コラム

Column

2021.10.18

Web会議におけるセキュリティ上のリスクとその対策について解説

  • Web会議にはどのようなセキュリティ上のリスクがあるのだろうか
  • クラウド型とオンプレミス型のWeb会議システムでは、セキュリティ面でどのような違いがあるのだろうか
  • Web会議で実施すべきセキュリティ対策を知りたい

Web会議は、新型コロナウイルス感染症拡大の影響もあり、急速に普及しています。


新型コロナウイルス感染症の収束後も、Web会議が様々な場面で行われていく可能性が十分にあります。


しかし、Web会議にはセキュリティ上のリスクが存在します。セキュリティインシデントが発生した場合、場合によっては会社の経営に大きな影響を与える恐れがあります。


本記事では、Web会議におけるセキュリティ上のリスク、Web会議システムの確認すべきセキュリティ事項、Web会議で実施すべきセキュリティ対策を紹介します。

目次
Web会議でもセキュリティ対策が重要
Web会議におけるセキュリティ上のリスク
Web会議システムの確認すべきセキュリティ事項
Web会議システムにおけるクラウドとオンプレミスでのセキュリティ面での違い
Web会議で実施すべきセキュリティ対策
まとめ

Web会議でもセキュリティ対策が重要

Web会議を行うには、端末とインターネット環境を用意して、Web会議システムを活用することが必要になります。

そのWeb会議システムのユーザーIDやURLなどが流出すると、悪意ある第三者による覗き見やなりすましなどが発生する恐れがあります。

それにより、会議の内容はもちろん、従業員情報や顧客情報などの情報漏えいが発生することは十分に考えられます。

情報漏えいが発生すると、社外からの信頼を失います。場合によっては、会社の経営に大きな悪影響を及ぼす危険性すらあります。

そのため、Web会議システムを選定する時にはセキュリティ対策も十分に考慮する必要があります。

また、Web会議システムにはクラウド型とオンプレミス型があり、それぞれセキュリティ上注意すべきポイントがあります。

さらに、Web会議のルールを制定し、従業員に十分な教育を行うことも大切なセキュリティ対策です。

Web会議におけるセキュリティ上のリスク

ここでは、Web会議におけるセキュリティ上のリスクを以下の順に紹介します。

  • 情報漏えい
  • 参加者のアカウント流出・乗っ取り
  • 参加者のプライバシー流出

情報漏えい

Web会議におけるセキュリティ上のリスクの1つ目は、情報漏えいです。

Web会議システムにセキュリティに脆弱性が存在した場合、第三者からの攻撃により不正アクセスされる恐れがあります。

それにより情報漏えいが発生し、社内の重要な情報が社外に流出し悪用されたり、インターネット上に公開されたりということも考えられます。

また、Web会議は、端末とインターネット環境があれば社外からでも参加できます。しかし、その様子を第三者に盗み見されるリスクがあることにも注意が必要です。

参加者のアカウント流出・乗っ取り

Web会議におけるセキュリティ上のリスクの2つ目は、参加者のアカウント流出・乗っ取りです。

参加者のアカウントが流出すると、第三者による乗っ取りや悪用が発生する恐れがあります。

また、Web会議は社外からも参加できます。そのため、端末自体の紛失や盗難のリスクもあります。

悪意ある第三者に端末を盗まれた場合、アカウントの不正利用だけでなくデータの抜き取りや改ざんも懸念されます。

参加者のプライバシー流出

Web会議におけるセキュリティ上のリスクの3つ目は、参加者のプライバシー流出です。

Web会議ではカメラを使って顔を映すことが普通です。この時、自宅からアクセスすると顔だけでなく背景に存在するプライベートなものも映り込んでしまいます。

プライベートなものが映り込んだ結果、別の参加者に不快感を与えることや、個人情報が流出することもあり得ます。

また、悪意がある参加者がいた場合、プライベートの様子がインターネット上に無断で公開されることも想定されます。

このように、プライベートなものが映っているとどこでトラブルの元になるかわかりません。

Web会議システムの確認すべきセキュリティ事項

ここでは、Web会議システムの確認すべきセキュリティ事項を以下の順に紹介します。

  • 暗号化機能
  • セキュリティコード(接続ID)設定機能
  • IPアドレス指定
  • 端末認証機能

暗号化機能

Web会議システムの確認すべきセキュリティ事項の1つ目は、暗号化機能です。

音声や文書などのデータを暗号化してやりとりする機能は、基本的なセキュリティ対策の一つです。

データを暗号化したり暗号化したデータを通信する手法にはいくつか種類があります。特に有名なものは、AES(Advanced Encryption Standard)とSSL(Secure Sockets Layer)です。

