隨著90天資安計畫結束，本週的＂Ask Eric Anything＂著重於資安計畫自開始以來我們獲得的進展以及未來的展望，包括我們已經完成的重要更新、在90天資安計畫中我們對客戶做出的承諾及表現，以及關於Zoom CISO委員會的更新。

Zoom執行長Eric S. Yuan與營運長Aparna Bawa、Zoom產品總監Oded Gal、資訊長兼CISO委員會副主席Gary Sorrentino和新任資訊安全長Jason Lee共同出席。

技術長Brendan Ittelson、安全工程負責人Max Krohn 和法律副總顧問暨道德行為準則長Lynn Haaland參加了問答階段。

產品更新

Oded簡述我們在過去90天對於平台進行的主要更新，其中包括：

• 推出Zoom 5.0：我們在4月27日推出Zoom 5.0，這個版本支援AES 256 位元 GCM加密，為現今最安全的加密標準之一。5月30日，全系統帳戶啟用AES 256 位元 GCM加密。
• 使用者介面的新安全性圖示：安全性圖示可供主持人和聯席主持人立即設定會議的重要安全性控制項，包括鎖定會議和啟用等候室的功能，以及管理與會者分享畫面、參與聊天以及自行重新命名或取消靜音的功能所用的選項。
• 「違規使用者回報」功能： 主持人/聯席主持人可以向Zoom的「信任與安全」團隊檢舉惡意導亂者和會議騷擾事件，這個團隊將審查平台上任何潛在的濫用並採取適當的動作。
• 更新會議的預設安全設定：對於免費/基礎版和單一升級帳戶，將預設啟用會議密碼(Passcodes)、等候室和僅主持人畫面分享功能。免費/基礎版帳戶使用者將強制執行會議密碼(Passcodes)預設開啟。
• 自訂會議資料傳遞路徑：為了讓主持人能有更充分控制權，我們在4月18日對於付費帳戶的客戶啟用了自訂會議資料傳遞路徑控制功能，以便這些客戶能夠自行設定由那些資料中心區域作為會議召開之用。付費帳戶的Zoom管理員和帳戶擁有者可在帳戶、群組、使用者或會議層級，選擇或取消選擇特定資料中心區域，作為會議召開時資料的傳輸路徑。（zoomnow.net付費用戶 – 包含單帳號及大型導入，將由摩百數位代管）

對於未來開發新功能的過程中，我們已經建立起機制，確保安全性和隱私權在我們產品和功能開發的每個階段中，永遠都是優先考量事項。

CISO委員會成員更新

Gary接著採訪CISO委員會的兩位成員：PwC公司的全球和美國資訊技術長James Shira，以及Ralph Lauren公司的全球基礎設施安全長、隱私長兼資深副總裁Cy Fenton，請他們對於委員會的工作和會議提供一些相關資訊與細節。該階段的一些重點內容如下：

Cy，您為什麼選擇加入Zoom的CISO委員會？

「這是很明確的決定。Zoom已經成為我們對於終端使用者提供服務的重要核心工具。在新冠肺炎大流行之前，我們使用Zoom做為線上會議的工具，而現在，我們每天所有的會議大部分都會使用Zoom來召開，Zoom是我們的非常重要供應商之一。能藉此機會提供意見並且能額外獲得關於產品發展藍圖相關消息，這確實是重要的機會。」

James，您對於90 天的歷程有什麼想法？

「我曾經參與許多大型企業的安全轉型，我認為這持續演進的必經歷程是項需牢記的重要紀錄。從我的觀點來看，Zoom讓這段歷程即時的透過公開平台展現於真實世界中，是相當獨特的。綜觀所述，我認為做的非常好。」

對Zoom 資訊安全長 Jason Lee的引介

Eric介紹Zoom新任的資訊安全長 Jason Lee。Lee在資訊安全和關鍵任務服務的營運專業上，擁有20年的經驗。他最近曾任職於Salesforce擔任安全營運資深副總裁一職，負責為這家全球性組織的員工及客戶提供關鍵的點對點資訊安全維運，包含企業級網路和系統安全性，以及帶領資安滲透(the offensive security)團隊。

