テレワークやハイブリッド勤務の普及により、オンライン会議ツールは業務に欠かせない存在になりました。 しかし利便性の高さと引き換えに、セキュリティリスクが増加しているのも事実です。 会議URLの無断共有による乗っ取り、意図しない録画データの流出、パスワード設定の甘さなど、予防できる落とし穴は数多くあります。 本記事では、オンライン会議を安全に運営するためのセキュリティ設定チェックリストと、よくある失敗パターンを解説します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
オンライン会議が狙われる理由
オンライン会議ツールへの不正アクセスや盗聴は、なぜ起こるのでしょうか。
増加する標的型攻撃
近年、企業の機密情報を狙った標的型攻撃が増えています。 オンライン会議では経営層や部門責任者が参加することが多く、機密度の高い情報がやり取りされます。 攻撃者にとって、これほど価値の高い情報源はありません。 一度会議URLが流出すると、会議中の映像や音声、チャットログまで傍受される可能性があります。
デフォルト設定の甘さ
多くのオンライン会議ツールは、初期設定では利便性を優先しています。 つまり、セキュリティレベルは最低限に設定されていることが多いのです。 会議主催者がセキュリティ設定を明確に調整しない限り、想像以上に緩い環境で会議が進行する恐れがあります。
うっかりミスによる情報漏洩
セキュリティ設定そのものは正しくても、運用の段階でミスが発生します。 録画の有無を参加者に周知しなかったり、会議終了後に録画を削除し忘れたり、招待URLをメール本文に平文で記載してしまったりなど、人為的なミスが情報流出につながるケースは後を絶ちません。
会議前のセキュリティ設定チェックリスト
オンライン会議を開催する前に、以下の項目を確認してください。
パスワード設定は必須
- 会議ごとに異なるパスワードを設定する 使い回しのパスワードは絶対に避けます。 過去のパスワードが流出した場合、新しい会議も同じパスワードで狙われる恐れがあります。
- 複雑なパスワード設計を心がける 英数字と記号を混ぜた10文字以上のパスワードが推奨されます。 「123456」や「abcabc」といった単純なものは避けましょう。
- パスワードを会議URLとは別途で共有する 招待URLにパスワードを埋め込まず、メール本文で別途お知らせするなど、二段階の認証プロセスを構築します。
待機室の活用
- 待機室機能を有効にする 参加者が自動的に会議室に入室する前に、待機室で確認を行うステップを挟みます。
- 不認識の参加申請を拒否する仕組みを用意する 待機室で参加者の顔や名前を確認し、身に覚えのない申請はすぐに拒否します。
- 定期的に参加者一覧を確認する 会議中でも、参加者が誰であるかを確認する癖をつけます。 不正アクセスされたアカウントでの侵入も考えられます。
招待リンク設定の確認
- 「任意のユーザーが参加可能」の設定は避ける URLさえあれば誰でも入室できる設定は、緊急時以外は有効にしません。
- 会議ごとにURLを変更する 会議終了後は、古いURLを再利用しない方が安全です。 ツール側で自動生成されるランダムなURLを使用します。
- 共有リンク有効期限を設定する 会議開始の数時間前から、終了後の一定期間後にリンクが無効化される設定を確認します。
会議中のセキュリティ対策
セキュリティ設定は準備段階だけではありません。 会議進行中にも注意すべき点があります。
スクリーン共有の制限
- スクリーン共有の権限を最小限にする 全参加者に共有権限を与えるのではなく、必要な人員のみに限定します。
- 意図しない画面共有を防ぐ スクリーン共有開始時に、「どの画面を共有するのか」を明確に指定する画面を表示させるツール設定にします。 別のウィンドウを誤って共有してしまう事故を防げます。
- 共有前に画面内容を確認する 共有する前に、スクリーン上に機密情報や個人情報が表示されていないか確認します。 ブラウザのタブが見えている場合、アクセス履歴から企業秘密が推測される可能性もあります。
- 終了時は確実に共有を停止する 「共有停止」ボタンを押すだけでなく、参加者側の画面で確認します。 まれに共有がバックグラウンドで続いている場合があります。
録画に関する注意点
