Boxをクラウドストレージとして
使用する際のセキュリティは大丈夫?
「Boxのセキュリティ機能は十分だろうか」
そんな不安を抱えるあなたに当記事ではBoxのセキュリティ機能を解説します。結論として、Boxのセキュリティ機能は充実しているため、安全に使えるクラウドストレージサービスです。
お読みいただくとBoxのセキュリティ機能のほかに、それでも抱えてしまうBoxのセキュリティリスクやその対策をご理解いただけます。
目次
Boxのセキュリティ機能
Boxは企業が安心して利用できるクラウドストレージサービスです。安心の理由としては、Boxに実装されている高いレベルのセキュリティ機能が挙げられます。
以下の観点でBoxのセキュリティ機能について解説します。
- IRM
- 暗号化
- データ漏えい対策
- レポート
- エンドポイント
IRM
IRM(Information Rights Management)はデジタル情報のアクセス権限を管理・制御するための技術です。BoxのIRM機能には以下があります。
- 7段階の共有設定
- 外部へのファイル共有時の設定
- 共有リンクの期限やパスワードの設定
Boxには7段階の共有設定があります。他のサービスの場合、「閲覧者」「編集者」などの権限に分かれることがありますが、7種類に細かく分かれていることがBoxの特徴です。
また外部とのファイル共有時の設定を管理部門主導で実施できます。ユーザーごとに実施できる共有設定の範囲を制限可能です。例として「ユーザーAは外部共有可能だが、共有されたユーザーの権限には閲覧可能しか付与できない」という具合に設定できます。
またファイルをリンクで共有した場合の有効期限やパスワードを設定できます。よって「共有したファイルがその後どうなったのか分からない」というずさんな管理の防止も可能です。
暗号化
Boxのデータ暗号化には以下の特徴があります。
- AES256ビットの暗号化が可能
- FIPS140-2認定を取得
- 顧客が管理するキーを利用可能
Boxはデータ保存時や転送時にAES256によるデータ暗号化を実施します。これによりデータの盗聴を防止する役割が期待できます。
FIPS140-2はアメリカが定める高いレベルのデータ保護要件を定めた認定です。Boxはこちらを取得していることからも高いセキュリティレベルを実現していることが分かります。
また顧客が管理するキーを利用可能です。業界によってはBox側で用意される暗号化ではなく、自社のキーを用いた暗号化を求められる場合があります。この機能により、Boxは各業界のコンプライアンスに準拠可能です。
データ漏えい対策
Boxのデータ漏えい対策には以下の機能が備わっています。
- 複数形式の電子透かし
- 分類に基づいた電子透かし
- Box Shieldアクセスポリシーの統合
Boxは電子透かしの機能を利用可能です。万が一攻撃者にデータのコピーや悪用をされても、不正の検出がしやすくなります。
また「透かしを入れるべきか、入れないべきか」を判断し、分類に基づいた電子透かしも可能です。これにより透かしを入れる作業の効率化も実現できます。
Box Shieldはユーザーの異常検知やアクセス制御ができるBoxのアドオン機能です。Box Shieldを有効にするとBoxのさらなるセキュリティ強化を実現できます。
レポート
Boxのレポート機能として以下が挙げられます。
- 一元化された監査ログ
- 履歴レポート
- CASBおよびSIEMとの統合
Boxは一元化された監査ログや履歴レポートの確認が可能です。ファイルのアクセス権限や変更履歴を確認できるため、管理者はユーザーがどういった編集をしているのかをチェックできます。これらは不正なダウンロードや改ざんを含め、怪しい挙動があれば検知をしやすい仕組みです。
またCASBやSIEMなどのセキュリティツールとの連携が可能なため、使い慣れた環境でBoxのセキュリティ状況を可視化できます。アラートのセットやログの検索などは使い慣れた環境で実施する方が対応をしやすいです。利用中かつ、Boxと連携が可能なセキュリティツールがあれば、連携させてみましょう。
エンドポイント
Boxのエンドポイントセキュリティ対策には以下の機能があります。
- 利用デバイスの要件設定
- IP許可リストを利用したアクセス制限
- Box for EMMによるデバイスセキュリティ機能の統合
BoxはBox Device Trustという機能でBoxにアクセスできるデバイス(パソコンやスマートフォン)のセキュリティ要件を設定できます。要件を満たしていないデバイスからはBoxにアクセスできなくすることで、セキュリティリスクを低減する仕組みです。