AESはアメリカ政府標準の共通鍵暗号方式の暗号です。処理速度の速さと強固さが特徴で、Web会議システムの暗号化手法は、AESが主流です。

SSLは、公開鍵暗号、共通鍵暗号、SSLサーバー証明書などの技術を用いて、送受信のセキュリティを強化してくれる手法です。一般のWebサイトに多く使われます。

セキュリティコード(接続ID)設定機能

Web会議システムの確認すべきセキュリティ事項の2つ目は、セキュリティコード(接続ID)設定機能です。

Web会議システムの多くは、会議ごとに参加者のみにセキュリティコード(接続ID)を発行します。そのセキュリティコードがないとWeb会議に参加できない仕組みです。

そのため、セキュリティコード設定機能を用いれば、参加してほしいメンバーにだけアクセスを許可することが可能になります。

ただし、セキュリティコードが流出すると第三者にアクセスされるので、セキュリティコードの管理は十分に行う必要があります。

IPアドレス指定

Web会議システムの確認すべきセキュリティ事項の3つ目は、IPアドレス指定です。

IPアドレスとは、PCやスマートフォンなどの端末を識別するための番号です。ただし、後述の端末認証機能と違い、ネットワーク環境が変わればIPアドレスも変わります。

Web会議システムの中には、指定したIPアドレスをもつ端末のみWeb会議に参加できる仕組みをもつものが存在します。

それを活用すれば、第三者からの不正アクセス防止に役立ちます。

端末認証機能

Web会議システムの確認すべきセキュリティ事項の4つ目は、端末認証機能です。

端末認証機能とは、最初に登録して認証した端末のみ会議に参加できるようにする仕組みのことです。

一般的に、MACアドレスという番号を用いて端末認証を行います。MACアドレスは端末固有の番号です。

端末認証機能は、ネットワーク環境が特定できない相手とWeb会議を行う機会が多い場合に有効です。

ネットワーク環境が特定できない相手とは、テレワーク中の従業員や、フリーランスの外部スタッフなどのことです。

Web会議システムにおけるクラウドとオンプレミスでのセキュリティ面での違い

ここでは、Web会議システムにおけるクラウドとオンプレミスでのセキュリティ面での違いを以下の順に紹介します。

ただし、利用シーンによってクラウドとオンプレミスを使い分けることも有効です。状況に応じ、最適な選択を行うよう心がけましょう。

クラウド型

まずは、Web会議システムにおけるクラウド型でのセキュリティを紹介します。

クラウド型の場合、インターネットを経由することが前提になるため、社内ネットワークだけで使うシステムとは違うセキュリティ対策が必要です。特に、Web会議システム側で情報の取り扱いが適切でないと、情報漏えいのリスクが高まります。

導入・運用コストがオンプレミス型よりも小さいことはメリットですが、セキュリティの観点ではオンプレミス型と同様に慎重に利用する必要があります。

海外のクラウドサービスの場合、その国での個人情報がどのように守られるのかという法律が異なりますし、利用者数の規模が大きいクラウドサービスの場合、攻撃の対象になりやすいと言えます。

自社のセキュリティ要件と照らし合わせて、クラウドサービスを選定する必要があります。

オンプレミス型

次に、Web会議システムにおけるオンプレミス型でのセキュリティを紹介します。

オンプレミス型の方がクラウド型よりもカスタマイズ性が高く、自社のセキュリティ要件に沿った運用が実現しやすいと言えます。

自社でサーバーやネットワークを管理するため、社内で導入されているセキュリティ対策への適用も柔軟に行えます。

ただし、クラウド型よりも導入コストがかかることと、システムの構築や運用により手間がかかることは注意点です。

Web会議で実施すべきセキュリティ対策

ここでは、Web会議で実施すべきセキュリティ対策を以下の順に紹介します。

  • 接続IDの取り扱いに注意
  • 情報共有する範囲を最低限に抑える
  • 他者に見られない
  • こまめなシステムアップデート
  • 会議ごとに会議室を変更
  • 背景を隠す機能やアプリを活用

