Web会議でセキュリティ対策が必要な理由

Web会議をする際、セキュリティ面には十分に注意する必要があります。インターネットを介するWeb会議システムを利用するとき、情報漏洩のリスクが伴います。リモートワークをする場合、Web会議上で企業の機密情報を扱ったり、顧客情報を扱うこともあるでしょう。このような重要な情報を狙って不正にアクセスしようと考える人がいるかもしれません。

情報漏洩などのセキュリティ事故は企業にとって大きなダメージになります。Web会議をおこなう際には、セキュリティの充実したWeb会議システムを利用したり、誤操作を防止したりして、セキュリティ対策をおこなうことが重要です。

Web会議のセキュリティ対策を怠ることの3つのリスク

通常の会議は密室でおこなわれます。会議が終わればそのまま解散となり、録画や議事録を見なければ詳細なやり取りはわかりません。

一方、Web会議は、対面式の会議よりもはるかにオープンな状態でおこなわれます。インターネットを通じてデータをやり取りするため、外部からの接触が容易です。

セキュリティ対策を怠っていると、大きなトラブルに見舞われることもあるでしょう。ここからは、Web会議でセキュリティを甘く見た場合に起こり得るリスクについて紹介します。

1. 重要なデータの流出

Web会議システムのセキュリティ対策に穴があった場合、第三者による不正アクセスを受ける恐れがあります。Web会議で重要機密を扱っていた場合は、それが社外に漏れたりインターネット上で公開されたりするかもしれません。

特に近年のWeb会議システムは、会議資料を共有したり録画できたりするものが多々あります。こうした資料を第三者がダウンロードして、ところ構わず拡散するなどの事態も起り得ます。

また、注意すべきはインターネット上だけではありません。Web会議システムなら、インターネット環境さえあればどこからでも会議に参加できます。会議参加者のセキュリティ意識が低い場合は、他人に会議の様子を盗み見られたり録音されたりすることもあるでしょう。

2. 参加者のアカウント流出や乗っ取り

こちらも、会議参加者のセキュリティ意識に関わる事項です。会議参加者が会議のアカウントを適切に保守していない場合、全く関係のない部外者の手に渡る恐れがあります。アカウントが乗っ取られたり悪用されたりといった事態が懸念されるでしょう。

また、Web会議は屋内外問わずに参加できます。参加者の不注意から、デバイスそのものを紛失したり盗られたりするかもしれません。PCやスマホが悪意のある第三者の手に渡れば、重要な情報を抜き取られる可能性があります。アカウントの不正利用はもちろん、データ改ざんや流出などのトラブルなども心配です。

3. 参加者のプライバシー流出

Web会議では、参加者はPCやスマホのカメラを使って顔出しをします。このとき、プライベートな場所が多くの人の目に晒されることとなってしまいます。

「誰も他人の家など気にしない」という意見もありますが、個人として見られたくないものがあるかもしれません。また、会議参加者の中に悪意のある第三者が潜んでいた場合は、プライベートの様子がインターネット上に流出する恐れもあります。

一見すると些細なことでも、どのようなトラブルにつながるかはわかりません。参加者のプライバシーに配慮し、本人にとって不本意な情報流出は避けるようにすべきです。

総務省が定めるWeb会議のセキュリティガイドラインとは

総務省は、テレワークにおけるセキュリティ対策のガイドラインを策定しています。総務省のセキュリティガイドラインによれば、セキュリティ対策をおこなうには、「ルール」「人」「技術」のバランスが重要です。

これをWeb会議システムの利用に置き換えると、企業内でWeb会議の「ルール」を設定し、社員がそれを守ってWeb会議システムを利用することが大切ということになります。

また、「ルール」や「人」では対応できない部分を補うのが「技術」です。Web会議システムには暗号化やIPアドレス制限、ログ管理などのさまざまなセキュリティ機能があります。これらの技術的要件を備えているWeb会議システムを利用し、「ルール」や「人」だけでは対処できないセキュリティの脅威に備えることが重要です。

