.サーバー上でファイルは保存しない
サーバーはハッキングなどで狙われやすく、不正アクセスによる情報漏えいのリスクが高いとされています。そのため、社外秘や会議資料などの重要なファイルは、サーバー上で保存しないことが大切です。
サーバー上にファイルを保存しなければならないときは、ファイルの閲覧にアクセス権限をつけたり、会議の終了と同時に保存したファイルのデータを削除したりするなどの対策が必要です。ただし、アクセス制限をしても情報漏えいのリスクはゼロにならないため、なるべくサーバー上には重要なファイルを保存しないようにしましょう。
対策3.会議室ごとに新規URLを発行する
会議室を開設するごとに、新規でURLを発行して参加者のみに知らせることで不正アクセスへの対策になります。ただし、会議室のURLの生成方法にも注意が必要です。なるべく、ランダムにURLが自動生成されるシステムを選ぶことが大切です。
また、URLをメールで送信する際、参加者以外の人をCCに入れる場合がありますが、この行為は第三者にURLが流出する可能性が高まるため、参加者以外の人には知らせないように注意してください。
新規URLの発行に加え、会議室ごとにセキュリティコード(会議ID)を設定できると、よりリスクを低くできます。セキュリティコードを設定していれば、会議室のURLが第三者に知られてしまった場合でも、入室の制限が可能です。
このように、Web会議システムを導入する際は、URLの生成方法やセキュリティコードの設定の有無などを確認してから選定しましょう。
2.アカウントの流出、乗っ取りによる情報漏えい
2つ目のセキュリティリスクは、アカウントの流出や乗っ取り被害による情報漏えいです。社員が外出先にパソコンなどの端末を持ち出すことで、紛失や盗難のリスクが高まります。
また、第三者の手に端末がわたることで、Web会議システムのアカウント情報が知られてしまい、外部に流出したり会議と関係のない動画や画像が映し出されるなどのいたずらが起きたりする可能性もあります。
対策1.IPアドレスを限定する
対策として、Web会議システムにアクセスできるIPアドレスを指定することも有効な手段です。IPアドレスを指定することで、アクセスできるネットワーク端末を制限できます。
IPアドレスとは、インターネットに接続した端末に対し、プロバイダーのルーターなどから割り振られる番号のことです。IPアドレスが端末ごとに振り分けられているため、メールやデータなどのやり取りの相手を間違えずに済むという仕組みになっています。
万が一、アカウントが乗っ取られたとしても、IPアドレスを指定しておけば、登録されていないネットワークからのアクセスを拒否できます。社外からのアクセスを拒否してセキュリティを高めるためには、社内でのみ利用できるプライベートIPアドレスを指定しましょう。
対策2.端末のパスワードロックを行う
2つ目の対策として、端末のパスワードロックを行うことです。近年、テレワークの普及により、オフィス外で仕事をする機会が増えています。そのため、パソコンなどの端末は、カフェや交通機関などに置き忘れないように注意が必要です。
オフィス外へ持ち出す端末には、パスワードロックを設定します。遠隔からロックやデータの消去が可能な遠隔消去(リモートワイプ)を端末に利用し、紛失や盗難に備えることも有効です。
社員が注意して端末を持ち歩いても、何が起こるかわからないため、遠隔消去は有効な手段です。スマートデバイスのセキュリティ対策と、遠隔設定なら「KDDI Smart Mobile Safety Manager」がおすすめです。
対策3.IDやパスワードを使い回さない
退職者が使用していたアカウントIDやパスワードをほかの社員に割り当てたりしないことも対策の1つです。IDやパスワードを使い回せば、退職後も元社員が容易にアクセスできるため、不正に利用されるリスクがあります。
3.参加者のプライバシー問題
Web会議におけるリスクは、外出先でのこととは限りません。自宅でWeb会議に参加する社員がいる場合、自宅の背景が映り込むことで会議の進行を妨げる可能性があります。映り込んだ背景によっては、ほかの参加者を不快にしたり社員自身のプライベートな情報が表面化したりするため、Webカメラに映し出される背景にも気を配らせることが大切です。
対策.背景を隠す機能やアプリを利用する
対策として、Webカメラに映し出される背景を消したり、バーチャル背景に差し替えたりできる機能を利用する方法があります。Web会議システムの標準機能とは別に、アプリでの実装も可能です。ただし、Web会議中に自宅の背景がちらつくなど、完全に隠しきれるわけではないため、注意が必要です。
Web会議システムが狙われた事例
Web会議システムが実際に狙われた事例を紹介します。
Zoom爆弾・ビデオ爆撃(Zoom-Bombing)
Zoom爆弾・ビデオ爆撃(Zoom-Bombing)とは、Web会議システムのZoomへの不正アクセスによる不快な画像や動画などが共有された攻撃のことです。
某大学の新入生ガイダンスでは、第三者の不正アクセスによって無関係な画像や文章が2分間にわたって表示されました。大学側はアカウントを削除し、新たにアカウントを作成することでガイダンスを再開しました。原因として考えられることは、会議室のURLが侵入者に知られ、容易にアクセスできたことです。
会議室を開設する際はパスワードなどの設定や待機室機能があるシステムを選ぶことが重要です。
正規版のなりすまし
第三者がZoomの正規版になりすました事例も発生しています。ユーザーが偽のWebサイトからソフトウェアのダウンロードを促すと、画面にセキュリティ警告と問い合わせ先の電話番号が表示されます。ユーザーが電話をかけるとサポート料を請求される仕組みとなっていました。ソフトウェアをダウンロードする際は、必ず公式サイトであることを確認することが重要です。
まとめ
リモートワークや在宅勤務などの勤務形態が多様化しており、Web会議システムの導入を検討する企業が増えています。ただし、Web会議システムを導入する際は、セキュリティ対策が充実しているかを確認することが重要です。
KDDI まとめてオフィスでは、万全なセキュリティ対策はもちろん、企業の課題に対して最適なソリューションをワンストップで提案します。Web会議システムだけではなく、ファイル共有やスケジュール管理機能などのクラウドサービスと組み合わせることで利便性が高まり、業務効率の向上も目指せます。テレワークの導入や環境の整備をご検討中の方は、お気軽にお問い合わせください。
※ 記載された情報は、掲載日現在のものです。
