セキュリティチェック報告書：Zoom Video Communications, Inc.

 

日付: 2025年10月8日 報告者: 探偵（情報システム部 セキュリティ担当） 件名: Zoom Video Communications, Inc. に関するセキュリティ調査報告

 

1. 調査概要

 

Web会議システム「Zoom」を提供するZoom Video Communications, Inc.について、組織の信頼性およびセキュリティリスクを評価するため、以下の項目について徹底的な調査を実施しました。

• 組織の沿革および創設者の経歴

• 本社の実在性確認

• 情報セキュリティ専門家の見解

• 開発・製造国に関する情報

• 米国輸出管理規則（EAR）エンティティリストへの該当有無

---

 

2. 組織の沿革及び創設者の経歴

 

沿革: Zoom Video Communications, Inc.は、2011年にエリック・ユアン（Eric S. Yuan）によって設立されました。本社はアメリカ合衆国カリフォルニア州サンノゼにあります。

• 2011年: 当初は「Saasbee, Inc.」として設立。

• 2013年1月: 「Zoom」として正式にサービスを開始。

• 2019年4月: NASDAQに上場。

• 2020年以降: 新型コロナウイルスのパンデミックにより、世界的に利用が急拡大しました。利用者の急増に伴い、複数のセキュリティやプライバシーに関する問題が指摘され、同社はセキュリティ強化に注力する期間を設けました。

(参照)

• Zoom Video Communications, Inc. Form S-1 Registration Statement (U.S. Securities and Exchange Commission)

• Zoom Video Communications - Wikipedia

創設者 エリック・ユアン（Eric S. Yuan）の経歴:

• 出身: 中華人民共和国 山東省

• 学歴: 山東科技大学で応用数学の学士号と工学の修士号を取得。その後、北京の中国鉱業大学で鉱山工学の修士号を取得。スタンフォード大学のエグゼクティブプログラムも修了しています。

• 渡米: 1997年に渡米。渡米前、ビザ申請を8回却下された後、9回目の申請でようやく承認された経歴があります。

• 職歴:

  • WebEx: 渡米後、Web会議システムの草分けであるWebExに初期メンバーのエンジニアとして参加。同社でエンジニアリング担当副社長を務めました。

  • Cisco Systems: 2007年にCiscoがWebExを買収した後も、同社のエンジニアリング担当コーポレートバイスプレジデントとして勤務。

  • Zoom設立: Ciscoのビデオ会議製品に対する顧客の不満を背景に、より使いやすい新たなプラットフォームを開発するため、2011年に同社を退職しZoomを設立しました。

経歴に関する評価: 創設者エリック・ユアン氏の経歴は、WebExおよびCiscoというWeb会議システムの主要企業における長年のエンジニアリング経験に裏打ちされており、業界における専門性は非常に高いと評価できます。渡米後の経歴は一貫しており、経歴ロンダリングの疑いは現時点では確認されませんでした。

(参照)

• Forbes Profile - Eric Yuan & family

• CNBC - Zoom founder Eric Yuan’s incredible rise to the top of the business world

---

 

3. 本社の実在性確認

 

• 本社所在地: 55 Almaden Boulevard, 6th Floor, San Jose, California 95113, USA

• 確認結果: Google Mapsおよびストリートビューにて、当該住所にZoomのロゴを掲げた大規模なオフィスビルが存在することを確認しました。同ビルには他の企業も入居していますが、Zoomが主要なテナントとして物理的に活動していることは明らかです。ペーパーカンパニーである可能性は極めて低いと判断します。

(参照)

• [疑わしいリンクは削除されました]

• Zoom Video Communications, Inc. - Investor Relations

---

 

4. 情報セキュリティ専門家の見解

 

Zoomは2020年のパンデミックによる利用者急増に伴い、多くのセキュリティ専門家から厳しい指摘を受けました。主な懸念点は以下の通りです。

• エンドツーエンド暗号化（E2EE）の誤解を招く表現: 当初、マーケティング資料で「エンドツーエンド暗号化」を謳っていましたが、実際にはサーバー側で復号可能なトランスポート暗号化であり、厳密な意味でのE2EEではなかったことが指摘されました。