IP許可リストを設定すると、許可しているIPアドレスのみがBoxにアクセスできるようになります。
またBox for EMMを利用すると、自社で利用しているEMM(Enterprise Mobility Management)との統合が可能です。これによりBoxにアクセスする際に、EMMを利用したデバイスの認証が可能になります。
”脱PPAP”後の適切な選択肢を考える ファイル共有完全ガイド
「脱PPAP」後のファイル共有における主な選択肢とその課題を踏まえながら、外部の組織とファイルを安全に、かつ効率的に共有するための手法についてご紹介します。
クラウド移行 知っておくべき3つの注意点
本資料では、クラウド型のメリット、さらに、クラウドに移行する際に特に注意しなければならない3つのポイントについて解説していきます。
クラウドストレージサービスBoxとは
BoxはアメリカのBox社によって提供されるクラウドストレージサービスです。日本にはBox Japanという日本法人があります。
Boxは世界中の企業に利用されており、利用している企業の数は10万社以上を誇ります。世界中の企業がクラウドストレージサービスの中からBoxを選ぶのは以下の理由です。
- 安心して利用できるセキュリティ機能が整っている
- 容量上限がない
- 誰でも分かりやすい画面で操作できる
- さまざまな他社サービスと連携できる
Boxのハイレベルなセキュリティ機能についてはBoxのセキュリティ機能で先述した通りです。各企業のユーザーが安心して利用できることが世界中のシェア拡大につながっています。
セキュリティ面以外にも、使いやすさがBoxが選ばれる理由です。容量上限がないことや分かりやすい画面で操作できることは、企業にとって導入のハードルを下げる要因になります。
また近年の企業は複数のサービスを利用することは珍しくなく、もはや当たり前になっています。高い連携性により、複数のサービスを利用する企業の業務効率化に貢献していることもBoxが選ばれる要因です。
Boxのセキュリティリスク
ハイレベルなセキュリティ機能を備えるBoxですが、セキュリティリスクも存在します。Boxのセキュリティリスクとして以下が挙げられます。
- パスワードの漏えいによるアカウント乗っ取り
- 不適切な許可設定による不正アクセス
- 内部不正による情報流出
パスワードの漏えいによるアカウント乗っ取り
ユーザーのパスワードが盗まれてしまい、Boxにアクセスできるアカウントが乗っ取られてしまうセキュリティリスクがあります。
Boxはログイン認証を突破できれば、アクセス可能なファイルを利用できます。よってユーザーIDやパスワードが攻撃者の手に渡ってしまうと、そのユーザーがアクセスできるファイルが流出する可能性が高いです。
パスワード漏えいによるアカウントの乗っ取りを防ぐためには以下の対策ができます。
- 長い文字、複数の種類の文字を利用した強固なパスワードを設定する
- 多要素認証を導入する
不適切な許可設定による不正アクセス
Boxに保存されているファイルやフォルダに対し、不適切な許可設定をしていると不正アクセスをされてしまうリスクがあります。
アクセス許可は基本的には最小限にとどめておくべきです。しかし「リンクを知っている全員」に許可設定をすると、意図していない相手にリンクが伝わった場合に、ファイルにアクセスされてしまいます。
不適切な許可設定のセキュリティリスク対策には以下が有効です。
- アクセス権限は最小限にとどめる
- 管理者が外部へのファイル共有時の設定をする
- リンクに有効期限やパスワードを設定する
内部不正による情報流出
Boxは内部不正による情報流出のセキュリティリスクがあります。
従来のネットワークセキュリティは外部からの攻撃を防ぐ仕組みが中心でした。Boxは外部からはもちろん、内部不正のセキュリティ対策にも力を入れています。しかし、Boxの強化されたセキュリティでも、設定によっては内部不正を許してしまう状況にあります。
内部不正は内通者(スパイ)による不正アクセスや意図的な情報流出です。これらを防ぐためにはBoxのセキュリティ機能を活用して、不正アクセスを防ぐ、あるいは検出できる仕組みを整える必要があります。
内部不正を防ぐには以下の対策を実施しましょう。
- アクセス権限は最小限にとどめる
- 監査ログのチェックやCASB・SIEMとの連携
- Boxへのアクセスを許可するデバイスやIPの制限
Boxのセキュリティ対策の強化
Boxにはさまざまなセキュリティ機能が備わっています。セキュリティ強化をするためにBoxの利用すべき機能や、そのほかのセキュリティ強化方法として以下を解説します。