参考：「テレワークセキュリティガイドライン（第4版）」｜総務省

Web会議のセキュリティ面の4つの注意点

Web会議システムの主流となっているクラウド型は、自社にサーバーを設置する必要がありません。ネットワーク構築のためのコストや時間、さらには保守・運用のための費用も不要です。

企業にとってはメリットが大きいといえますが、思いがけないトラブルに見舞われる可能性もあります。Web会議システムを検討する際は、セキュリティ面のチェックもしっかりとおこなっておきましょう。Web会議システムで確認しておきたいポイントを紹介します。

1. 暗号化機能を実装しているか

デジタルデバイスからクラウドサーバーへ送るデータを全て暗号化すれば、第三者には理解できません。万が一、覗かれても、情報漏洩のリスクは低減できます。

データ暗号化と復号には「暗号鍵」が使われます。そして、暗号鍵を使った暗号化の方法は2種類あります。

• 共通鍵暗号：暗号化・復号ともに同じ鍵を用いる暗号化方式
• 公開鍵暗号：暗号化・復号で別の鍵を用いる暗号化方法

共通鍵暗号は、ファイルの変換などによく使われ、処理速度が早いのが特徴です。「DES」「RC4」「AES」といった暗号化処理（暗号アルゴリズム）がよく知られています。Web会議システムでは、AESを使っているものが多く見られます。

一方、公開鍵暗号は、処理速度が低速ですが、管理する鍵の数が少なくてすむというメリットがあります。ただし、公開鍵暗号のみで使用されることは稀です。近年は共通鍵暗号と組み合わせて使われることが多くなっています。「RSA」「楕円曲線暗号」などが有名です。

プロトコルをチェック

プロトコルとは、インターネット上で通信するときのさまざまな取り決めやルール、方式を指します。暗号化プロトコルの中には、暗号化に対応していないものもあります。

Web会議システムについては、セキュリティ度の高いプロトコルを採用しているかどうか確認することが大切です。

セキュリティ度の高いプロトコルとしては、主に以下のようなものが有名です。

• SSL/TLS：通信相手の認証やデータの暗号化機能がある
• HTTPS：通信相手の認証やデータの暗号化機能がある
• SNMPv3：インターネット上の機器の監視や管理で使われる

このほか、Web会議システムでは「DTLS （Datagram Transport Layer Security）」や「SRTP （Secure Real-time Transport Protocol）」を使ったものも多いでしょう。

2. 入室制限できるか

Web会議システムは、会議参加者の確認・認証方式が設定できるものがベストです。誰でも自由に入室できるシステムでは、意図しない第三者が混在する恐れがあります。会議の内容や個人情報漏洩のリスクが高く、会議をスムーズに進められません。会議に参加する人を一人ひとり確認し、部外者を入れない機能が必要です。

会議参加者の確認・認証方式としては、以下の方法があります。

• 会議室にパスワードを設定する
• 会議参加者に個別のIDを付与する
• 待機室で個々の参加者を確認できるようにしておく
• 会議参加者を事前登録しておく
• 入室に2段階認証を設ける　
• IPアドレスによる参加者指定
• デバイスの製造番号認証

なお、これらの機能があったとしても、主催者が参加者を適切に把握できていなければ意味がありません。会議を開催する際は、どのようなメンバーが揃うのかきちんと把握しておきましょう。また、万が一、意図しない第三者が混在していた場合のため、会議参加者を強制的に退出させられる権限も必要です。

3. 会議や資料のデータはどこに保存されるか

Web会議システムがオンプレミス型の場合、情報漏洩リスクはさほどありません。しかしクラウド型を使う場合、会議や資料のデータがどこを経由してどこに保存されているのか確認が必要です。

Web会議では、企業秘密・名簿や会議中に取り交わされた議論について、音声、画像、チャット、動画など、多数のデータが残ります。Web会議システムが情報を適切に管理しない場合、情報が漏洩してしまうリスクは高いでしょう。

特に注意したいのが、Web会議システムが海外のデータセンターを利用している場合です。サーバーの負担を減らすため、国外サーバーを利用するベンダーは少なくありません。このこと自体に問題はありませんが、データセンターが配置された国によっては、政府がデータを強制収容することが法的に可能です。