• Zoombombing（ズーム爆撃）: パスワード設定が不十分な会議に第三者が侵入し、不適切なコンテンツを共有する問題が多発しました。

• データルーティングの問題: 一部の無料ユーザーのトラフィックが、誤って中国国内のデータセンター経由でルーティングされていたことが判明しました。

• 脆弱性: Windows版クライアントの脆弱性や、macOS版クライアントのインストールプロセスに関する問題などが報告されました。

その後の対応と現在の評価: これらの指摘を受け、Zoomは90日間の機能開発を凍結し、セキュリティとプライバシーの強化に専念しました。

• E2EEの実装: 全てのユーザー（無料・有料問わず）に対して、厳密なエンドツーエンド暗号化（E2EE）をオプションとして提供開始しました。

• セキュリティ機能の強化: 「待機室」機能やパスワードのデフォルト化、会議中のセキュリティコントロールの強化などを実施し、Zoombombing対策を講じました。

• データセンターの管理: ユーザーがデータルーティング先の地域を選択できる機能を追加し、透明性を向上させました。中国のデータセンターをデフォルトのルーティング先から除外する措置も取られました。

現在の専門家の見解としては、初期のセキュリティ体制には重大な欠陥があったものの、その後の迅速かつ大規模な改善対応により、セキュリティレベルは大幅に向上したと評価されています。ただし、依然として中国に開発拠点を持つことへの懸念は一部で残っています。

(参照)

• The Citizen Lab - Move Fast & Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings

• 米連邦取引委員会(FTC) - FTC Requires Zoom to Enhance its Security Practices as Part of Settlement

• Zoom Blog - Zoom Hits Milestone on 90-Day Security Plan, Releases New Security Features

---

 

5. 開発・製造国に関する情報

 

• 本社・法人: アメリカ合衆国

• ソフトウェア開発: Zoomは米国に本社を置く企業ですが、中国国内に大規模な研究開発（R&D）センターを複数保有しており、多くのエンジニアが所属しています。過去には、セキュリティ問題への対応や製品開発において、この中国の開発チームが重要な役割を担っていたことが公表されています。この点が、一部の政府機関やセキュリティ専門家から地政学的リスクとして懸念されています。

• ハードウェア製造: Zoomは主にソフトウェアを提供していますが、「Zoom Rooms」向けのハードウェア製品もパートナー企業（Poly, DTEN, Neatなど）を通じて提供しています。これらのハードウェアの製造国は多岐にわたりますが、多くは中国やその他のアジア諸国で製造されています。

(参照)

• Zoom Video Communications, Inc. - 2024 Proxy Statement (U.S. Securities and Exchange Commission)

---

 

6. 米国輸出管理規則（EAR）エンティティリストへの該当有無

 

添付のエンティティリスト（Supplement No. 4 to Part 744）を精査した結果、"Zoom Video Communications, Inc." およびその関連会社の記載は確認されませんでした。

---

 

7. 結論・推奨事項

 

Zoom Video Communications, Inc.は、ペーパーカンパニーではなく、明確な事業実体を持つ米国企業です。創設者の経歴にも不審な点は見当たりませんでした。

過去に複数の重大なセキュリティ問題が指摘されましたが、同社は迅速な対応を行い、現在ではエンドツーエンド暗号化の提供など、セキュリティ体制を大幅に強化しています。

ただし、以下のリスクは依然として留意すべき点です:

• 地政学的リスク: 中国に大規模な開発拠点を有しており、中国政府からの影響を懸念する声が一部に存在します。データルーティングの管理機能は提供されていますが、運用には注意が必要です。

推奨事項:

• 条件付きでの利用を許可: 企業の標準ツールとして利用することは可能と判断します。

• セキュリティ設定の徹底: 会議開催時にはパスワード設定、待機室機能の利用を必須とし、エンドツーエンド暗号化（E2EE）の利用を推奨します。

• データセンターの指定: 機密性の高い情報を扱う会議では、データセンターのルーティング先を日本および米国など、信頼できる国のみに限定する設定を徹底してください。

• 継続的な監視: 今後も同社のセキュリティに関する新たな脆弱性情報や、地政学的リスクに関する動向を継続的に監視する必要があります。

以上

 

 

セキュリティチェック報告書：Zoom Video Communications, Inc.

