Zoomのセキュリティ問題は、意図しない参加者が入ってきて荒らしをするという運用的な問題、PC自体のセキュリティの問題、通信の暗号化の問題という、切り分けて考えられるべき３種類の問題が、整理されることなく、印象ばかりで語られてしまっていると感じます。

組織の方針を決める層には、ITやセキュリティに詳しくない人も多く、報道から受ける印象だけで、「なんとなく怖い」「なんとなく危なそう」ということで物事が決まってしまうことがあります。こうした印象で、適切な判断がされないのは良いこととは思えないので、問題を少し整理してみました。特に、Zoomを弁護しようという意図があるわけではなく、適切な判断をするべきというのが主旨です。

facebookとのデータを受け渡しについては、気持ち悪いと感じる人がいるのはわかるけど、Zoomだけの問題ではなく、すでに修正されたとのこと。ネットの「〇〇診断」などを安易にやってSNSにあげている人は、そちらを気にするべきだと思います。

１．意図しない参加者が入ってきて荒らしをする問題

ミーティングIDは数字なので、総当りするれば入れるのは当然のことです。パスワードをつけたり、入室前に確認する待合室を使うことなど、運用面でどうにかできる話。対策は始めから用意されていました。パスワードなしの危険性に対するアナウンスが十分ではなかったとはいえ、ブログのスパムコメントなど、どんなサービスにもあることで、これを大きな問題にしてZoomを攻撃するのはちょっとおかしいでしょう。運用者の運用の仕方の問題です。

パスワードなしでの運用は、必ずしもマイナスばかりではありませんでした。Zoomによって、はじめてオンライン会議を体験した、オンラインの飲み会を体験したという人はとても多いと思います。そういう過渡期の段階で、パスワードなしで運用できたことは、初心者への対応としてはよかったと思います。ただ、利用者が爆発的に増えてしまった現在では、すでにその段階を終えてしまったと考えるべきでしょう。

２．PC自体のセキュリティ

Windows版で、チャット内に埋め込んだURLで攻撃ができるなど、PC自体の情報を抜いたり、攻撃できる問題。内容的にはこれが一番危険です。この問題は解決されたとされていますが、この手のものに関しては、情報をきちんと把握しておくべきです。Zoomは、自動では更新されないので、利用するたびに、「アップデートの確認」はするほうがよいでしょう。

ホストにならないなら、アプリを使わないで、ブラウザで使ったほうが安全性は高いはずですが、Zoomは操作的にアプリで使わせたがります。ブラウザでの利用は、かなり小さく書かれていて、見落としてしまうくらいです。アプリで利用するのか、ブラウザで利用するのか、適切に判断できるUIであるべきだと言えます。

３．通信の暗号化の問題

通信上、暗号化されていない部分がある。これは、根本的な問題で、解決されてはいないそうです。これによって利用をやめた機関もあります。できていないことを、できているといったしまったことは、あきらかにZoom側の落ち度です。

ここが一番誤解されている部分ですが、この危険性はどんなものでしょうか。テキストではなく映像から情報を抜き出して、その情報の価値を判断し、悪用するのはとても大変なことです。テキスト情報の場合は、AIで処理することもできますが、ライブ映像の場合は、盗聴したとしても処理に時間がかかり（少なくとも映像の実時間）、網羅的に大量に処理できるものとは考えにくいでしょう。それでも、台湾政府やNASA、アメリカ上院などは使用を禁止しているという話があります。これは当然なことで、国家機密など、貴重な情報のある場所が特定されていれば、ピンポイントで狙うことができます。そうした機関や人が利用するのは危険です。

これ一般的な利用の場合をオフラインで考えると、打ち合わせに行く途中に歩きながら仕事の話をする、カフェでパソコン広げる、電車のなかでスマホで仕事のメールの返事を書く、飲み屋で会社の話をする、これらみんな暗号化されていない、つまり情報を盗み見られる可能性のある状態ですよね。これらのほうが、はるかに危険だと思います。

明らかに重要な機密情報があることがわかっている組織では、狙われている可能性があるので使わないほうがいい。でも、それ以外であれば、テキストではなく映像から情報を抜き出す労力を考えると、現実問題として、個人情報やよほどの企業秘密でもない限り、普通の人たちが、日常的なことや普通の教育やビジネスの話を話していて、問題が生じるとは考えにくいと考えられます。メールで送れる程度の情報ならいいんじゃないかと、個人的には思います。ところが、オフラインでは気にすることなく、電車のなかで仕事のメールを見ている人が、ネットのセキュリティというと、無闇に怖がるというのは妙なことです。

「なんだか怖い」が潰してしまうもの

セキュリティの問題と言われると、みんな一緒にされてしまうけど、１のような荒らす人の侵入は運用の仕方の問題、２のようなPC自体が攻撃される、データが抜かれるというのは、これは絶対にさけるべきことです。適切に怖がるべきでしょう。３のように通信上の問題は、程度や通信内容によって判断すべきです。

ユーザー層の急拡大にともなって、これらが一度に出てきたので、それは問題ではあり、最優先で改善すると言っているわけですが、多くの報道は、印象だけを作り出していて、的外れすぎます。特にひどいのは、Googleが使用を禁止したという記事。一般の人は、「Googleも禁止するなんて、やっぱり危険なんだな」と思ってしまう可能性が高いです。しかし、Googleは自社でZoomに競合するサービスを持っているわけですから、別の意味が含まれます。自社サービスがあり、ITについては非常に詳しいはずのGoogle社員も、Zoomを使っていた人がかなりいたということがわかります。でも、一般の人は、単純に「なんだか怖い」と思うでしょう。

「なんだか怖い」って、とても危険なんです。「クレジットカードはなんだか怖い」「スマホ決済はなんだか怖い」のように、なんとなくのイメージで、意味なく普及にストップがかかってしまうということが起こります。

ライブ配信のさきがけとなったUstreamが消えていったように、最終的に勝つのがどのサービスでもユーザーとしてはかまいません。べつにZoomである必要はないです。でも、今、オンラインのコミュニケーション自体に「なんだか怖い」というイメージが作られて、学校や企業が参入しにくくい空気ができてしまうと、人と人のつながりそのものも、経済や教育も、ほんとうにまずいことになります。

「オンラインなんて邪道だ」「人と人は向かい合うべき」というような正論で、オフラインのコミュニケーションが進むのを拒む勢力は、どこにも必ずあります。そういう流れで、「あれは、ニュースで危険といっていたらしいぞ。使用は認めない。」と、印象だけで判断されて決められてしまうと、現時点で可能なコミュニケーションの手段が消えてしまいます。

意味なく「なんだか怖い」を助長するような報道はされるべきではないし、きちんと問題を切り分けて、怖がるべき部分は正しく怖がり、それほどでもない部分は、適切に判断するということが必要だと思います。

追記

オンライン会議システムを一度に試す企画に参加してみました。そこで感じたのは、慣れない人でもトラブルなく使えるという点でも、使っていて他の参加者の存在感を感じるという点でも、細い設定を素早くできるという点でも、適切な音質・画質という点でも、Zoomはかなり優位にあると感じました。

オンラインはしご酒に参加してみました。
https://note.com/yoshihiko/n/n9c4ad30c67a3