重要な機密や資料を扱う場合は、海外拠点は避けるのが望ましいといえます。有料版のシステムなら、どのデータセンターを使うかは契約時に確認できますが、契約を結ばない無料版の場合は注意が必要です。

4. データの抹消についても要確認

データの保管と同様に、データの抹消についても確認が必要です。重要なデータがクラウドサーバーに残らないよう「完全に抹消できる機能があるか」をチェックしておきましょう。この機能がないと、消したはずのデータが復元され、悪用される恐れがあります。

Web会議システムの主なセキュリティ対策とは｜サービス編

公的認証を取得している

Web会議システムを利用するにあたって、セキュリティについて第三者機関が正式に認められているものであれば、安心して利用することができるでしょう。セキュリティの安全性を認める代表的なものに、プライバシーマークとISMS認証（ISO27001）があります。

公的認証を取得しているということは、「セキュリティが強い」とベンダーが思っているだけでなく、客観的に見てセキュリティが強いと判断されることになります。

プライバシーマーク

プライバシーマークは、日本工業規格の1つで、個人情報の取り扱いを適切に行っている事業者に対して、一般財団法人日本情報経済社会推進協会（JIPDEC）が認証するものです。

プライバシーマークは、主に個人情報を保護する目的として取り組まれていています。プライバシーマークを取得しているWeb会議システムの事業者は、個人情報を正しく取り扱っているということを第三者から認められているといえます。

ISMS認証（ISO/IEC27001）

ISMS認証は、情報セキュリティマネジメントシステムに関する認証制度です。現在では、一般社団法人情報マネジメントシステム認定センターで認定をおこなっています。

ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。

引用：情報セキュリティマネジメントシステム（ISMS）とは｜情報マネジメントシステム認定センター（ISMS-AC）

ISMSは、情報セキュリティを適切に取り扱っている企業に対して、情報資産全般を審査をし、情報の機密性などを評価します。また、ISMSは国際規格（ISO/IEC27001）の基準を準拠しているため、国際的に認められた認証といえます。

通信が暗号化されている

インターネット上で情報をやり取りするため、データが盗まれたり、漏れたりする危険は常にあります。Web会議システムの通信が暗号化されているかは重要なポイントです。Web会議で音声やデータ、文書、動画などをやり取りする際に、通信が暗号化されていると、データを読み取られることを防ぎ、より安全なやり取りをすることができます。

Web会議システムで使われている暗号化の方法には主にSSL暗号化とAES暗号化があります。

SSL暗号化

SSLとはSecure Socket Layerの略で、インターネットを通して、送受信する際にネットの情報を暗号化するプロトコルのことです。URLが「https://～」となっていればSSL暗号化がなされている証拠で、ブラウザ上に表示されているURLで確かめることができます。

AES暗号化

AESは、Advanced Encryption Standardの略で、アメリカで標準的な暗号化方式として採用されている技術です。無線LANなどの暗号化に採用されていることが多く、現状において強度の高い暗号化技術であるとされています。

オンプレミスでサービスを提供している

オンプレミス型とは、企業が専用のサーバーを自社で導入し、必要なソフトウェアをダウンロードし運用していく形態です。クラウド上でのWeb会議は、常に外部からの危険が潜んでいます。しかし、オンプレミス型のWeb会議は、自社でサーバーを保有するため、外部からの影響を受けにくい点がメリットです。

クラウド型よりも導入費用などのコストはかかりますが、セキュリティ面においてはより安心できます。Web会議のセキュリティに不安がある人はオンプレミス型のWeb会議を利用するのも1つの手です。

ペネトレーションテストをクリアしている

ペネトレーションテストとは、インターネットに接続されているシステムに対し、これまでの技術を用いて侵入を試すテストのことです。システムは常に外部からの攻撃を受ける可能性があり、危険に晒されています。それらの攻撃に対して、システムのセキュリティツールが耐えれるかなどをテストをします。