 

日付: 2025年10月8日

報告者: 探偵（情報システム部 セキュリティ担当）

件名: Zoomの利用禁止・制限国に関する調査報告

前回の報告に加え、日本以外の国におけるZoomの利用禁止・制限状況について以下の通り報告します。

 

1. Zoom社が公式にアクセスを制限している国・地域

 

Zoom社は、米国の輸出管理規制および経済制裁に基づき、特定の国や地域からのサービスアクセスを自主的に制限しています。2025年10月現在、以下の国・地域が該当します。

• キューバ

• イラン

• 北朝鮮

• シリア

• ウクライナの一部地域（クリミア、ドネツク、ルハンシクなど）

これらの国・地域のユーザーは、規制上の理由によりZoomのサービスにアクセスできません。これは、米国のOFAC（外国資産管理局）による制裁リストに準拠した措置です。

(参照)

• Zoom Support - 制限されている国または地域

• Tech Services – Restricted Countries and Regions - Office of Information Technology (The University of Alabama)

 

2. 各国政府・機関による利用禁止または制限

 

上記の包括的なアクセス禁止とは別に、過去にセキュリティ上の懸念から、各国政府や特定の機関がZoomの利用を禁止または制限した事例があります。これらの多くは2020年前後のセキュリティ問題が多発した時期に発表されたものですが、現在も継続している場合があります。

• 台湾: 2020年4月、政府機関に対してZoomの使用を全面的に禁止しました。

• ドイツ: 外務省がセキュリティ上の懸念から、業務用端末での利用を制限しました。

• インド: 政府が、政府職員による公務でのZoom使用を控えるよう勧告しました。

• オーストラリア: 国防軍と議会において、Zoomの使用が禁止されました。

• アメリカ合衆国: NASAや一部の政府機関、市当局（例：ニューヨーク市教育局）で一時的に使用が禁止されました。

• 日本: 日本ではISMAP認証を得ており、行政機関内での積極的な利用が推奨されています。

www.j-cast.com

これらの国・機関による制限は、主に機密情報の漏洩リスクや、Zoom社の開発拠点が中国にあることへの地政学的懸念を理由としています。

(参照)

• ハフポスト - Zoom、台湾政府が全面禁止 ドイツ外務省やGoogleも「セキュリティの脆弱性」で使用制限

• 訪日ラボ - Zoomは危険？どこの国の企業？脆弱なセキュリティと露見した中国への情報提供・アメリカや台湾では使用禁止に

• ダイヤモンド・オンライン - 河野太郎氏が激怒「役所でZoomは制限」なのが中国リスクだけでない残念な事情

 

3. 中国国内での利用

 

中国では、過去に一時的にアクセスが遮断されたことがありますが、現在は利用可能です。ただし、無料ユーザーの新規登録ができないなど一部機能に制限があり、通信が不安定になる場合もあります。また、中国政府の要請により、天安門事件に関するオンライン会議が強制的に終了させられた事例もあり、検閲のリスクが指摘されています。

(参照)

• Yuki-VPN - 中国で安定してzoomを使う方法は？zoomを仕事のオンライン会議で使っても大丈夫？

---

 

結論

 

Zoomは、米国の制裁対象国では全面的に利用が禁止されています。それに加え、台湾や日本を含む複数の国で、特に政府機関や機密情報を扱う組織において、セキュリティや地政学的リスクを理由とした利用制限が課されています。

これらの情報は、前回の報告書で指摘した「地政学的リスク」を裏付けるものであり、当組織でZoomを利用する際にも、機密性の高い会議での利用を避け、データセンターのルーティング設定を厳格に管理するといった対策を徹底する必要性を改めて示唆しています。