未だに多くの人が関心を寄せるZoomのセキュリティ。Zoomのようなクラウドサービス導入を検討する際にリスクアセスメントを迅速に行うCASBというツールが有るので、CASBを用いて比較を行った。

■多くの企業がクラウドのセキュリティ評価に課題を抱えている

　新型コロナウィルスによる「緊急事態宣言」発令によって多くの企業が急速にテレワーク環境の整備に追われている。テレワーク実現にあたって直ぐに利用を開始できるクラウドサービスの利用を検討する企業が多い。こういったクラウドサービスの利用に伴い情報システム部門を悩ませているのが「クラウドサービスのセキュリティ評価」だ。クラウドサービスは各クラウドサービス事業者が構築したシステムをサービスとして利用することになるため、セキュリティのレベルは各社統一されておらず、自社のセキュリティ基準を満たしているかを判断することが求められる。

　こういったクラウドサービスのセキュリティ評価にあたって強固なセキュリティを求める企業であれば1つあたりのクラウドサービスに対して数週間から数ヶ月の調査期間を要していることもある。平常時であればそれでも問題無いかもしれないが、新型コロナウィルスに伴うテレワーク対応は緊急性を要するため、セキュリティ評価に数ヶ月もかけていてはテレワーク化が進まない。何より貴重な従業員やその家族の命まで危険にさらすことになりかねない。

　このようなクラウドサービスのセキュリティ評価のスピートアップに利用されるのが、CASBと呼ばれるソリューションだ。今回は話題の絶えないZoomと、Cisco WebEX、Teamsといったオンラインビデオ会議を代表する3サービスをMcAfee製CASBのMVISION Cloudを用いてセキュリティの観点から比較してみることにした。

■最も安全と評価されたのはCisco WebEX

　こちらが、MVISION CloudによるZoom、Cisco WebEX、Teamsの比較結果となる。RISKと書かれた行が総合得点となり数字が小さい程安全性が高いという評価になる。Cisco WebEXが2点で最も安全性が高いという結果になった。次いでTeamsが3点で二番手、最後にZoomが4点で三番手となった。

　そして、MVISION Cloudではデータリスク、ユーザ/デバイスリスク、サービスリスク、ビジネスリスク、リーガルリスク、サイバーリスクの6つのリスクカテゴリに分けてリスクを客観的に評価することが出来る。視覚的にもわかり易く表現されており、緑色がローリスク、黄色がミドルリスク、赤色がハイリスクとなっている。WebEXは緑が多く、TeamsとZoomはWebEXと比較すると赤と黄色が少し多いように見てとれる。

　では、具体的にこれら6つのカテゴリで各サービスがどのような評価となっているかを見てみよう。

　・データリスク

　　データをクラウドサービスに預けるにあたって、どういったリスクが有るかを見るのがこのカテゴリとなる。データリスクについては、Cisco WebEXが最も安全な4点という評価で、ZoomとTeamsは共に5点となっている。このデータリスクカテゴリではファイル共有機能の有無や、保存されているデータの暗号化の強度等が比較されている。

　　MVISION Cloudでは、ファイル共有機能やファイルを扱うことが可能なサービスは「リスク高」と評価するため、3サービス共にこれらの機能を有しているため、この点ではリスクが高いとされている。その他にクライアントとのデータ同期機能を有しているため、この点でも各サービス共に評価を落としている。そして、Cisco WebEXとZoomはファイル共有のためにアップロード可能なデータサイズが1GB～5GBで有るのに対して、Teamsは無制限となっているので、Teamsはこの点で評価を落としている。

　　Zoomが評価を落としたのは、ユーザアカウント削除時のポリシーが未公開である点と、企業向けDLPソリューションとの連携機能が無いという点である。

　　それ以外の、保存されるデータの暗号化有無や通信経路の暗号化については3サービスともに「安全」という評価になっており、一般的にクラウドを利用する上での安全性の基準は満たしているという結果になった。

　　このデータリスクカテゴリで3サービスとも「リスク高」と評価された、ファイル共有機能等はオンラインビデオ会議サービスとしては当然の機能である。Teamsのファイルアップロード制限サイズ無制限も利便性を高める措置である。Zoomが評価を落としたユーザアカウント削除時のポリシーが未公開というのも、公開されていないというだけであって実際の処理がどうなっているかは判断出来ない。企業向けDLPに未対応というのも大半の国内企業ではDLPを導入していることが少数派のため、問題と捉えることは少ないだろう。クラウドにデータを預ける上で最も基本的な保存されたデータの暗号化及び通信経路の暗号化についてはどのサービスも安全基準を満たしている。

　　MVISION Cloud基準ではこれら3つのサービスに対してデータを預けて問題ないか?という観点では、一般的なクラウドサービスに求める安全基準を満たしていると考えて問題ないと言える。

　・ユーザ/デバイスリスク

　このカテゴリではユーザ認証の有無や端末固定化等のユーザと端末の保護が比較される。3サービス共に匿名利用が禁止されており、MFA等の多要素認証も備えており、安全基準を満たしている。Cisco WebEXはアクセス可能な端末を固定出来るため、他2サービスと比較して安全性が高いと評価されている。