Web会議によっては、脆弱性を減らすために、定期的にペネトレーションテストを行っているものもあります。定期的にテストをすることで、アップデートに伴う新しいサーバー攻撃などからも防御できるようになります。そのため、このテストが定期的になされているWeb会議は新しい攻撃の対策もできており、安全性が高いといえるでしょう。

Web会議のシステムの主なセキュリティ対策とは｜機能編

ユーザーを管理できる

Web会議では、主催者が会議ルームを立ち上げて、参加者がその会議ルームに参加するという方法が一般的です。そのため、会議ルームに誰が入室しているのか、入室できる権限があるのかなどを適切に把握する必要があります。そこで重要なのがユーザー管理の機能です。利用者ごとに権限や利用制限を設定することができます。管理者はユーザーを把握するだけでなく、不正利用の防止にも役立ちます。

通信履歴やログが保存されている

Web会議をする際に、通信履歴やログが保存されていると、いつ誰がどの操作をおこなったか把握することができます。そのため、Web会議の参加者が適切に利用しているかを確かめることができます。

また、万が一外部からの侵入があったときに、通信記録から容疑者を特定することができます。いつどの経路で侵入したかを知ることができるので、今後のセキュリティ対策にも役に立てることができるでしょう。

接続するIPアドレスを制限できる

IPアドレスは、インターネット上で、接続された機器が持つ番号です。IPアドレスは現実世界での住所と似たようなもので、同じIPアドレスは存在しません。そのため、IPアドレスを制限する機能があれば、端末を識別し、なりすましなどの不正アクセスを防ぐことができます。

端末認証ができる

ログインIDやパスワードだけでは、セキュリティについて安心できるとはいい切れません。IDやパスワードの管理だけでは、他の人に知られてしまった場合、不正ログインをされる恐れがあります。また、端末を紛失したり、盗難されたりすると、不正利用される可能性もあります。

その場合、端末認証の機能があれば安心です。紛失した場合、利用端末から削除したり、未登録の端末を拒否することができます。IDやパスワードと合わせて利用すれば、セキュリティは強くなり、より安心して利用できるでしょう。

Web会議ルームにパスワードを設定できる

Web会議システムには、会議ルームのURLを共有するだけで会議を開催できるなど、パスワードが必要のないものもあります。しかし、パスワードがないWeb会議ルームでは、誰でも簡単に入室できてしまい、不正アクセスの危険があります。Web会議ルームにパスワードを設定できるなど、Web会議ルームへの入室制限をかけることで、不正アクセスや不正利用の防止に役立ちます。

仮にパスワード機能があっても、同じパスワードを長く利用していると、いつの間にか部外者に漏れてしまったり、予測されたりしてしまいます。そのため、パスワードを定期的に変更することも重要です。パスワード機能がついているだけでなく、変更できる機能もついているWeb会議を選ぶと良いのではないでしょうか。

Web会議ルームのURLが毎回違う

URLを共有して、Web会議を開催できるWeb会議システムはとても便利です。しかし、そのURLにもセキュリティ面で確認しておきたいことがあります。定期的な会議をWeb会議を使っておこなう場合、そのWeb会議ルームを使い続けることになります。

また、Web会議ルームの数に制限があるWeb会議システムでは、いくつかの会議で同じWeb会議ルームを使い回すということも考えられます。これでは、過去に会議に参加したことがある人にWeb会議ルームを知られてしまい、不正利用や情報漏洩の温床になってしまいます。

一度、使ったWeb会議ルームを何度も利用することは、セキュリティ上おすすめできません。そのため、URLの共有をするWeb会議システムを利用する場合は、会議ルームのURLが毎回異なるものを選びましょう。

ベンダー提供のクラウドサーバーに重要なデータを残さないようにしましょう。どんなに強固なセキュリティを謳っていても、ハッキング被害に合わないという保証はありません。

近年トラブルとなっている情報漏洩は、サーバーへのアタックが原因だったケースが多いのです。

「会議資料やフィードバックを大勢で共有したい」という場合でも、サーバーに残す期間を決めておきます。必要があれば個々でデータを取得してもらい、一定期間の後、クラウドサーバー上のデータは全て削除してしまいましょう。また、アクセス制限を設けたりパスワードを設定したりすることも忘れてはいけません。

