ZoomやMicrosoft Teamsなどビデオ会議ツールの安全性をまとめたレポートをNSAが発表
アメリカ国家安全保障局(NSA)が、ZoomやMicrosoft Teams、Slackといったリモートワークでよく使われている主なビデオ会議ツールやメッセージングツールの安全性を評価するレポートを発表しました。
Selecting and Safely Using Collaboration Services for Telework
https://media.defense.gov/2020/Apr/24/2002288652/-1/-1/0/CSI-SELECTING-AND-USING-COLLABORATION-SERVICES-SECURELY-LONG-FINAL.PDF
Here's the NSA's guide for choosing a safe text chat and video conferencing service | ZDNet
https://www.zdnet.com/article/heres-the-nsas-guide-for-choosing-a-safe-text-chat-and-video-conferencing-service/
評価の対象となっているツールはCisco Webex、Dust、G Suite、GoToMeeting、Mattermost、Microsoft Teams、Signal、Skype for Business、Slack、SMS、WhatsApp、Wickr、Zoom。NSAは各ツールのセキュリティについて、以下の8点で評価を行っています。
◆1:エンドツーエンドでの暗号化を実装しているか?
送信者から受信者に至るまでをすべて暗号化するだけではなく、暗号鍵を慎重にやりとりしているかどうかも重要だとNSAは述べています。なお、大規模ビデオチャットの場合はパフォーマンスの問題からエンドツーエンドでの暗号化を実装していません。
◆2:通信の暗号化は、強力でよく知られるテスト可能な暗号化標準に基づいているか?
エンドツーエンドの暗号化がない場合でも、NSAは強力な暗号化標準の使用を推奨しており、「TLSやDTLS、SRTPなど、公開されているプロトコル標準を使用することが望ましい」と述べています。
◆3:多要素認証は利用できるか?
NSAは各ツールを利用する上で、コードやトークン、生体認証など、多要素認証を使って既存のアカウントへのアクセスを許可する仕組みを求めています。
◆4:ユーザーはセッションに接続するユーザーを確認および制御できるか?
NSAは「ログインパスワードや待合室などの機能を使ってセッションへのアクセスを招待された人だけに制限できるかどうか、セッションへの合流は合理的に強力な認証をサポートしていることが望ましい」としています。
◆5:プライバシーポリシーでサードパーティあるいは関連会社への情報共有を認めているか?
会議ツールには連絡先の詳細やコンテンツなどの機密性の高いデータを保護することが求められます。ユーザーIDに関連するメタデータ、デバイス情報、セッションの履歴など、組織を危険にさらす可能性のある様々な情報はサードパーティと共有されるべきではなく、仮にされる場合はプライバシーポリシーに明記する必要があります。
◆6:ユーザーはクライアントとサーバーの両方で、サービスとリポジトリから必要に応じてデータを安全に削除できるか?
NSAは「データの安全な上書き/削除機能を完全にサポートしているサービスはないと思われるが、ユーザーには共有したファイルやセッションの内容といったデータを削除し、使用されなくなったアカウントを永久に削除する機会が与えられるべきです」と述べています。
◆7:オープンソースで開発されているか?
◆8:アメリカ連邦政府のセキュリティ認証であるFedRAMPを準拠しているか?
そして、その評価をまとめたものが以下の表。左から2番目の「Basic Functionally」にはテキストチャット(a)・音声チャット(b)・ビデオチャット(c)・ファイル共有(d)・画面共有(e)と、各ツールの機能がまとめられています。そして、各質問の回答が「はい(Y)」か「いいえ(N)」で表記されています。
Microsoft TeamsやGoogle G Suiteは堅固な暗号化・多要素認証・FedRAMP準拠とさまざまな点でNSAの求める水準を満たしているものの、個人のデータがサードパーティや開発会社と共有され、ポリシーに明記されています。日本でも広く使われているSlackはクライアント側でもサーバー側でもデータを自由に削除することはできません。
また、ZoomはFedRAMP準拠となっている一方で、ユーザー認証で多要素認証を用いていません。なお、Zoomはユーザーの個人情報流出やセキュリティ問題が報じられています。
オンラインビデオ会議アプリ「Zoom」の暗号化キーの一部が「中国のサーバー」から発行されていると判明、「待機室」機能にも脆弱性アリ - GIGAZINE
NSAは各ツールのセキュリティ評価レポートを公開した理由について、「軍事組織、公的機関、民間企業に主要なツールの各特徴をまとめて周知するため、そして各組織で適切なセキュリティ体制を敷き、悪意のある攻撃者などの脅威に備えてもらうため」と述べています。
・関連記事
グループチャットツールのMicrosoft Teamsに「GIF画像を見るだけでアカウントを乗っ取られる脆弱性」が発見される - GIGAZINE
50万人分以上の「Zoom」アカウントが闇市場で売買されたと判明、価格は1アカウント1円未満で無料配布されるケースも - GIGAZINE
指紋認証は高精度な偽の指紋なら成功率80%で突破可能 - GIGAZINE
セキュリティ&プライバシー問題が続出のZoomが投資家に集団訴訟される - GIGAZINE
問題続出のオンラインビデオ会議ツール「Zoom」が抱える「パスワード問題」と「OSの資格情報を盗まれる脆弱性」が新たに指摘される - GIGAZINE
・関連コンテンツ