「Mr. Webex」が語る Webex のセキュリティ 〜シリーズ第1回〜「爆弾を落とされないためのノウハウA-B-C」

New Normal 下でのセキュアなテレワークを実現する Webex Meetings

新型コロナウィルスの猛威を背景に、テレワークの導入が急速に進む中、それを支える Web 会議ソリューションをいかに上手く使いこなせるかは、その会社の生産性、ひいては業績に大きく影響を与えると言っても過言ではありません。

オフィスに行くことができない、同僚と対面でコミュニケーションが取れない、お客様先で商品説明ができない、こういった状況下において事業を継続するためには、Web 会議ソリューションの利用が必要不可欠だからです。そして、上手く使いこなすだけではなく、いかにセキュアにリモート会議を行うことが出来るかが、Web会議ソリューションを活用する企業の最大の関心事となっています。

なぜなら、新型コロナウィルスの影響で、リモートを中心とした働き方が “New Normal” になる過程において、リモート会議中のセキュリティインシデントが多発したためです。

このブログでは、シスコが提供する「Webex Meetings」のセキュリティに焦点を当てて、セキュアなリモート会議を実現するための機能、サービスの提供を支える IT インフラ、個人情報保護ポリシー、情報セキュリティの第三者機関認証、開発コンセプトや製品思想に至るまで、シリーズで解説していきたいと思います。

その記念すべき第一回目として、今回はずばり「爆弾を落とされないためのノウハウ A-B-C」と題して、機能に特化した解説をしていきたいと思います。

 

Web 会議における “BAN”や”Bomb“ を防ごう!

まず皆さん、“BAN”とか”Bomb“という言葉を耳にされたことはないでしょうか?これは、Web 会議ソリューションの利用が飛躍的に伸びた今年に入って特に流行った言葉で、インターネット上で自身が使っているサービスの利用が差し止められたり、アカウントが削除されることを ”BAN” と言い、悪意を持った第三者にリモート会議を乗っ取られて荒らされることを、爆弾を落とされるという意味で “Bomb(or Bombing)“ と言います。

例えば、大学で実施されていたオンライン授業が何者かに ”Bomb” されて、授業が出来なくなってしまったり、リモート会議が悪意を持った第三者に乗っ取られて荒らされる、といったことが世界中の至るところで発生しました。国家を代表するような重要な立場の方が主催するリモート会議でもこのようなインシデントが発生したのです。また、同じ政治思想を持った人達が参加するリモートでの集会が、その Web 会議ソリューションを提供するプロバイダーによって “BAN” されるといったことも起こりました。

このようなセキュリティインシデントは、お客様の事業そのものを危険に晒すこととなり、安心・安全であるべき ”New Normal“ なビジネス環境の前提が崩れてしまいます。では、なぜこのようなことが起こるのでしょうか?

一言でいうと、その Web 会議ソリューションが “脆弱” だからなのです。脆弱といっても、Web 会議ソリューションそのものに致命的な脆弱性がある場合もあれば、ある機能をたまたま OFF(無効)にしていたことで、一時的に脆弱な状態になっていたということもあり、脆弱の意味合いにも色々あります。公平を期す意味で申し上げると、我らが「Webex Meetings」も、絶対にセキュリティインシデントが発生しないという保障はどこにもありません。世の中のどんな Web 会議ソリューションであっても、ちょっとした工夫や、機能の ON/OFF で、その会議が安全なものにも危険なものにもなります。今日はその “ちょっとした工夫” を皆さんに共有させていただき、「Webex Meetings」を活用した “New Normal” なビジネス環境が、よりセキュアなものになるよう、お手伝いできればと思います。

 

主催者-

リモート会議においては“主催者”と“参加者”という概念があります。会議のアジェンダを決め、スケジュールし、参加者を招集する役目の人を主催者と言い、招待を受けて会議に参加する人を参加者と言います。まずは、主催者として会議を安全に運営するための「Webex Meetings」の特徴をご説明します。世の中の多くの Web 会議ソリューションでは「ミーティング ID」という一意の ID を発行し、それをキーとして会議に参加する方法が一般的です。