Jason 表示：「我對於與Zoom的這個優質團隊合作感到相當振奮。最近關於安全性的進展令人印象深刻，我對未來前景感到雀躍。」

回顧我們的90天安全性計畫承諾

Zoom的營運長Aparna Bawa重點回顧了我們在90天安全計畫中向客戶做出的承諾，其中包括：

• 從4月1日起暫停開發與安全性無關的功能，並轉移我們所有工程資源專注於處理最重要的信任、安全和隱私問題。
• 承諾與第三方專家和代表使用者進行全面審查，深入瞭解並確保我們所有新使用情境的安全性和隱私權。
• 準備透明度報告，詳盡載明向Zoom提出對資料、記錄或內容等申調需求有關的資訊。
• 強化我們的漏洞賞金計畫。
• 成立CISO委員會。
• 進行一系列同時的白箱滲透測試，藉以進一步發現並解決問題。
• 於每週三舉行一次網路研討會，向我們的社群提供隱私權和安全性更新。

如需這些承諾的狀態有關的詳細資訊，請參閱我們的部落格更新(其中包含我們在 90 天安全性計畫中的歷程進展的詳細介紹)和自2020年7月1日以來主要更新的 PDF 摘要。

問與答

執行Zoom的90天資安計畫最困難的事情是什麼？您身為領導者學習到了什麼？

Eric解釋，Zoom最初是專為商業用途而設計的，想要滿足第一次新手使用者在隱私權、安全性和他們的獨特使用情境的需求是一大挑戰。他也提及，我們只要瞭解並傾聽客戶的意見、保持透明度並致力於打造最佳平台，Zoom就能克服一切困難。

Zoom的90天資安計畫結束是否表示Zoom將重啓非安全性功能的發佈？

Zoom致力於著重安全性處理。我們也將恢復已凍結90天的非安全性功能的開發，並打造與人們現在和未來的工作方式保持一致的新功能和產品。

能否在群組層級也可以調整必要的安全性設定，而非僅能透過帳戶層級來設定？

是的。可以在大型帳戶層級、群組層級或單一使用者層級去進行這些設定。

身為資訊安全長，對於安全性的最佳實踐上，有什麼好方法來教育終端使用者？

資訊安全長Cy Fenton以嘉賓的身分解釋道，在公司層級對員工進行資安教育的最佳方法是，擬定穩健的安全教育計畫，並透過探討員工面臨的安全風險、防範風險的方式以及安全性對於日常工作流程的影響，藉以確保員工瞭解資安的重要性。

Zoom為什麼要發佈政府要求指南？

Aparna解釋道，Zoom由於致力於維持開放和透明的營運方式而推出本指南。我們將此視為政府與 Zoom互動的藍圖，其中包括相關的聯絡資訊，以及 Zoom 解決各種政府要求所採取的準則和程序。

Zoom的一般安全方法是什麼？

Jason解釋道，他將運用業界標準和公開框架來建構Zoom的安全性做法，藉以明確展現Zoom安全性做法的功用和成熟度。

大型導入的系統管理員能否查看使用者安裝的軟體版本？

系統管理員可以進入後台儀表板的「使用者管理」部份，按一下右上角的齒輪檢視顯示用戶版本的相關資訊。企業導入方案或購買同等方案的管理員可以進入Zoom後台儀表板，其中有圖形顯示用戶版本在帳戶中分佈的情況。這些管理員也可以進入會議分類選單，透過檢視個別會議運作狀態資訊，看見與會者正在使用的軟體版本。

隨著愈來愈多公司改採用雲端服務，評估供應商及它們對網路安全負責任的最佳方法是什麼？

Jason解釋道，他會觀察特定供應商在當前和過去的創新，以及該供應商的領導團隊所具備的素質。他也會向其他資訊安全長請教他們與該供應商合作的經驗。Cy補充表示，供應商對於如何處理問題和挑戰上要能保持透明度。

感謝您的支持

謝謝您參加本週研討會，也謝謝每一位提問的朋友！Zoom 努力成為全世界最安全的企業通訊平台，真心感謝您一路以來的支持。

若您錯過了本週的研討會時間，可以到這裡收看影片：

原文參考: Webinar Recap – 90-Day Security Plan Progress Report: July 1st