オンライン授業に必要なZOOMのセキュリティ対策

昨日の記事で書いたように、教員向けの「オンライン授業のためのZOOM研修」を首都圏模試センターさんと一緒に準備しています。その一貫で、ZOOMのセキュリティ対策と設定については、ブログの記事として情報発信をしていきたいと考えています。今日はZOOMの具体的なセキュリティ対策について、オンライン授業を実施する学校側の観点から考えていきたいと思います。


【スポンサードリンク】

対策すべきセキュリティ問題

最初に、ZOOMのセキュリティ問題として、これまでどのようなトラブルが発生してきたのか詳しく見ていきましょう。

  • 【A】ズーム爆弾
  • 【B】パソコン版ズームアプリの脆弱性(カメラ・マイクのハッキングや認証情報の漏洩)
  • 【C】ユーザーの了解なくFacebookにユーザー情報を送信
  • 【D】ZOOMにアカウント登録した個人情報が流出
  • 【E】通話の暗号化が不十分(ZOOM社が盗聴可能)
  • 【F】ZOOMの招待URLを偽ったフィッシング詐欺

※ 「セキュリティ問題の詳細」は長いので、結論(具体的な対策)だけ知りたい人は、その次の「学校が取るべきセキュリティ対策」を読んでください。

セキュリティ問題の詳細

【A】ズーム爆弾 は、学校のオンライン授業では一番気をつけるべき問題です。ズーム爆弾を具体的に説明すると、「学校に関係のない不審者がオンライン授業に乱入して、生徒たちに不適切な映像を見せたり、先生を誹謗中傷したりする犯罪」のことです。

ニューヨーク州の教育当局がZoomの使用を禁止したのは、このズーム爆弾が原因です。ただし、現在は既に対策方法が確立されており、学校側・先生が適切に対応すれば完全に防ぐことが可能です。

【B】パソコン版ズームアプリの脆弱性 では、例えばMacのWebカメラやマイクがハッキングできる脆弱性が見つかったり、Windows認証情報が盗まれる脆弱性が見つかったりしています。ただし、Zoomは既にこれらの脆弱性に対処した最新バージョンを公開しているので、最新版のアプリにバージョンアップすれば防ぐことができます

【C】ユーザーの了解なくFacebookにユーザー情報を送信 では、アメリカではZOOM社を相手取った集団訴訟に発展しています。これはZOOMアプリの内部にあるFacebook SDKという仕組みが原因だったのですが、現在ZOOMではこれを既に停止しているため、ユーザー情報が送信されてしまうことはありません。(解決済み)

【D】ZOOMにアカウント登録した個人情報が流出 は、1週間ほど前にニュースになっていましたね。「Zoomアカウント50万件がダークウェブで売買、二次被害発生の可能性」などです。これは正直、ZOOM社がメインサーバーのセキュリティを強化してもらうしか対策はありません。(2020/4/24 追記:このアカウント流出はZOOM社から流出したものではありませんでした。他サイトから流出したメールアドレスとパスワードを使い、クラッカーがZOOMでログインテストをして流出リストを作った可能性が高いそうです。Twitterで@h_okumuraさんにご指摘いただいて気付きました。ありがとうございます。)

ただし、ZOOMはアカウント登録をしなくとも使うことが出来ます。学校の授業用アカウントだけ登録して、生徒アカウントは登録せずに利用すると良いでしょう。(2020/4/24 追記:また、授業用にアカウントを作る際も、他サイトで既に使用しているパスワードとは異なるパスワードを必ず使うようにしましょう。

【E】通話の暗号化が不十分(ZOOM社が盗聴可能)については、こちらの記事から重要箇所を引用したいと思います。

以上のようにZoomの暗号化はものすごく強固とはいえないので、国家機密や価値の高い知的財産をやりとりするのは控えたほうがよいだろう。各国の政府機関や機密情報を扱うことが多い企業がZoomの使用を禁止するのはうなずける。

だが、ビデオ会議のすべてが機密情報をやりとりするわけでない。公開しても問題のないような授業や講義、友人同士のオン飲み(オンライン飲み会)、簡単な打ち合わせといった用途なら、強固なセキュリティーは不要だろう。

それに、Zoomのセキュリティーに前述のような問題があるとしても盗聴にはコストがかかる。一般の人が手軽に盗聴できるわけではない。

コスト度外視で入手したい機密情報ならいざしらず、Zoomでやりとりされている情報のほとんどは、攻撃者がコストをかけてまで盗聴したいものではないだろう。

「盗聴されることのリスク」と「Zoomの利便性」をはかりにかければ、ほとんどのビデオ会議はZoomの利便性のほうが勝つはずだ。

というわけです。ZOOMの暗号化は完璧ではありませんが、気軽に盗聴されるレベルでもありません。学校のオンライン授業の用途であれば、気にせずにZOOMを使用しても全く問題ないでしょう。

最後に、【F】ZOOMの招待URLを偽ったフィッシング詐欺 についてです。これは「ZOOMの招待URL」に似せた「悪さをするURL」を作り、SNS等で拡散する詐欺のことです。「悪さをするURL」を間違ってクリックしてしまうと、クレジットカード情報などが盗まれてしまう手口です。

このフィッシング詐欺の対策は、何よりも生徒自身が「無闇にURLをクリックしない」と意識することが重要です。「ZOOMの招待URLは毎回決まった方法で送る」というルールを作っておくと、フィッシング詐欺の予防にもなります。

学校が取るべきセキュリティ対策

ZOOMが抱えているセキュリティ問題について長々と説明しましたが、学校が取るべき具体的な対策は次の5つに絞ることができます。ZOOMを使ったオンライン授業では、これらを徹底してください。

まず、「①生徒のアカウントは作成しない」ことで、問題【D】「アカウントの流出」を予防することができます。そして「②ミーティングパスワードを必ず設定する」と「③待合室を使用する」ことによって、生徒以外の不審者がオンライン授業に乱入してくることを事前に防げます。問題【A】「ズーム爆弾」の対策です。

意外と盲点になりがちなのが、「④アプリを最新版にアップデートする」ことです。問題【B】の対策になるだけでなく、これから新しくおこるセキュリティ問題への対策にもなるからです。ZOOM社はこれから3ヶ月間、セキュリティ問題の解決に集中すると宣言しています。少なくとも7月までは、ZOOMアプリのアップデートをこまめに行っていきましょう

最後は「⑤ミーティングIDとパスワード、URLが外部に流出しないように注意する」ことです。問題【A】「ZOOM爆弾」だけでなく、問題【F】「フィッシング詐欺」の予防にもなります。「ZOOMの招待」を生徒に送るときは、安全なプラットホーム(学校のクローズドなSNSやメール)を利用しましょう。

それでもセキュリティが心配な人は‥

それでもZOOMのセキュリティが心配だと言う人は、先生や保護者の中にもいると思います。そういう人が多い学校はどうすれば良いのでしょうか?

答えはシンプルです。ZOOM以外のサービスを使えば良いのです。

オンライン授業ができるサービスは、ZOOM以外にもたくさんあります。例えば、Google社の「Google Meet」。Googleクラスルームを使っている学校なら、ボタン一つでオンライン授業を開始することができます。

学校でOffice365を使っているのなら、MicrosoftのTeamsも良いでしょう。ZOOMと似た使い勝手のアプリが良ければ Cisco Webex がお勧めですね。有名なサービスはこのあたりですが、探せばまだまだ出てくるでしょう。

1つの手法に囚われる必要はありません。多様なやり方を柔軟に試してみてくださいね。