多くの人々がリモートワークを続けており、米国の教育機関では新学年が始まろうとしている。そのような中、Zoom Video Communicationsは米国時間9月13日、セキュリティを強化する一連の機能を発表した。
同社はイベント「Zoomtopia 2021」で、「Zoomミーティング」で2020年10月からロールアウトを開始したエンドツーエンド暗号化(E2EE)機能を、「Zoom Phone」ユーザーも利用できるようにすると発表した。
Zoom Phoneユーザーは、「Zoomクライアントを介した1対1の通話中に」E2EE機能にアップグレードできるようになる。「通話中に『More』をクリックして、E2EE機能を有効にするオプションを見つけることができる。アップグレードには1秒もかからない。Zoomで行われるユーザーの通話にセキュリティのさらなるレイヤーを追加できるようにする」と説明されている。Zoom Phone向けのE2EE機能は2022年に利用可能になる予定だ。
またZoomは、プラットフォームのセキュリティ強化を目的とする2つの機能、「Bring Your Own Key」(BYOK)と「Verified Identity」を発表した。
BYOKは、厳格なコンプライアンス要求に準拠したり、データレジデンシーのニーズに応える必要がある顧客を支援したりするための機能だ。ユーザーは自らの暗号鍵を管理できる鍵管理システム(KMS)を「Amazon Web Services」(AWS)で所有、管理できるようになる。このシステムはZoomがアクセス、閲覧することのできない顧客マスターキー(CMK)も保持する。
「Zoomは、顧客資産が永続的ストレージに書き込まれる前に、顧客のKMSとやり取りして暗号化、復号処理のためのデータ鍵を取得し、それらのデータ鍵を用いて暗号化、復号処理を施すようになる。Zoomはデータ鍵をプレーンテキスト(平文)で永続的ストレージに書き込むようなことはしない」と説明されている。
「BYOKはE2EEとは別の機能であり、ストリーミングビデオといったリアルタイムのユースケースを想定していない。BYOKは録画や録音ファイルといった、より大きな資産をセキュアに保存するという用途で力を発揮する。BYOKは数カ月中に、Zoomミーティングの録画、『Zoomビデオウェビナー』の録画、Zoom Phoneのボイスメールと録音、『Zoom Rooms』のカレンダーなど向けにカスタマーベータとして段階的に提供される」
Verified Identityは、ますます高度化しているソーシャルエンジニアリングやフィッシング攻撃から保護できるようにする機能だ。この機能によって、ユーザーはミーティングのゲストが実際に名乗った通りの人物かどうかを確認できるようになる。
この機能は、機密性の高い情報や、特殊なサービスなどを扱うユーザーに有用だとZoomは述べている。ユーザーがミーティングに参加する際に、多要素認証による確認が求められる。また、組織内での役割や認証情報、使用しているネットワークの情報も求められるようになる。パスワード、セキュリティの質問、プロフィール情報などもユーザーの認証に利用する。
同社は、「証明や認証をZoomエクスペリエンスで不可欠なものとするために、われわれはOktaと協力し、Zoomミーティングに参加するユーザーを確認できるよう支援する。真正性が確認されたユーザーは、名前の横にチェックマークが表示され、名前や電子メールアドレス、企業ドメインを含む、検証済みのプロフィール情報をミーティング参加者と共有できるようになる」と説明している。
「会議のホストはミーティング内のセキュリティコントロールを利用して、何らかの理由で参加者が認証されない、あるいは表示された情報が正しくない場合に、その参加者を削除することができる。Oktaで認証されるプロフィール情報の表示は、2022年中に利用可能になる。Zoomの長期的なアイデンティティ証明、認証イニシアチブ戦略のスタートだ」
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