- Box Shieldの利用
- DLPによるファイルのラベル付け
- 電子透かし機能の有効化
- SSO(シングルサインオン)で認証する
- 社内ルールの見直し
Box Shieldの利用
Box Shieldを利用することで、Boxのセキュリティ強化が実現します。
Box Shieldはセキュリティ強化アドオンです。導入すると以下の機能を利用できます。
- ファイルの自動分類とラベル付与
- 分類したファイルの共有設定やダウンロード可否の設定
- ユーザーの異常行動や不正なアクセスの自動検出
Box ShieldはAIが搭載されており、潜在的なセキュリティリスクの検出も可能です。よって人間による目視だけでは気がつけないリスクを検出し、未然にインシデントを防ぐ、あるいは迅速な対応を実現します。
DLPによるファイルのラベル付け
BoxをDLP製品と連携し、Box内のファイルのラベル付けや暗号化を行うことでセキュリティ強化が可能です。
BoxはBox Shieldを使うとファイルの自動分類やラベル付与が可能です。しかし、Box Shieldがついていないプランもあります。有料で追加もできますが、自社で利用しているDLP(Data Loss Prevention)と連携することでもスムーズに実現します。これによりラベル単位でのセキュリティ制御が実現し、細やかな設定が可能になります。
また弊社が提供するHENNGE One DLP EditionもBoxとの連携が可能です。
電子透かし機能の有効化
Boxの電子透かし機能を有効化することで、情報漏えいの対策ができます。
電子透かしはデータの不正ダウンロードや流出を防ぐことはできません。しかし、透かしに刻まれているデータによって、誰がいつ流出させたデータなのかを表示できます。
よって電子透かしがあることで攻撃者への抑制につながります。Boxに保存するファイルには電子透かしを有効にしておきましょう。
SSO(シングルサインオン)で認証する
SSOでの認証を有効化することでBoxのパスワード流出のリスクを低減できます。
SSOは複数のサービスへの認証を一つの認証に統合する技術です。社内システムや自社が利用するコラボレーションツール(Microsoft 365やGoogle Workspaceなど)と連携し、SSOを実現すればBoxのパスワードを利用せずに済みます。よってユーザーはパスワード管理が簡略化可能です。
SSOは便利ですが、逆にSSOに問題が発生すると、Boxや他のシステム、サービスへの影響が生じます。SSOのデメリットも理解した上で利用しましょう。
社内ルールの見直し
社内ルールの見直しはBoxのセキュリティ強化には重要です。
社内ルールが決まっていないとBoxのセキュリティ機能を活かすことができません。せっかくのハイレベルなセキュリティ機能が宝の持ち腐れになってしまいます。
社内ルールが決まっていないと、適切なアクセス許可や共有の設定ができません。またルールが決まっていないがゆえに「会社用以外のパソコンを使っても良いと思った」と従業員が判断してしまう可能性があります。
アクセス許可の範囲や共有設定、多要素認証の義務付けなど、Boxを利用する社内ルールを決めておきましょう。社内全体、または各部署でルールに基づいた運用ができているかチェックすることで、セキュリティリスクを軽減できます。
HENNGEのDLP EditionはBoxとの連携も可能
HENNGEが提供するHENNGE OneはBoxに対する包括的なセキュリティ対策が可能なオールインワンソリューションです。
HENNGE OneはBoxに対して多要素認証による不正アクセス対策を実施できるほか、共有リンクを一覧化し、リスクに応じて共有リンクを停止することができるFile DLP機能も備えています。また、HENNGE Secure Download for Boxという脱PPAPに向けた機能もあります。以下の手順でBoxと連携した安全なファイル共有を実現可能です。
先述したとおり、Boxのセキュリティ対策に興味がある担当者様は下記よりお問合せください。
まとめ
Boxはハイレベルなセキュリティ機能が搭載されているオンラインストレージサービスです。ユーザーやデータの保護、アクセス制限、外部のセキュリティツールとの連携など、さまざまな機能で安全なファイル保存、共有を実現します。
弊社が提供するHENNGE Oneは、Boxと連携して安全なファイル共有を実現できるセキュリティソリューションパッケージです。脱PPAPを実現するためのアプローチをお求めのご担当者様は下記よりお問合せください。