- 録画の可否と目的を参加者に事前告知する 会議開始時に「この会議は記録されます」と口頭で伝え、異議がないか確認します。
- 録画開始の合図を明確にする 「これから録画を開始します」と言ったのち、ツール上で「録画開始」ボタンを押します。
- 録画中であることを常に表示させる ツール側で「REC(録画中)」インジケーターが表示されていることを確認します。
- 会議終了直後に保存先を確認する クラウドストレージのどこに保存されるのか、誰がアクセスできるのかを確認します。
会議終了後のセキュリティ対策
会議終了がセキュリティ対策の終わりではありません。 むしろここからが本番です。
録画ファイルの適切な管理
- 必要なファイルのみ保持する 全ての会議を無期限に保存するのではなく、本当に保存すべき会議を選別します。 社内ルールで「3ヶ月保持」などの保存期限を定めておきます。
- アクセス権限を最小限に設定する 誰が録画ファイルにアクセスできるのかを厳密に管理します。 デフォルトの「全員閲覧可能」から、「指定メンバーのみ」に変更します。
- 定期的にファイルを削除する 保存期限を過ぎたファイルは、アーカイブではなく完全削除を行います。 完全削除とは、ゴミ箱からも復元できない状態です。
- 削除作業のログを記録する いつ、誰が、どのファイルを削除したのかを記録しておくと、後のコンプライアンス対応に役立ちます。
参加者情報の確認と報告
- 予期しない参加者がいなかったか確認する 会議終了後、参加者リストを確認し、招待していない人物が参加していないかチェックします。
- 不正アクセスが発生した場合は報告する 身に覚えのない人物が参加していた場合、すぐに情報セキュリティ担当部門に報告します。
- 定期的に参加者記録を破棄する 参加者の名前やメールアドレスが記録されている場合、保持期間を定めて削除します。
よくある落とし穴と対策
実務では、様々なセキュリティミスが発生しています。 ここでは、企業で実際に起きた事例と対策を紹介します。
落とし穴1:会議URLの無造作な共有
事例 営業チームが取引先との商談について、チーム内のSlackで「この時間にZoom入りますね」と会議URLを記載してしまいました。 Slackのメッセージは検索され、意図していない人物がURLを発見し、会議に乱入しました。
対策 会議URLとパスワードは異なるコミュニケーション経路で配布します。 URLはメール、パスワードはSMSといったように分散させることで、どちらか一方が流出してもアクセスされにくくします。
落とし穴2:録画を取ったことを忘れる
事例 営業担当者が顧客との打ち合わせを「参考のため」と説明して録画しました。 その後、見直していた人事担当者が、顧客名簿や単価情報が映っていることに気づき、すぐに削除しました。 しかしその間に、録画ファイルを見たスタッフが情報を漏らしてしまいました。
対策 録画前に「この会議は記録します。記録の対象を知られたくない内容は話さないでください」と参加者に周知します。 また、録画ファイルは自動保存ではなく、会議担当者が意図的に保存する仕組みにします。
落とし穴3:クラウドの共有設定が「全員可視」のまま
事例 大手企業のオンライン会議をGoogle Driveに録画保存したところ、初期設定で「全社員が閲覧可能」になっていました。 結果として、新入社員や業務外の部門も経営会議の内容にアクセスできてしまいました。
対策 クラウドストレージのデフォルト設定を「プライベート」に変更する社内ルールを策定します。 ファイルをアップロードする際に、毎回「誰が見るのか」を意識する癖をつけます。
落とし穴4:待機室を有効にしない
事例 会議主催者が「待機室は面倒」という理由で機能を無効化していました。 その結果、会議URLが流出した場合、不正アクセス者は待機室を経ずに直接会議室に入室できました。
対策 機密性の高い会議(経営層、財務、人事評価など)では、待機室を必ず有効化します。 参加者を招待する際の一手間を惜しまないことが、セキュリティ強化の第一歩です。
オンライン会議ツール別チェックリスト
主要なオンライン会議ツールのセキュリティ設定箇所を紹介します。
Zoom(ズーム)
- 会議設定内の「セキュリティ」タブで、パスワード有効化、待機室、スクリーン共有制限を設定します。
- 「ユーザーアカウント」で、待機室、パスワード、スクリーン共有権限のデフォルト値を管理します。
