リモートワークでは、同僚やビジネスパートナー、顧客とのコミュニケーションが必要なため、ここ数日、「コラボレーション・サービスとビデオ会議サービスはどれがベストでしょうか?」と聞かれることが多くなりました。
車と同じように、どのコラボレーション・サービスが「ベスト」ということはありませんが、企業・組織がサポート・使用するサービスを決めるにあたって、セキュリティとプライバシー関連で考慮すべき点はいくつかあります。社員もまた、それぞれ取引先などから”弊社のサービスに加入しませんか”と勧誘を受けています。したがってどのようなサービスの使用を承認するかについて定義しておくだけでなく、社員が目にする他のサービスについても、利用すべきかどうかの助言を与えておくことをお勧めします。
私はちょうど、MVISION Cloud で、250超のオンライン会議サービスをリストアップ、ランク付けし、レビューを終えたところです。オンライン会議を複数のアプリケーションとセットで提供するものも含め、選択肢には限りがありません。
機能比較をしているブログは他にたくさんあるので、このブログでは機能面については説明しません。その代わりに、ここでは、セキュリティとプライバシーについて押さえるべき点に焦点を当てます。オンラインでの会話を、誰かがまるでバーでの会話を肩越しに盗み聞きするかのように監視しているかもしれないのだということを従業員にしっかり理解させましょう。
それでは、起こりうるセキュリティとプライバシーの問題をいくつか見てみましょう。それぞれが事業や共有データの性質に鑑みて懸念すべき問題であるかどうかは、ご自身で判断をお願いします。
目次
サービスの使用について判断する際に押えるべき点
録音
多くのアプリでは録音が可能です。録音していることを出席者全員に知らせるアプリもあります。また、サービスのセキュリティがどうであれ、たとえアプリ等にそういった機能が無い場合でも、つながっているユーザーの誰もがアプリの外で画面を録画し音声を録音できるのだということを従業員に認識させましょう。つまり会話はすべて、セキュリティが万全ではないという前提で行う必要があります。さらに、録音については事前に全員の同意が必要かどうかは、国や地域によって法令が異なりますので注意してください。関連部署に法令を確認させるとともに、社外のメンバーが含まれる場合は念のため録音前に参加者に同意を求めるほうが良いでしょう。
ログの取得
将来のフォレンジック調査のためにログを記録したい場合もあれば、ハッキングによってクラウドサービスのデータを失わないためにログを実行したくない場合もあります。
共有方法
とくに教育現場では、音声とデータの共有のみを許可し動画を許可しないか、または一方向のみの動画をサポートするサービスを使用することをお勧めします。
知的財産所有権
すべての通信について知的財産を主張するというようなとんでもないサービスもあります。最近の精査では改善が見られ、一部はライセンス契約はその条項が削除されていますが。必ず細かいところまで確認すべきポイントです。ご注意ください。
暗号化
データの傍受を確実に防ぐため、送信中のすべてのデータを暗号化するサービスを優先してください。ただし、まずは、使用されている暗号化方法(SSL、TLSバージョンなど)を確認してください。
プライバシー
サービス自体が個々のユーザーをトラッキングして、その情報の一部をサードパーティと共有していませんか?(FacebookやGoogleなどのサービスと共有している場合があります)
1つのサービスを利用するように絞ったほうが良いかもしれませんが、それではすべての要件を満たすことができないという場合も多いでしょう。また機密性の高い議論の場合は、通常のチーム内でのアップデートやコラボレーションの時とは異なるサービスを使用したりするほうが良いかもしれません。
選定における検討事項
より詳細に掘り下げるには、以下の各属性を検討し、優先順位に基づいて各属性の重要性を決定した上で、そのリストに照らして各サービスを確認することをお勧めします。これはMVISION Cloud内で可能であり、これらの各属性(および他についても)を追跡し、管理者は属性のウェイトを変更して、さまざまなサービスを比較できます。 MVISION Cloudのようなサービスを使用しない場合、手動での処理が必要になります。
サービスについて
- 送信中のデータを暗号化(はい/いいえ、暗号化方法:SSL、TLSバージョン)
- サービスで保管されているデータ(録音等)の暗号化と鍵の強度
- 独自の鍵を使用した暗号化の許可
- 匿名での使用の許可
- 多要素認証のサポート
- ID連携(SAMLやOAUTHなど)による認証システムの統合
- 管理者、ユーザー、データアクセスのログの提供
- ホスティングされている地域、国(データをどの国がホストするかが懸念される場合)
- Freak、Poodle、Heartbleedのようなサイバー攻撃に対する脆弱性の有無
さらに以下も確認が必要です。
- ペネトレーションテストの結果を公開しているか
- アプリケーションセキュリティの脆弱性保護(WAFirewalls)を導入しているか
- グローバルコンプライアンス認定(ISO27018、SOC2、 FedRAMPなど)に準拠しているか
- インフラストラクチャのレポートと稼働時間を公開しているか
攻撃を受けた経験
- 既知のサービスの悪意のある使用(乗っ取りや踏み台等)
- 侵害の特定
- 共通脆弱性識別子(CVE)の脆弱性の公表の有無
- ダークネットへのデータの漏洩
その他確認事項
- プライバシーポリシー(サードパーティとの共有)の内容
- IP所有権ポリシー
- 管轄区域
- 本社を置く国
- GDPR、CCPA、その他の規制のリスクの格付け
自社に適したサービスを決定したら、従業員やビジネスパートナーと連絡を取り、信頼できないサービスをブロックすることを検討してください。プロキシ、ファイアウォール、またはエンドポイントプロキシ機能と統合し、クラウド評価および閉ループ修復にCASBを使用すればブロックできます。トップにスプラッシュページを入れ、ユーザーがベストなサービスを使うよう誘導し、ベストプラクティスが実践されるよう確保することも検討してください。
この分野の進展はめざましく、サービスの多くは現在、かつてないほど精査されています。関連ニュースは押さえるようにして下さい。この数日だけでも、サービスのプライバシーポリシーとエンドユーザーライセンス契約の弁護士によるレビューが行われたり、アプリやサービスの脆弱性が確認されたりしています。アプリ開発者は定期的に新しいバージョンを公開しているので、アプリの更新を忘れずに行って、こうした懸念を最小限に抑えるよう、社員に注意喚起する必要があります。
最後に、最善のセキュリティ対策は、ビデオ会議の画像をソーシャルメディアで共有しないことであるのは明らかです。攻撃者はユーザー名や会議IDを見つけ、それが静的IDなら、将来会議に侵入しようとする可能性があります。
MVISION Cloud、McAfee Web Gateway、および当社のDLPソリューションの詳細については、以下のリンクをクリックするか、McAfeeのパートナーまたは地域のオフィスにお問い合わせください。https://www.mcafee.com/enterprise/ja-jp/solutions/cloud-security.html
※本ページの内容は2020年4月3日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Choosing the Right Video Conferencing Service for you and your Enterprise
著者:Nigel Hawthorn