Zoomを活用したオンラインイベント運営 セキュリティを考える
•Download as PPTX, PDF•
1 like•667 views
Zoomを活用したオンラインイベント運営 セキュリティを考える
Recommended
More Related Content
More from VirtualTech Japan Inc./Begi.net Inc.
More from VirtualTech Japan Inc./Begi.net Inc. (20)
Zoomを活用したオンラインイベント運営 セキュリティを考える
- 2. www.ospn.jp 前提条件 • Zoomを使って不特定多数が参加するオンラインイベ ントを運営 • 参加者はconnpassで参加登録を行う – 参加者のメールアドレス等は事前に取得しない • 参加登録者にのみイベントが行われるZoomのアドレ スを通知する – イベントは複数会場に分かれており、参加者は各 会場のアドレスをクリックして会場に入る 2
- 3. www.ospn.jp 用語 • アカウント:Zoomのライセンスを契約している主体 – ≒組織、ドメイン – 課金はアカウント単位で行う • ユーザー:Zoomに登録、サインインして使用する – アカウントという言葉が使えないのが辛い・・ • オーナー:ミーティングをスケジュールしたユーザー • ホスト:ミーティングの管理者 – オーナーは自動的にホストになる(オーナー≒ホスト) – オーナー以外は指名、またはホストキーでホストになれる • ゲスト:ユーザーとしてサインインしていない参加者 3
- 4. www.ospn.jp Zoomイベントへの荒らし • 「場」を荒らす目的の攻撃 – カメラ動画で荒らす – 音声で荒らす – チャットで荒らす – 画面共有で荒らす • 攻撃方法を制限すると一般参加者も不便になるので 、利便性とセキュリティ強化のバランスが重要 4
- 5. www.ospn.jp 基本的な対策 • Zoomイベントがあることを漏らさない – 事前登録者にのみアドレスを通知 – 今回なぜかアドレスが漏れ、Twitterに流された • 参加者が行えることを制限する – 画面共有はホストのみ(事前設定可能) – チャットを制限(事前設定可能) – ビデオと音声を制限(ミーティング開始後に制限) • イベントに参加できる人を限定する – ユーザー認証が必要(Zoomアカウント必須) – 事前の登録が必要(Zoomアカウントのメアド必要) – 待機室の利用と入室許可(人数が多いと面倒) – 接続元国で許可/不許可(正しく動作するか不明) 5
- 6. www.ospn.jp 解説ポイント • Zoomミーティングのアドレス • 画面共有はホストのみ • 共同ホストを有効にする • チャットの制限 • ビデオと音声の制限 • 待機室 • ホスト前参加の許可 • 認証を要求 • ミーティング毎にセキュリティ設定可能 6
- 7. www.ospn.jp Zoomミーティングのアドレス • パスコードの複雑さは影響しない – ミーティングIDとパスコードへの総当たり攻撃は 今のところ見受けられない • パスコードの埋め込みは利便性とのバランス – 頻繁に出入りが発生する場合には埋め込みしたい • 作成されたアドレスを如何に秘匿するか – アドレスにアクセスできる人は外部に漏らさない 7
- 9. www.ospn.jp 共同ホストを有効にする • 共同ホストを有効にしておく • 画面共有する人は共同ホストに指定 – 参加者リストから対象を選択して「詳細」ボタン から共同ホスト指定を行う – 参加者の出入りが激しいと対象者を指定しにくい ので、名前を変えてもらう(名前の先頭に_)、 挙手などでリスト内の位置を固定する 9
- 10. www.ospn.jp チャットの制限 • 連絡手段を別途用意するならチャットは不要? • プライベートチャットは不便でもあるので無効 – 特定の人宛になっているのに気付かない • ファイル送信は不要 10
- 12. www.ospn.jp 待機室 • 待機室を有効にするとホスト(共同ホスト)が許可 しないと入室できない – 荒らしには一定の効果 – 入室許可の処理が面倒(名前から許可して良いか 判別できない等) • 待機室が有効の場合、ホスト前参加が無効になる 12
- 13. www.ospn.jp ホスト前参加の許可 • ホストがミーティングを開始する前に参加者がミー ティングに参加できる – ホストが来るまで待たせないで済む – オーナー以外がホストキーでホスト権限を取得で きる • ○分前になったら参加させることもできる 13
- 15. www.ospn.jp 認証を要求 • ミーティング参加者に事前認証をを要求する – ミーティング参加時、一番最初に確認される • Zoomに登録したユーザーアカウントでサインインし ていることを要求する 15
- 16. www.ospn.jp 認証要求の挙動を確認 • 認証が要求されているミーティングに参加する • 認証されているとは以下のいずれかを指す – Zoomクライアントで認証 – Webブラウザで認証 16
- 17. www.ospn.jp Webブラウザとクライアントの認証関係 17 オーナー 別ユーザー 未サインイン オーナー オーナー オーナー オーナー 別ユーザー オーナー 別ユーザー 別ユーザー 未サインイン オーナー 別ユーザー ゲスト • Webブラウザとクライアントでのサインインがどの ように影響するか • どちらかでオーナーとしてサインインしていれば優 先される • どちらかがサインインしていない場合、サインイン しているユーザーになる • 両方ともサインインしていない場合、ゲストになる Webブラウザ クライアント
- 18. www.ospn.jp ミーティング設定での確認 • ミーティング毎にセキュリティを設定可能 – ユーザーの設定はデフォルト値として反映される • 開始されるまで設定変更可能 18
- 19. www.ospn.jp まとめにかえて検討(OSCの場合) • 待機室を使う? → 使わない • 認証を要求する? → 要求する – 認証できない人はYouTube配信を観てもらう • ビデオ、音声、チャットを許可する? – 制限はしないが、何かあったら制限する • 制限を強くするほど不便で窮屈さを感じる • 参加者間のやり取り手段をどう確保する? – Zoomチャット – Slack – Sli.do 19