- 「録画」セクションで、クラウド録画の有無、自動削除、アクセス権限を確認します。
Google Meet(グーグルミート)
- Google Workspaceの管理コンソールで「セキュリティ」→「データのセキュリティと隐私」を確認します。
- 会議ごとに、招待メールの内容を確認し、無意識に多くの人員が招待されていないか点検します。
- 管理コンソールで「ダイヤルイン機能」や「出席者情報」の設定を確認します。
Microsoft Teams(マイクロソフトテームズ)
- チャネル設定で「メンバー」「所有者」「組織全体」の参加権限を明確に区分します。
- 会議設定の「ロビー」機能を有効にし、外部参加者の入室を管理します。
- 「レコーディング」セクションで、保存先、公開範囲、削除スケジュールを設定します。
セキュリティ文化の醸成
テクノロジーの力だけでは、セキュリティを確保できません。 従業員一人ひとりの心がけも同じくらい重要です。
定期的なセキュリティ研修
少なくとも年に2回、オンライン会議を含むテレワークセキュリティの研修を実施しましょう。 新人研修、部門研修、マネージャー向け研修など、対象者ごとに内容を変えることで、実務的な知識が身につきます。
チェックリストの定期的な見直し
セキュリティの脅威は日々進化しています。 1年前は有効だった対策も、今は不十分かもしれません。 四半期ごとに、本記事のチェックリストを見直し、新たなセキュリティリスクがないか確認しましょう。
インシデント報告の仕組み
セキュリティインシデント(不正アクセス、情報漏洩未遂など)が発生したとき、すぐに報告できる窓口を用意します。 「報告されたら責められるのではないか」という恐怖感を払拭し、「報告こそが大事」という安全文化を作ります。
管理者向けのセキュリティ監視
オンライン会議ツール側の管理画面で、定期的にセキュリティログを確認する専任者を配置します。 パスワード設定が無いままの会議、待機室が無効な会議など、社内ルール違反を検出できます。
セキュリティと利便性のバランス
ここで一点、大切な視点を付け加えておきます。 セキュリティ対策が厳しすぎると、業務効率が低下し、かえって迂回行為(シャドーIT)を誘発する恐れがあります。
たとえば、「パスワードの設定が厳しすぎて、結局みんなパスワード無しで会議をやっている」という本末転倒な状況も起きかねません。
セキュリティと利便性は対立軸ではなく、相互補完的な関係です。 「適切なレベルのセキュリティを、できるだけシンプルに実現する」というバランス感覚が求められます。
まとめ:オンライン会議セキュリティの基本原則
本記事で紹介したチェックリストは、特別難しいものではありません。 むしろ「基本の中の基本」です。
オンライン会議を安全に運営するための基本原則は、以下の3つに集約されます。
第一に、「誰が参加しているのか」を常に意識する
待機室機能を活用し、招待していない人物が参加していないか確認する習慣が大切です。
第二に、「機密情報がどこに保存されているのか」を把握する
録画ファイルやチャットログが、どのクラウドストレージに、どのアクセス権限で保存されているのかを管理します。
第三に、「事前の設定と事後の管理」の両方が必要だと認識する
セキュリティ設定を一度きりと考えず、会議開催のたびに意識的に確認する運用スタイルを確立します。
これらの原則を守ることで、オンライン会議はセキュアで信頼性の高いコミュニケーション手段となります。
固定IPで安全なアクセス環境を実現するなら「ロリポップ!固定IPアクセス」
オンライン会議ツールへのアクセスをさらに堅牢にしたいのであれば、固定IPアドレスの活用も検討する価値があります。
ロリポップ!固定IPアクセスは、今お使いのインターネット回線をそのまま活かして固定IPアドレスを利用できるVPNサービスです。 月額539円(税込)から、初期費用0円・最大2ヵ月無料で始められます。 WireGuardによる高速接続で、VPN特有の速度低下も気になりません。
社内のオンライン会議システムにIP制限を設定することで、特定のIPアドレスからのアクセスのみを許可することができます。 これにより、不正アクセスや盗聴のリスクをさらに低減できます。
プロバイダの乗り換えも不要で、申し込んだその日から利用できます。
