zoomの入室管理における注意点まとめ #Zoom

オンライン会議やイベントの開催が多くなっている昨今ですが、zoomを使われる方も多いと思いますのでzoomを使ったオンライン会議やイベントでの入室管理における注意点をまとめてみました。

参加URL、ミーティングID、パスワードの共有時に気をつけること

勝手にミーティングに入ってくる、いわゆる「zoom Bomber」を避けるためには、参加URL、ミーティングID、パスワードなどの情報を参加者のみに共有することが望ましい。具体的には、以下の点があります。

（以下の内容は、参加者も接続先情報をSNSなどで公開しないようにしてもらうことが前提です）

待機室とは、ミーティングに接続してきた参加者がミーティングに参加する前にホストの承認が必要になる機能で、ランダム生成のミーティングIDを使う場合はオプションですが、パーソナルミーティングIDの場合は必須となります。

これを使うことで接続してきた人を確認した上でミーティングに参加させることができますが、以下の問題点があります。

確認・承認の手間が増える。
当然ですが、ひとりひとり確認して承認しなければならないので、ホストの手間が増えます。共同ホストが承認できれば、運営スタッフを共同ホストに指名して手伝っって貰えばいいのですが、今のところ共同ホストには入室者の承認権限はないようです。ここは仕様を変えて欲しいところです。
zoom上の名前で個人を特定できない場合がある。
zoom上で表示される名前が本名であればいいのですが、そうでない場合は事前に参加申し込みしてきた人かどうかを確認できないことがあります。あらかじめ本名やイベントページで参加申し込みした時のIDや名前にしておいてもらえれば照合できますが、そこまでやってもらうのはなかなか難しいかもしれません。

待機室は少人数の内輪のミーティングでは使いやすいかもしれませんが、事前申し込み制であっても不特定多数の参加者に対するオンラインイベントでは運用が難しいかもしれません。

zoomにはミーティングのロックという機能があり、ロックするとそれ以降は他の参加者が接続できなくなります。すでに参加者が揃ったことが確認できている場合は、ロックをかければzoom Bomberの侵入をふせぐことができます。

ただし、中には一旦入室した後（カメラ、マイクの不調などで）接続し直す参加者がいるケースもあり、そういうケースが発生した場合の対応ができないというリスクはあります。

接続先を検索できる場所に書くのは絶対に避けてください。例えば、Twitterのタイムラインなどがそれにあたります。zoom BomberはこういうところにzoomのURLや接続情報が流れてくるのを見つけて侵入してくるようです。

以前、自分のパーソナルミーティングIDをTwitterに流したところ、何名か英語名のアカウントで接続が試みられました。もちろんスルーしましたが。

というわけで「Peatixなどのイベントサイトを使い、参加者へのメール送信機能で接続情報を連絡」し「待機室を使用しない」というのが、現実的な落とし所かもしれません。

この数ヶ月でユーザーが20倍になったと言われるzoomですが、一方でセキュリティ上の問題が指摘される自体になり、いくつかのセキュリティ対策が取られました。その対策の中の入室管理に関するものとして以下のものがあります。

ランダム生成のミーティングIDを使った場合、パスワードの設定が必須になった（待機室の有無はオプション）。
→zoomはミーティングIDが9桁の数字で決まる仕様のため、パスワード無しの設定だと適当な数字を入力しても実在する会議に接続できる可能性があるため、数字の
パーソナルミーティングID（ユーザーごとの固定のID）を使った場合は待機室が必須（入室時にホストの承認が必要）になった。
→パーソナルミーティングIDは固定であることがメリットなのでパスワードは必須にせず、その代わりに待機室を必須としてホストに確認してもらおうという意図と思われる。