SECURITY

リモートワークでのZoomのセキュリティ

COVID-19(新型コロナウイルス)によって世界は一変しました。買い物での感染防止策を考えたり、電話会議中に子供を一瞬でも静かにさせようとしたりするなどは、これまでになかったことです。そして明らかに変わったのは、人と接する方法です。これを実現するテクノロジーの1つがZoomです。

セキュリティの観点から言えば、Zoomの利用増大に伴い、以前はそれほど気にならなかった懸念事項や状況が明らかになっています。幸いなことに、Splunkでは最近Splunk Remote Work Insights (RWI)を発表しました。この製品を使用すれば、VPN、Microsoft 365、Okta、Zoomなどが混在する複数のリモートワーク対応システムをリアルタイムで可視化できます。さらに、ZoomとJWT Webhooksのモジュール入力を使用すれば、Splunkへのデータの取得を容易に行うことができます。

Zoomのリモートワーク対応システムの画面しかも、このデータを利用すれば、セキュリティ担当者はZoomの基本的なセキュリティに関する疑問を解決できます。所要時間、参加者、開催日時などのミーティング情報をすべて取り出して、セキュリティに関するユースケースや運用ダッシュボードに使用できます。しかし、以下のような未解決の疑問も残ります。

  • ミーティングは適切に保護されているのか?
  • ミーティングにセキュリティ対策を適用し、それをユーザーに教育するためには、プロアクティブな対策をどのように取ればよいのか?

Zoom App For Phantomを利用する

Zoom JWT Webhooksの画面Zoom JWT Webhooksを使用すれば、手間をかけずにミーティングに関する大量のリッチデータをSplunkに取り込むことができますが、それは一部に過ぎません。すべて取得するには、Zoom APIを使用する必要があります。Zoom APIを使用すると、ミーティングについて知りたい情報をすべて取得できます。

新しいZoom App for Phantomでは、このAPIに対するシンプルで使いやすいインターフェイスを提供しているため、さまざまな操作を簡単に実行できます。

ミーティング情報の補足

このAppでは、ミーティングIDだけで、スケジュールされたミーティングや進行中のミーティングがパスワードで保護されているかどうか、「待機室」機能が有効になっているかどうかを確認できます。また、ミーティング中のチャットで転送されたファイルの内容を取得することもできます。

ミーティングの修正

セキュリティのベストプラクティスに従っていないミーティングを確認した場合には、ミーティングを更新してパスワードを要求したり、「待機室」機能を有効にしたりすることができます。さらに厳しく対応するために、予定からミーティングを削除することもできます。

ユーザー情報の補足

ミーティングの主催者や主催者が有効にした設定についての情報を得ることができます。

ユーザー設定の修正

ユーザーアカウントを更新して、スケジュールされたミーティング、インスタントミーティング、パーソナルミーティングのインスタンス(PMI)にミーティングパスワードを強制できます。

優れた機能を実際に運用するには

Splunkでは詳細な運用ガイドを公開しています。このガイドには、Zoom App for Phantomの設定方法や、Zoomミーティングの作成、開始、終了の各イベントを取り込むのに必要なポーリングクエリーの設定方法が記載されています。また、初めてお使いいただくユーザーを対象としたプレイブックシリーズも公開しています。

プレイブックシリーズの画面スケジュールされたミーティングへの対応

新しくスケジュールされたミーティングが効果的に保護されているかどうかを確認します。保護を有効にするオプションや、ミーティング主催者に通知メール(変更内容や、保護されていないZoomミーティングの危険性に関する情報)を送信するオプションを提供します。また、ミーティングの詳細情報をSplunkに取り込むこともできます。

実行中のミーティングへの対応

現在実施中のミーティングが効果的に保護されているかどうかを確認します。ミーティングが保護されていない場合、保護されていないZoomミーティングの危険性を知らせる通知メールをミーティング主催者に送信します。また、ミーティングの詳細情報をSplunkに取り込むこともできます。

ユーザー設定の更新

ユーザーアカウントを更新して、ミーティングにパスワードを適用したり、待機室を有効にします。また、変更内容についてユーザーに通知を送信します。ミーティングの詳細情報をSplunkに取り込むこともできます。

ミーティング後の分析

ミーティング中のチャットで転送されたファイルを確認します。ミーティングで使用したファイルのログをミーティングの主催者に送信したり、そのデータをSplunkに取り込んだりすることもできます。

使い始めるには?

インストールや設定に関する詳細な手順など、必要な資料はすべてPhantomコミュニティのGithubに用意しています。

Phantomを使ったことがなくても、無料のPhantom Community Editionをダウンロードして使い始めることができます。

こうした製品をお届けできることを嬉しく思います。ご利用いただいたユーザーの皆様には、これまでにないクリエイティブなユースケースをお知らせいただければ幸いです。Zoomの安全な利用にぜひお役立てください。

関連情報

Splunk Remote Work Insights ダッシュボードのご紹介のオンデマンドWebセミナーもご覧ください。

April 15, 2020
Ian Forrest
Posted by

Ian Forrest

Ian is a problem solver — preferably, those problems are solvable with Python (or SPL). He has over 15 years of experience in "making things work" in security and technology and still enjoys every minute of it. When he's not pursuing an attempt to automate himself out of a job, you can probably find him wearing a tasteful Christmas sweater or a pair of board shorts and an aloha shirt (depending on the time of year).

TAGS
SIEM
Show All Tags
Show Less Tags