接続IDの取り扱いに注意

Web会議で実施すべきセキュリティ対策の1つ目は、接続IDの取り扱いに注意することです。

参加者のみに接続IDを通知すれば、Web会議への参加者を限定できます。しかし、万が一接続IDが流出すると、第三者が自由にWeb会議に参加できます。

そうなると、覗き見や情報漏えいは避けられません。

そのため、接続IDが流出しないよう取り扱いには注意しましょう。

情報共有する範囲を最低限に抑える

Web会議で実施すべきセキュリティ対策の2つ目は、情報共有する範囲を最低限に抑えることです。

Web会議システムのセキュリティ対策をいくら高めても、脆弱性が存在する可能性をゼロにすることはできません。

また、人為的なミスで情報漏えいが発生することも十分考えられます。

そのため、本当に情報共有しなければならないメンバーが必要な情報のみ共有するよう心がけましょう。これにより、余計な情報が漏えいすることを防げます。

他にも、サーバー上に会議資料を保存しないことや、会議終了後に不要なデータを削除することもセキュリティ対策となります。

他者に見られない

Web会議で実施すべきセキュリティ対策の3つ目は、他者に見られないことです。

Web会議のメリットの一つは、端末とインターネット環境があればどこでも参加できることです。

しかしこのことは、セキュリティ上の観点では危険なことでもあります。

フリーWi-Fiを使用すれば、そのネットワーク上にいる他者に通信内容を傍受される危険性があります。

また喫茶店のような公共の場からWeb会議に参加したりすると、他者にWeb会議の画面をのぞかれたり内容を聞かれてしまいます。

安全なネットワークを利用することや参加場所を限定するといった、セキュリティを守るためのルールを整備することも大切です。

こまめなシステムアップデート

Web会議で実施すべきセキュリティ対策の4つ目は、こまめなシステムアップデートを行うことです。

OSやWeb会議システムで使用するアプリケーションのアップデートは、セキュリティの強化や改善目的のアップデートも少なくありません。

そのため、こまめなアップデートを行い、最新のセキュリティ対策されている状態を保つことが重要になります。

会議ごとに会議室を変更

Web会議で実施すべきセキュリティ対策の5つ目は、会議ごとに会議室を変更することです。

Web会議システムでは、会議室ごとにURLが発行されます。そのURLにアクセスすることで会議に参加できます。

ここで、常設の会議としてURLを使い回していては、本来意図しない参加者がアクセスすることになります。

そのため、必要なメンバーだけが参加できる会議室を作成し、URLを使い回さないよう心がけましょう。

背景を隠す機能やアプリを活用

Web会議で実施すべきセキュリティ対策の6つ目は、背景を隠す機能やアプリを活用することです。

背景の写り込みにも注意しなければなりません。プライぺートなものや壁にはった営業目標のような公表したくない情報が映り込む恐れがあります。

この対策として有効なのは、背景を隠す機能やアプリを活用することです。

Webカメラの背景を消す機能や、バーチャル背景を設定できるWeb会議システムも多く存在します。これらをうまく活用して、背景の写り込みによる情報漏えいを防止しましょう。

まとめ

本記事では、Web会議におけるセキュリティ上のリスク、確認すべきセキュリティ事項、実施すべきセキュリティ対策を紹介しました。

Web会議システムがどれほどセキュリティ対策を講じていても、セキュリティ上のリスクを完全になくすことは事実上不可能です。

そのため、会社全体で教育を行い、Web会議に参加する従業員一人一人がセキュリティ対策への意識を高めてくれるよう取り組みを続けていくことも重要です。

なお、IPA(独立行政法人 情報処理推進機構)では「Web会議サービスを使用する際のセキュリティ上の注意事項」を公開していますので、そちらもぜひ参考にしてください。

参考:IPA 「Web会議サービスを使用する際のセキュリティ上の注意事項」