ところが、ミーティング ID が漏れやすい仕組みになっていると、予期せぬところで悪意を持った第三者の手に渡り、上記で述べたように、リモート会議が ”Bomb“ されてしまう危険性があります。Web 会議ソリューションによっては、ミーティング ID が常に画面上に表示されていたり、推測されやすいものになっています。

そのようなWeb会議ソリューションを使って開催した会議の画面キャプチャを撮って SNS 等に投稿したことで、ミーティングIDが拡散し、それを手にした悪意のある第三者によって会議が ”Bomb“ されるというインシデントが多発しましたが、「Webex Meetings」では、もともとミーティング ID は秘匿化される仕組みとなっており、URL 上でも変換されるようになっているため、画面キャプチャが SNS 等に投稿されたとしても、ミーティング ID が他者に意図せず公開されたり、容易に推測されることのないよう設計されています。

次にパスワードですが、ミーティング ID に加え、さらにパスワードを設定して安全性を高めることができます。これも一般的な運用です。ところが、そのパスワードも悪意のある第三者の手に渡ると、やはり同じ問題が発生してしまいます。

そこで「Webex Meetings」では、ミーティング ID が記載された会議の招待メールと、パスワードを分離することができます。通常は招待メールにパスワードも記載されていますが、その場合、招待メールがあれば誰でも会議に参加できてしまうため、あえてパスワードは招待メールに記載しないという運用です。

このようなちょっとした設定で、会議への不正アクセスを阻止することができるのです。また、パスワードそのものの複雑性をより高めたり、会議室をロックしたり、正体不明の参加者を即時退出させるといったことも設定で出来ます。このような何気ない、ちょっとしたセキュリティ機能が「Webex Meetings」には数多く実装されています。

詳細については「Webexの仕組みを理解して安全快適にWebexを使おう」でも公開していますので、こちらも併せてご参照ください。

機密性の高いミーティングではパスワードを招待状に記載しない

 

プライバシーを保護しモチベーションを高める仮想背景

参加者-

次に、参加者としてどのようにリモート会議の安全性を高めることができるかについてご説明します。まずは「仮想背景」についてご紹介しましょう。

「Webex Meetings」では、カスタム仮想背景に対応しており、最新バージョン「WBS40.9」では、プリセットで提供される仮想背景が、これまでの3つから9つに増えました。

また、自身で用意した仮想背景を使用することもできます。ところで、なぜ仮想背景を使用する必要があるのでしょうか?私は2つの効果があると思っています。

1つは、仮想背景を設定することでモチベーションを高めたり、自宅の背景を気にせず落ち着いてリモート会議に集中できるといったメンタルな効果があると思います。

例えば「Webex Meetings」のプリセット仮想背景には、モダンなオフィスをイメージした背景や、落ち着いた幾何学トーンの背景など、様々なパターンをご用意しており、今後さらに増やしていく予定です。これらの仮想背景を使用することで、自宅の背景を気にすることなく、集中してリモート会議に臨むことができるのではないでしょうか。

それともう1つ、今回のブログのテーマでもありますセキュリティの効果です。自宅からリモート会議に参加する場合、他人に見られたくない個人的な情報が背景に映り込む可能性があります。また、カレンダーにメモした友人の電話番号などが背景に映り込んでしまうことだってあり得ます。カフェからリモート会議に参加するような場合にも、背景に他人が映り込んでしまうことは往々にしてありますし、それがプライバシーの問題に発展する可能性もあります。自分自身のプライバシー、そして他人のプライバシーを守るためにも、状況に応じて仮想背景をご活用いただければと思います。

WBS 40.8において、Windows および Macのデスクトップアプリでも仮想背景をカスタマイズできるようになりました
WBS 40.9 では、プリセットで提供される仮想背景が3つから9つに増加

 

