Web会議サービス利用時のセキュリティに関する注意事項をIPAが公開：「会議データの所在」「暗号化」「会議参加者の認証方式」

IPAは2020年7月14日、「Web会議サービスを使用する際のセキュリティ上の注意事項」を公開した。会議データの所在や暗号化に注意を払い、会議データの盗聴や改ざんのリスクを下げるために適切な暗号アルゴリズムや通信方式を選択すべきだとしている。

[＠IT]

　独立行政法人 情報処理推進機構（IPA）のセキュリティセンターは2020年7月14日、「Web会議サービスを使用する際のセキュリティ上の注意事項」を公開した。NSA（米国国家安全保障局）やCISA（公認情報システム監査人）が公表している政府職員向けのWeb会議サービス使用時の注意事項を参考に、会議データの所在や暗号化、会議参加者の確認と認証方式についてまとめた。

国によっては、政府が法に基づいてWeb会議データを強制収容するリスクがある

　Web会議サービスが扱う音声や映像、共有資料、チャットといったデータが格納される場所は、情報漏えいリスクに大きく影響する。使用するWeb会議サービスがクラウドサ−ビスとオンプレミスのどちらなのかを確認することが必要だ。クラウドを利用する場合は、海外のデータセンターにデータが格納されることがある。データセンターが設置されている国によっては、政府が法に基づいてデータを強制収容するリスクがある。

Web会議サービスのデータセンター配置イメージ（出展：IPA）

　次に暗号化については、利用するWeb会議サービスが「サービス提供者が暗号鍵を持たないエンドツーエンド暗号化」か、「サービス提供者が暗号鍵を持ち会議データがサーバで復号可能な方式」かを確認すべきだ。前者の場合は、復号できるのは参加者のみ。後者の場合はサービス提供者も復号でき、サービス提供者が信頼できるとしても海外には政府によるサーバのデータの強制収容リスクがある。