　・サービスリスク

　脆弱性の有無等サービス自体が保有するリスクを比較するのがこのカテゴリだ。WebEXとTeamsがそれぞれ1点で最高得点であるのに対してZoomは5点となり、このカテゴリで他2サービスに差を開けられることとなった。

　ZoomのユーザIDがダークネットで販売されていたとの報道があり、これが情報漏えいインシデントとして計測され、リスク得点を上昇させてしまっている。また、UNCリンクに関する脆弱性や、インストーラーがマルウェアのような挙動をするといった報道があったこともリスク得点を上昇させる要因となってしまっている。

　なお、最高得点を記録しているWebEXだがCVEに登録される程の脆弱性が発見されていたことが確認出来るが、他項目での指摘事項は特に無いため総合判定には影響を与えていない。

　・ビジネスリスク

　各種認証プログラム等の取得状況等が評価される。ネット上で「Zoomは危険」という声も目にするが、米国政府が調達するクラウドサービスの基準を満たしていることを証明する「FedRAMP」や、EUと米国間の個人情報転送を認める「Privacy Shield」を取得している点から考えると、一般的な企業が利用する分には十分なセキュリテイに対する配慮が行われていると考えて良いだろう。

　敢えて用途に応じて利用するオンラインビデオ会議サービスを分けるとするならば、医療情報等を扱うビデオ会議の場合には、HIPPAを取得しているWebEXやTeamsが適しているだろう。金融機関等ではPCI Complianceを取得しているWebEXが適しているだろう。

　-WebEXが取得している認証プログラム

　HIPAA、PCI Compliance、SOC2、ISO 27001、SAS 70、Privcy Shield、FISMA、FedRAMP

　-Zoomが取得している認証プログラム

　Trustee / BBB、SOC2、SAS 70、Privacy Shield、FedRAMP

　-Teamsが取得している認証プログラム

　HIPAA、CSA Star、SOC2、ISO 27001、SAS 70、Privcy Shield、ISO 27018、FISMA、SSAE16

　・リーガルリスク

　知的財産権の所有権やプライバシーポリシーが評価される。

　リーガルリスクについても3サービス共に2点でローリスクと判断されている。プライバシーポリシーについても3サービス共に「収集した顧客情報は、顧客の同意と法律に従って、利用範囲を明確にした上で第三者に共有することも有り得る」となっており、一般的なレベルとなっている。

　・サイバーリスク

　主にSSL周りの脆弱性を保有しているかを評価する。3サービス共に脆弱性は存在しないと判断されている。

■Zoomはクラウドサービスとしては一般的な水準を満たしている

　現在、1日2億人が利用し「Zoom飲み」等の造語も誕生する程世界的に注目を集めているZoom。Zoomに関連づければこぞってメディアが報道するため、他のクラウドサービスでも存在するような脆弱性であっても、Zoom固有のリスクのように報道されているケースも少なくない。

　例えば、Mvision Cloudに登録されているクラウドデータベースのうち、ダークネットでIDが販売されているクラウドサービスは144サービス存在している。この中にはSkypeやNetflix、Twitterも含まれている。クラウドのログイン画面までは誰でも侵入可能であり、多くのサービスでID/PWが使い回されてるため、一度何かのサービスでID/PWが流出されれば、そのID/PWのセットで他のクラウドサービスにも侵入可能かを探り、その結果として「Zoomに侵入出来たID/PWセット」と言った形でダークネットで売買される。

　こういった取引が行われていること自体セキュリティ業界では広く知られておりZoomのID/PWセットが販売されていたからといって、特別驚くには値しないのが実態であるが、SNSでは過剰にシェアされていたりもした。

　今回CASBを用いて、Zoom、Cisco WebEX、Teamsの比較を行ってみたが、確かに最も安全性が高いと評価されたのはCisco WebEXであり、最も低かったのはZoomだが、この3サービスは高いレベルで競い合っている状態にある。どれも一般的な企業が利用するレベルであれば安全性の基準は満たしていると考えても良いレベルである。

　もし、筆者がセキュリティ基準で選定するのであれば、「ネットでZoomは危険と言われている」という不明瞭な根拠で選定から落とすようなことはせず、HIPPA、PCI Complienceの取得が必須な場合やデバイス固定が必要な場合はWebEXが妥当と考えるが、そういった要件が無い場合には、どれもセキュリティの面では業務を遂行するための安全基準はクリアしており大差ないと考える。セキュリティ以外の利便性や価格の方が選定要素としては大きくなるだろう。

■噂で安全、危険を判断するのではなく、客観的な指標作りが大切

　Zoomのセキュリティ騒動で、様々な企業や個人から「Zoomは安全なのか?」という相談を受けるようになった。こういった状況に頭を抱えているのが企業のIT担当者やセキュリテイ担当者であることも分かってきた。Zoomのようなオンラインビデオ会議サービスは、てっとり早くテレワーク環境化をするための重要なサービスの1つであり、経営層からは「早くテレワーク環境を整備しろ。」と叱責されている。しかし「SNSやネットではZoomは危険と言われているし、営業部門からはZoomを使いたいと言われている。どうすれば良いのだろう?」といった感じだ。

　もし、利用しようとしているクラウドサービスが安全なのか危険なのか?この判断に悩んでいるなら、「SNSやネットの噂に頼る」のではなく、今回紹介したCASBのようなサービスを利用してみるのも1つの解決策になるだろう。