BabbleLabs社の技術でAIを駆使したノイズキャンセリングを実装

背景だけでなく、ノイズ(雑音)もリモート会議において気にしておかないといけない重要なポイントのひとつです。大人数が参加するリモート会議で、参加者が自身をミュートにしていないことに気づかず、ノイズが酷くて会議にならなかったという経験をしたことがある人は少なくないはずです。背景と同様、プライバシーな情報を音声で拾ってしまう可能性だってあります。

これに対してシスコはBabbleLabs社の買収の意向を発表しました。AI を駆使したノイズキャンセリングと音声明瞭化で最先端を行くBabbleLab社の技術で、犬の鳴き声やベルの音、 家族の声など、様々なノイズをカットし、会議に集中する環境を整えます。これは、シスコがセキュリティやプライバシーの問題に今後も力を入れていくことの意志の現れと言えます。

ノイズキャンセリングと音声明瞭化で最先端を行くBabbleLab社を買収

 

Webex Meetings エンドツーエンドの暗号化

管理者-

ここまで主催者と参加者の立場で、いかにリモート会議をセキュアに実施できるか解説しましたが、管理者の存在も忘れてはいけません。

管理者とは、リモート会議の全体的な管理運営を行う人で、会社のセキュリティポリシーを踏まえ、Web 会議ソリューションの選定や導入に影響を与え、使用する会議ソリューションの機能設定の権限も持ちます。”New Normal“ なビジネス環境では、会社の機密情報を扱う秘匿性の高い会議をリモートで行うことも珍しくなくなりました。

そこで管理者には、何があっても情報漏洩が許されない会議設定を会社から命ぜられます。これは責任重大です(笑)。こういった時に「Webex Meetings」には「エンドツーエンドの暗号化」という選択肢があります。

「エンドツーエンドの暗号化」を簡単に説明すると、インターネットを経由して送受信している通信データをエンドツーエンドで全て暗号化し、送信者と受信者のみがデータを複合して閲覧できる仕組みで、それ以外の人は誰もデータを複合して閲覧することはできないという、非常に安全性の高い暗号化の仕組みです。サービスを提供しているシスコのスタッフでさえ閲覧することはできません。

この「エンドツーエンドの暗号化」の機能を「Webex Meetings」では、会議毎に簡単に有効化することができます。重要で秘匿性の高いリモート会議はエンドツーエンドの暗号化を有効にし、それ以外の会議は通常の暗号化モードで実施するといった具合に、利用シーンや会議の重要度によって使い分けができます。

もちろん、「エンドツーエンドの暗号化」を有効にしなかったからといって、その会議の内容がつつ抜けと言うことではありません(笑)。詳細は Webex Meetings エンドツーエンドの暗号化もご参照ください。

Cisco Webex アプリ エンドツーエンドの暗号化

 

また、今年の6月にさらなるセキュリティの強化を目的とし、データ損失防止(DLP)保持と訴訟ホールド(関連するすべての資料・情報を安全に保持する)に対応しました。

これにより、会議の全てのコンテンツ(録音、文字起こし、アクション項目、ハイライト)のセキュリティと保護が強化されます。また、エンドツーエンドの暗号化オプションを拡張し、GCM モードの AES256 ビット暗号化に対応しました。これにより会議データ保護と改ざんへの耐性が向上します。これらも、管理者にとっては非常に重要なセキュリティの機能です。

 

さて、今回は実際にサービスを利用される方の目線で、リモート会議をよりセキュアに実施いただくための様々な機能を解説いたしました。

次回は少し違う目線で、「Webex Meetings」のサービス提供を支えるサーバやデータセンターといった IT インフラがどのように安全に運用されているかについて解説したいと思います。

"Mr. Webex" 谷内 健治

岡山県津山市出身。大手外資系通信キャリア、外資系ソフトウェアベンダーでの営業職を経て、2012年にシスコ入社。入社後は一貫してシスコのクラウドビジネスの中核をなす「Cisco Webex」の営業、およびプロダクトマネージメントに従事。「Mr. Webex」の異名をとる。これまで経験してきた営業的な視点を活かし、お客様のニーズやマーケットトレンドをタイムリーに汲み取ったプログラム開発やプロモーションの推進に奮闘中。趣味は筋トレ。