4. 会議室へのアクセスはURL発行型を選ぶ

Web会議システムでは、同じURLを使い回さないことが大切です。会議ごとに新しいURLを発行できるシステムを選びましょう。毎回違うURLをランダムに発行できれば、第三者の侵入や盗聴・盗み見のリスクを抑えられます。ただし、会議参加者に会議URLを知らせるときは、誤送信などに十分注意してください。

5. 通信履歴・ログを適切に管理する

通信履歴やログを管理しておけば、誰が会議に参加してどのような動作をおこなったのかがわかります。これは、万が一、外部から不正なアクセスがあったり情報が漏洩してしまったりしたときなどに、有益な情報となります。通信履歴やログから、不正な第三者や情報漏洩の元となった人を追跡できます。

6. 有料版のWeb会議システムを使う

無料版のWeb会議システムは手軽で便利ですが、ベンダーと契約を交わす訳ではありません。セキュリティ面では有料版に劣る面があり、万が一のときのサポートにも不安が残ります。Web会議システムで重要な機密を扱う、会議の頻度が多い、などの場合は無料版ではなく有料版を選ぶのがベターです。

Web会議システムを使う人が行うべきセキュリティ対策・事故防止とは

ここまで、Web会議システムのセキュリティのポイントやサービスのセキュリティ対策について紹介してきました。最後に、個人でできるセキュリティ対策についてもご紹介します。

会議ルームを使い回さない

Web会議ルームのURLが多くの人に共有されていればいるほど、不正アクセスや盗聴などのリスクは高くなります。とくに、社外の取引相手とWeb会議をおこなう場合には、相手ごとに別々の会議ルームを作成するとよいでしょう。

接続IDの扱いは慎重におこなう

会議ルームへの参加に必要な接続IDは、慎重に扱うことが必要です。接続IDを漏らしてしまうと、第三者による侵入の危険性があります。SNSや大人数のいるチャットなどオープンな場では接続IDの共有を避け、メールでの接続IDの誤送信に注意することが必要です。

公共のWi-Fiは使わない

コワーキングスペースやカフェなど、公共のWi-Fiは、セキュリティが不十分であることも考えられます。また、盗聴や覗き見を防止する意味でも、カフェなど公共の場でのWeb会議は控えたほうが安全です。テレワークをおこなう場合には、社員が公共のWi-Fiを使用しないように、Wi-Fiルーターを配布するなどの対策が必要です。

重要な資料はサーバーに残さない

Web会議システムにはファイルをアップロードし、商談やミーティングの資料として活用できるものがあります。万が一に不正アクセスされた場合に、サーバー上に資料が残っていると、情報の漏洩に繋がってしまいます。そのため、機密情報や重要な資料はWeb会議システム上に残さず、削除するほうが安心でしょう。

セキュリティソフトを取り入れる

Web会議システムを導入を検討されている段階で、セキュリティ対策のソフトを入れることをおすすめします。

ファイアウォール機能がきちんとオンになっているのか確認を行いましょう。ファイアウォール機能がオンになっていると、ウイルス感染や不正アクセスによる情報漏洩を防ぐことができるようになります。スマホなどPC以外の端末からもWeb会議に接続することがある場合、モバイル用のセキュリティ対策ソフトをインストールやOSのアップデートの対応を行いましょう。

セキュリティ対策のあるWeb会議システムを使ってリスクを軽減しよう

いかがでしたか。リモートワークで会議をおこなう場合、Web会議システム上で重要な会議をおこなうことも起こり得ます。そのとき、情報が漏洩しないようなセキュリティ対策はしっかりとおこなっておくべきでしょう。誤操作や紛失などは社員一人ひとりの注意で防ぐことができますが、システム上のセキュリティ対策はベンダーがおこなうものになります。

リモートワークでの会議でも安全にWeb会議をおこなえるよう、セキュリティ対策の整ったWeb会議システムを導入してください。