Web会議サービス利用時のセキュリティに関する注意事項をIPAが公開：「会議データの所在」「暗号化」「会議参加者の認証方式」

IPAは2020年7月14日、「Web会議サービスを使用する際のセキュリティ上の注意事項」を公開した。会議データの所在や暗号化に注意を払い、会議データの盗聴や改ざんのリスクを下げるために適切な暗号アルゴリズムや通信方式を選択すべきだとしている。

[＠IT]

　独立行政法人 情報処理推進機構（IPA）のセキュリティセンターは2020年7月14日、「Web会議サービスを使用する際のセキュリティ上の注意事項」を公開した。NSA（米国国家安全保障局）やCISA（公認情報システム監査人）が公表している政府職員向けのWeb会議サービス使用時の注意事項を参考に、会議データの所在や暗号化、会議参加者の確認と認証方式についてまとめた。

国によっては、政府が法に基づいてWeb会議データを強制収容するリスクがある

　Web会議サービスが扱う音声や映像、共有資料、チャットといったデータが格納される場所は、情報漏えいリスクに大きく影響する。使用するWeb会議サービスがクラウドサ−ビスとオンプレミスのどちらなのかを確認することが必要だ。クラウドを利用する場合は、海外のデータセンターにデータが格納されることがある。データセンターが設置されている国によっては、政府が法に基づいてデータを強制収容するリスクがある。

Web会議サービスのデータセンター配置イメージ（出展：IPA）

　次に暗号化については、利用するWeb会議サービスが「サービス提供者が暗号鍵を持たないエンドツーエンド暗号化」か、「サービス提供者が暗号鍵を持ち会議データがサーバで復号可能な方式」かを確認すべきだ。前者の場合は、復号できるのは参加者のみ。後者の場合はサービス提供者も復号でき、サービス提供者が信頼できるとしても海外には政府によるサーバのデータの強制収容リスクがある。

　暗号アルゴリズムや通信方式についても、安全性を確認すべきだ。通信に問題がある場合、会議データの盗聴や改ざんのリスクがある。IPAによると、安全性が確認されている暗号アルゴリズムとしては「CRYPTREC暗号リスト」の「電子政府推奨暗号リスト」や「推奨候補暗号リスト」が、通信方式としてはIPAの「TLS暗号設定ガイドライン」の「推奨セキュリティ型」や「高セキュリティ型」が参考になるという。

意図しない者の会議へ参加を防ぐことが重要

　会議進行の妨害や機密情報の漏えいを防ぐには、意図しない者の会議へ参加を防ぐことが重要だ。Web会議システムには、会議パスワード設定機能や待機室（ロビー）での参加者確認機能、参加者の事前登録機能、参加者名の設定機能、2要素認証など参加者を識別する機能が用意されている。主催する会議の機密性や参加人数に応じて、最適な方式を選択すべきだ。

　IPAは、Web会議サービスを安全に開催するために、Web会議の開催案内の送付手段や、参加者の確認を明確に実施すること、会議終了後に会議データをクラウド上から削除することにも注意を払うよう指摘している。