Web会議による情報漏えいリスクと対策
~マスキングと見える透かし~

これまで、テレワークにおける情報漏えいのリスクについて、「私物デバイスや私物PCの利用」「社用PCから個人契約クラウドへの接続」「私物PCから会社契約クラウドへの接続」「迷惑メールによるマルウェア感染、詐欺」について説明してきた。今回は、対処が難しいWeb会議からの情報漏えいのリスクと対策について説明したい。

画面共有時の情報漏えいリスクは
マスキングと見える透かしで対応

 多くの方がMicrosoft TeamsやZoomなどのWeb会議サービスを利用しているだろう。テレワークが始まったころは、使い方が分からず焦ってしまうことや、回線負荷、PCのメモリー圧迫により、通信が途切れてしまうなど、うまくいかないことも多かったのではないだろうか。最近はだいぶ慣れてきたが、今でも利用時に迷ってしまう機能がある。「画面の共有」機能と「ウィンドウ(アプリケーション)の共有」機能である。

 皆さんは、どちらの機能を多用しているだろうか。人によって癖が出てきているだろう。それぞれのメリット、デメリットを解説する。

《画面の共有》
 メリット:複数の資料を相手に共有したい場合、資料ごとに切り替えの必要なく簡単に共有できる
 デメリット:共有してはいけない、メールや他のドキュメントが表示されてしまう
 (デスクトップ全体があらわになる)

《ウィンドウの共有》
 メリット:共有してはいけない資料が誤って表示されることはない
 デメリット:複数の資料を相手に共有したい場合、切り替えが面倒である

この中で、《画面の共有》のデメリットである、「共有してはいけないコンテンツの表示」はセキュリティの課題となる。他に、《画面の共有》《ウィンドウの共有》に共通のセキュリティ課題として、「資料の共有相手によるWeb会議画面のキャプチャーや撮影」がある。これらの課題に、皆さんはどのように対処しているだろうか。その対処方法について見ていきたい。

《画面の共有》
―共有してはいけないコンテンツの表示への対処―

Web会議を行う前に、共有してはいけないコンテンツ(ドキュメント、メール、ブラウザー、エクスプローラー、スケジューラーなど)を閉じる。ファイルを閉じたとしても、デスクトップ上に共有してはいけない名称のファイルアイコンやフォルダーアイコンが存在する場合もあると思うので、そのようなものがないかということも事前にチェックしておきたい。

《画面の共有》および《ウィンドウの共有》共通
―資料の共有相手によるWeb会議画面のキャプチャーや撮影への対処―

機密情報などその場での「共有」のみであれば良いが、ファイル自体を渡すことはNGといった資料もあるだろう。そのような資料を共有する場合、キャプチャーの取得や撮影される可能性があることを知っておいてほしい。それでも、共有しなければいけない場合、対策として下記のような手段が考えられる。

1.共有する資料に対し、見せてはいけない部分を事前にマスキングする。オフィスアプリケーションなどは、図をかぶせるなどしてマスキングできる。

2.見える透かしを利用する。見える透かしとは、資料の背景に、「固定文字列(例:社外秘)」「ユーザー名」「会社名」「閲覧日時」「コンピュータ名」「IPアドレス」などを入れることである。

見える透かしを入れることで
情報漏えいの抑止効果に

マスキングは分かりやすいが、見える透かしは、どのような使い方で、どのような効果をもたらすのか。Web会議のシチュエーションと情報漏えいした場合のシチュエーションから考えてみたい。

 まず、注意しなければならないのが、見える透かしの入れ方である。重要事項が記載されている文字や図などのコンテンツに重ねて入れることである。資料のヘッダーやフッター部分に入れたのでは、白塗り加工や削除される可能性があるため、意味がない。

 見える透かし入りの資料をWeb会議で共有したとしよう。悪意のあるWeb会議相手が画面のキャプチャーを取得、またはカメラで撮影した場合、見える透かしもコンテンツに含まれる。加工しようとしても文字に重なった見える透かしを削除するのは困難である。

 例えば、「ユーザー名」や「会社名」「閲覧日時(共有した日時)」などを見える透かしとして入れておけば、悪意のあるWeb会議相手が撮影したコンテンツを第三者に渡したとしても、透かしに含まれる日時情報などから、いつ誰が実施した会議で共有されたものかを洗い出すことができるので、情報を漏えいさせたのは誰であるかをある程度絞り込むことができる。さらに見える透かしに会議の「相手の情報(企業名など)」を入れておけば、「誰に」渡した情報が漏えいしたのかを突き止めることも可能だ。

 このように、見える透かしを入れることで、悪意のあるWeb会議相手が、取得したコンテンツを第三者に渡したとしても、漏えい元を洗い出すことができるだけでなく、抑止効果にもつながる。

 また、重要なコンテンツに見える透かしが入っていれば、多くの従業員は、その情報の重要性と情報漏えいのリスクを理解できるであろう。しかしながら、ITに慣れていない従業員は、その点に気付かないかもしれない。そのため、従業員に対して見える透かしの意味や必要性を理解させる教育も重要である。

 リモートワークが続く中、会社の資料を自宅に持ち帰ったり、印刷したりするなどして、情報漏えいのリスクが高まっている。見える透かしは、ここでも効果をもたらす。重要な資料や社内イントラの重要なWebサイトに見える透かしを入れておくことにより、デバイスやインターネットへの持ち出し、キャプチャー取得、撮影、印刷による情報漏えいに対する抑止効果が期待できる。併せて検討してほしい。

master:
早稲田大学グローバル
エデュケーションセンター
非常勤講師

日立ソリューションズ
セキュリティソリューション事業部
企画本部
セキュリティマーケティング推進部 部長
セキュリティエバンジェリスト
扇 健一 氏