vol. 10 2021年01月 ウェビナー開催時のセキュリティリスクとその対策方法とは
新型コロナウイルスの影響によって在宅ワークやテレワークで働く人が増え、それにともなってWeb会議やウェビナーの機会も増えています。
しかし、Web会議やウェビナーの増加によって、それらを狙ったサイバー攻撃も増えていることをご存知でしょうか。万が一サイバー攻撃を受けた場合、多大な損害を被る可能性があります。
今回の記事では、ウェビナーに焦点を絞り、ウェビナーの概要や実施時のセキュリティリスク、セキュリティ対策についてわかりやすく解説します。
ウェビナーとは?
ウェビナーは、Web(ウェブ)とSeminar(セミナー)を組み合わせた造語です。インターネットを介して動画を配信し、オンライン上で開催されるセミナー(講演会・講習会)のことを表します。オンラインで行なう新卒者向けの採用説明会や、学術集会、社内向けの業務研修などは、ウェビナーの代表的な例と言えるでしょう。
ウェビナーは、会場の準備が不要なうえ、遠隔地のユーザーもリアルタイムで参加できるなど、複数のメリットがあります。
ウェビナーにおけるセキュリティリスク
ここでは、ウェビナーにおけるセキュリティリスクについて、事例を交えながら一つずつ見ていきましょう。
不正アクセスによるウェビナーの妨害
セキュリティリスクの1つ目は、不正アクセスによるウェビナーの妨害です。ウェビナーに意図しない第三者が不正にアクセスすることで、ウェビナーを妨害されるリスクがあります。実際にウェビナーも開催できるツールの「Zoom」では、第三者がWeb会議に侵入して荒らし行為をする、通称“Zoom爆撃”が問題視されました。
また、ある企業が主催したユーザー参加型のプロジェクト説明会では、意図しない第三者が開催の場で差別的な言葉を発したり、ポルノサイトの映像を流したりすることで、ウェビナーを妨害するという事態が発生しました。
通常、ウェビナーを開催する際は、開催の場となるURLを特定の参加者のみに送付したり、ユーザー認証をしたりすることで参加者を限定します。しかし、不正アクセスによって無理やりウェビナーに参加する悪意を持った第三者も存在します。
不正アクセスでは無かったとしても、本来ウェビナーへの参加権利がない人がURLやパスワードの漏えいによって、参加してしまうケースもあります。よくあるケースとしては、社内のスケジュール共有機能で安易にURLやパスワードを共有してしまい、ウェビナーに参加する権利のない人に漏れてしまうといった事例です。
実際に情報が漏えいし、本来権利がないはずの人が参加した事例としては、欧州連合(EU)の国防相機密ビデオ会議に記者が参加してしまったことが挙げられます。この事例では、SNSに投稿された写真からログイン用のURLとパスワードが漏れていました。
セミナー資料などの情報漏えい
2つ目のセキュリティリスクは、セミナー資料などの情報漏えいです。ウェビナーに不正アクセスされると、セミナーで使用する動画や資料が盗み取られたり、参加者の情報が漏えいしたりする可能性があります。
ウェビナーで利用するツールやサービスは、資料などをクラウドに保存できるものがありますが、セミナー終了後もクラウド上に資料が残っていると、情報漏えいのリスクが消えません。情報漏えいのリスクがある点は考慮しておくべきでしょう。
ウェビナー実施時のセキュリティ対策方法
ウェビナー実施時のセキュリティリスクに対して、具体的にどのような対策を取ればよいのでしょうか。ここでは3つの対策方法を紹介します。
Web会議ツールの脆弱性対策
ウェビナーで利用する会議ツールのバージョンによっては、脆弱性がある可能性があります。脆弱性はセキュリティ上の弱点であり、不正アクセスや情報漏えいといったセキュリティリスクは、その脆弱性が悪用されて発生する場合が多いです。
そのため、利用するWeb会議ツールは、常に最新の状態にアップデートすることが重要となります。脆弱性に関する情報は、Web会議ツールの開発元やJPCERT/CC(ジェーピーサート・コーディネーションセンター)などから公開されています。こちらも定期的にチェックするとよいでしょう。
エンドツーエンド暗号化機能が利用できるツールを選択
ウェビナーを実施するためのツールを選ぶ基準として、エンドツーエンド暗号化の有無を確認することおすすめします。
エンドツーエンド暗号化とは、ウェビナーの開催者と参加者のエンドポイント間で暗号化する技術です。
エンドツーエンド暗号化を利用すると、ウェビナーの音声や映像が開催者と参加者の間でのみ暗号化・復号化されるため、ツールのサービス提供者でさえも内容が閲覧できなくなります。内容を閲覧できるのは、ウェビナーの関係者のみとなるため、情報の盗聴や漏えいの対策として有効です。
なお、ウェビナーを開催するためのWeb会議ツールのなかには、エンドツーエンド暗号化に対応していないものも存在します。エンドツーエンド暗号化はウェビナーのセキュリティ強度を高め、不正アクセスの対策にもなるため、機能の有無はしっかりと確認しましょう。
ウェビナー参加者の認証やIPアドレス制限による限定化
ウェビナーは1対多の配信が多くなるため、意図しない第三者が紛れ込まないよう参加者のみにウェビナー参加用のURLを送付します。
特に参加者を制限すべきウェビナーは、誰でも閲覧できる環境に情報を掲載せず、メールなどで参加者のみに通知することが重要です。
また、社内向けの研修の場合は、IPアドレスやドメインによるアクセス制限を行なうことで、社外からのアクセスができないようにする方法も有効です。
その他にも、Web会議ツールではウェビナーに参加するための入室セキュリティコードの入力を求めたり、端末認証機能が利用できたりするものもあります。うまく活用して必要な参加者のみに限定する対策を行ないましょう。
まとめ
新型コロナウイルスの影響で在宅ワークやテレワークが増えている今、新しい働き方を実現する手段の一つとしてウェビナーが開催される機会が増えています。
ウェビナーには、不正アクセスによる妨害やセミナー資料などの情報漏えいといったセキュリティリスクもあります。実際に被害に遭った事例もあるため、ウェビナー開催時にはセキュリティ対策が欠かせないと言えるでしょう。
ウェビナー実施時のセキュリティ対策としては、Web会議ツールの脆弱性対策やエンドツーエンド暗号化機能の利用、ウェビナー参加者の認証やIPアドレス制限による入室制限などが挙げられます。
ウェビナーはセミナーと違い、会場の準備が不要なうえ、遠隔地でも参加可能といった新しい可能性を秘めています。セキュリティリスクを十分に把握し、対策したうえで効果的に活用しましょう。
