安全につながる: Google Meet のビデオ会議はどのように保護されているか

※この投稿は米国時間 2020 年 4 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。

世界中の企業、学校、家庭で、ユーザーが社会的なつながりを保ち、教育研究や業務を継続するために G Suite をご利用いただいています。Google Cloud のプロダクトは、外部からの攻撃を阻止し、お客様の安全を保つために必要な保護を提供することを目標として、すべて安全な基盤上で設計、構築、運用されています。G Suite と Google Meet もその例外ではありません。

Google Meet のセキュリティ管理機能はデフォルトで有効になっているため、ほとんどの場合、組織やユーザーは特に何も設定しなくても適切な保護を確実に実装できます。ここでは、皆様を保護するための Google Meet の主な機能の概要をご紹介します。

不正行為や不正アクセスを防止するためのプロアクティブな保護対策

Google Meet では、会議を安全に行えるようさまざまな不正行為防止策を採用しています。これには、ウェブでの会議とダイヤルインに対する乗っ取りや改ざん行為の対策も含まれています。

Google Meet では、プログラムによる会議 ID のブルート フォース（悪意のある個人が会議 ID を推測して未承認で参加しようとすること）を防止するために、長さ 10 文字で 25 種類の文字からなるコードを使用しています。さらに、外部の参加者が 15 分以上前のビデオ会議に参加することを制限して、総当たり攻撃のリスクを低減しています。外部の参加者は、カレンダー上で招待されているか、ドメイン内の参加者から招待されていない限り、会議に参加できません。招待されていない場合は、会議への参加をリクエストし、主催組織のメンバーから承認を受ける必要があります。

さらに教育機関向けに、会議を安全に運営し、教師と生徒の遠隔学習体験を向上させるために、以下のような機能を展開しています。

• 遠隔授業の作成者とカレンダーの予定の主催者だけが、他の参加者をミュートまたは削除できます。これにより、参加中の生徒が講師を削除したりミュートしたりできないようにします。

• 遠隔授業の作成者とカレンダーの予定の主催者だけが、外部ゲストの参加リクエストを承認できます。これにより、生徒による外部ゲストの動画による参加許可を認めません。また、外部ゲストは講師より先に会議に参加することができなくなります。

• ニックネームが設定された会議では、最後の参加者が退出するとその会議に参加していた者は誰も再参加できません。この機能を利用して、ニックネームが設定された会議から教師が最後に退出すれば、教師が戻るまで生徒は入室できず、生徒だけで会議を進めることはできなくなります。

安全なデプロイと管理者やエンドユーザーのアクセス制御

Google Meet はブラウザ内で完結しているため、攻撃を受けにくく、パソコンにセキュリティ パッチを頻繁に適用する必要もありません。Chrome、Firefox、Safari、Microsoft Edge をご使用の場合、プラグインやソフトウェアをインストールする必要はありません。モバイルでご利用の場合は、Google Meet アプリをインストールすることをおすすめします。

承認されたユーザーのみが Meet サービスを管理し、また、アクセスできるように、アカウントに対して安全で便利な 2 段階認証プロセスのオプションを複数提供しています。オプションには、ハードウェア、スマートフォン ベースのセキュリティ キー、Google からのメッセージなどがあります。さらに、Google Meet ユーザーは高度な保護機能プログラム（APP）にアカウントを登録できます。これはフィッシングやアカウントの不正使用に対して最も強い保護を提供し、リスクが極めて高いアカウント用に特別に設計されています。

G Suite Enterprise および G Suite for Education をご利用のお客様には、アクセスの透明性を提供しています。これは、ドライブに保存された Google Meet の録画に Google がアクセスした履歴とその理由（お客様のリクエストによるサポートチームのアクションなど）を記録する機能です。また、お客様はデータ リージョン機能を使用して、特定のリージョン（米国や欧州など）の Google Meet 録画のデータを選択して保存することもできます。

安全性、コンプライアンス、信頼性のそろった会議インフラストラクチャ

Google Meet では、ウェブブラウザで行われるビデオ会議、Android アプリや iOS アプリで行われるビデオ会議、Google ミーティング ルーム ハードウェアのある会議室で行われるビデオ会議において転送されるすべてのデータを、標準設定で暗号化します。Meet は、IETF のセキュリティ標準である Datagram Transport Layer Security（DTLS）と Secure Real-time Transport Protocol（SRTP）に準拠しています。Meet では、各参加者、各会議に対して一意の暗号鍵を生成します。この暗号鍵は会議が終了するまで有効で、ディスクに保存されることなく、会議のセットアップ中に暗号化および保護された RPC（リモート プロシージャ コール）で送信されます。

セキュリティは Google のすべてのオペレーションに不可欠な要素です。サービスの構築から運営までのあらゆる段階で常にセキュリティが組み込まれるように、セキュリティとプライバシーの専門家からなる専任チームがソフトウェア エンジニアリングとオペレーションをサポートしています。Google Cloud と G Suite をご利用のすべてのお客様は、次のような機能をご活用いただけます。

• セキュリティ重視設計のインフラストラクチャ: Google Meet は、Google Cloud の多層防御方式によるセキュリティを利用しています。これは、Google がお客様の情報とプライバシーを保護するために使用する、組み込みの保護機能とグローバル プライベート ネットワークと同じものです。

• コンプライアンス証明書: Google Meet などの Google Cloud プロダクトは、独立した機関によるセキュリティ、プライバシー、コンプライアンス統制の監査を定期的に受けています。検証される規格には、SOC、ISO/IEC 27001/17/18、HITRUST、FedRAMP などがあります。また、GDPR、HIPAA のほか、教育機関向けの COPPA、FERPA などの規制に関するお客様のコンプライアンス要件もサポートしています。

• インシデント管理: Google Cloud では、データ インシデントとセキュリティ インシデントを管理するために厳格な手順（お客様のデータに影響を与える可能性のあるインシデントに対するアクション、エスカレーション、緩和策、解決、通知の方法）を導入しています。

• 信頼性: Google のネットワークは、ピーク時の需要に対処し、今後の成長に対応できるように設計されています。ネットワークには復元性があり、Google Meet で見られるようなアクティビティの増加に対応できるようになっています。

• 透明性: Google Cloud では、お客様のデータに関するコミットメントを明確にしています。お客様のデータはお客様の指示に従って処理されるものとし、広告目的で使用されることは決してありません。また、可用性、復元性、安全性に優れた Google データセンターのロケーションも公開しています。  

COVID-19（新型コロナウイルス感染症）の影響が拡大する現状はもとより、将来の変化も見据えて、Google Meet のユーザーとデータを引き続き保護し、便利で安全、安心なツールを実現するための新たな機能によるイノベーションを継続してまいります。