BoxとBoxのセキュリティ

はじめに

クラウドサービスのセキュリティについて紹介したいと思います。

今回はBoxです。

(本コラムの情報は2020年6月時点のものです。)

Boxとは

Boxは、企業向けのセキュアなコンテンツ管理プラットフォームです。

世界で95,000社以上、日本国内でも7,000社以上で利用されています。

GartnerやForresterでは「リーダー」や「トップ」との評価を受けていて、最近では金融系や教育機関、官公庁、自治体での導入も進んでいます

クラウド側からコンテンツを出さない思想

よく比較されるDropboxやGoogleDriveなどの一般的なクラウドストレージとは異なり、Boxはコンテンツ(ファイル)をできるだけクラウド側から出さないような思想でつくられています。つまり、できる限りブラウザだけで完結するようにできています

一般的なクラウドストレージはマスタデータからデータをコピーして端末に保存し「いつでもどこでもアクセスできる」のが利点ですが、データがそれぞれのデバイスにコピーされてしまいます。

Boxの思想

ファイルをクラウド側から出さないと何が良いのでしょうか?

ファイルが分散しない!

メールサーバーや端末、ファイルサーバなどに分散されたファイルはそれだけでリスクです。またコンテンツを一箇所に集約することで管理と利便性を両立できます

デバイスにファイルを残さない!

端末(ノートPCやスマートフォン)を紛失したとしてもデータが残らないので情報漏えいのリスクを低減できます

細かすぎる権限管理

また、以下のように細かい権限設定ができることもBoxの利点の一つです。

Boxの権限設定

「ファイルの参照はさせたい、けれどダウンロードはさせたくない」といった権限や、「ファイルのアップロードのみを許可する」といった権限を与えることができます。

細かい権限設定を実現する機能の1つが、ダウンロードせずにファイルを参照する「プレビュー」という機能です。プレビューできるファイルの種類は130種類以上と充実しており、できる限りコンテンツをクラウドから出さないというBoxの思想を支えています。

アクセス統計情報

アクセス統計

ファイルの閲覧(プレビュー)、編集、コメントの追加、ダウンロードについての履歴を確認できます。

アカウントさえあれば、誰がいつ何をダウンロードしたかが一目瞭然です

「レビューを依頼した資料を確認してもらえているかチェックする」という使い方から、不正な情報持ち出しに対する抑止力や、インシデントが発生した際の追跡など、様々な場面で役に立つ機能です。

Boxのセキュリティ

前述したとおり、メール添付やSync型のデータ共有サービスと違い、Boxはクラウド側からできる限りデータを出さない思想です。

また、Boxではコンテンツ(ファイル)をすべて暗号化しており、安全性を確保しています。

Boxのコンテンツ暗号化の仕組み

コンテンツ暗号化には二重暗号化方式を採用しています。

ファイルごとに一意のデータ暗号化鍵を生成し、そのデータ暗号化鍵でファイルを暗号化し、さらにそのデータ暗号化鍵を鍵暗号化鍵で暗号化することでコンテンツを保護します。暗号化はメモリ内で行われるため、保護されたコンテンツ以外がディスクに書き出されることはありません。

さらに、鍵暗号化鍵はBox側で定期的に自動更新されることで、情報漏えいリスクの低減が図られています。

また、暗号化キーをユーザ側で管理するBox KeySafeというオプションサービスもあります。

Boxで利用できるセキュリティ機能/セキュリティ設定

契約するプランによるところもありますが、標準で使える機能や設定だけでかなりの量があります。

その中から代表的なものを紹介します。

認証/ログイン(2段階認証、シングルサインオン)

2段階認証の設定

標準で2段階ログイン(IDパスワード+SMS認証)が利用できます。

SMS認証なのでスマートフォンの電話番号を登録する必要がありますが、ユーザ側で設定できるので管理者側で登録する必要はありません。

シングルサインオンの設定

別途ID管理サービス(IDaaS)等と連携することで、シングルサインオンも実現可能です。

パスワードポリシーの設定

パスワードポリシーの設定

一般的なバリエーション(最小の文字数や数字・記号・大文字必須など)のパスワードポリシーが設定できます

外部ユーザ(コラボレーターとして招待したユーザに対して強固なパスワードを要求することも可能です

共有リンクと共有リンクの有効期限

共有リンクの設定
共有リンクは、特定のファイルやフォルダを他のユーザとピンポイントに共有するための機能です。

共有する範囲や期限、パスワード保護やダウンロード許可などの設定により、コンテンツの内容に応じて柔軟なセキュリティのコントロールが可能になります。

共有リンク有効期限の設定

さらに高度なセキュリティを求める場合は、管理者側でこれらの設定を強制させることで、利用者の設定ミスなどによる情報漏えいを防ぐことも可能です。例えば、管理者側で「共有リンクの有効期限」を設定すれば、全ての共有リンクが期限付きとなり、一定期間が経過すると自動的に無効化されます。

地味ですが、不要な情報公開のリスクを低減させる効果があるので、企業のポリシー等に合わせて利用したい機能です。

モバイルアプリのユーザ権限

モバイルアプリのユーザ権限

Boxのモバイルアプリから利用するユーザに対して、ファイルの保存禁止など操作を制限することができます。

スマートフォンからの利用を部分的に許可させたいケース、例えば、個人使用のスマートフォンからコンテンツを閲覧することだけを許可させたいような場合に、管理側で権限をコントロールできるメリットがあります。

デバイストラスト

デバイストラストの設定

「信頼済みデバイス」以外からのアクセスを制限する機能です。

デバイス(Windows、Mac、iOS、Android)のOSバージョン、ドメイン参加の状態、クライアント側の証明書、ウィルス対策ソフトのインストールなどをチェックし、許可されていないデバイスによるアクセスを拒否することができます。

ドキュメントの電子透かし

電子透かし
コンテンツ(ファイル)に対して電子透かしを入れることが可能です。

これにより、プレビュー画面の画面キャプチャによる情報漏洩を抑止できます。

情報漏洩しても、「いつ」「誰から」漏洩したのかがバレます。

Office365、G Suiteとの連携

Boxにファイルを置きつつ、編集はOffice365やG Suiteを使うといった活用が可能です。

これにより、ファイルの作成や編集から共有といったコンテンツのライフサイクルを全てクラウドで完結できます。

ファイルは分散させずに、今まで使っていたオフィス系アプリを使えるのはいいですね。

Boxをよりセキュアに利用したい

ここまで紹介したBox標準機能だけでは足りない。よりセキュアに利用したいという企業には、シングルサインオン(及び多要素認証)やCASB(利用状況の可視化・制御)といったBox外のセキュリティソリューションとの連携も可能です。

Boxはエコソリューションという形でBoxの外のソリューションをアドインできるのも魅力の一つです。(これはセキュリティに限らずですが)

セキュリティを担保しつつ、利便性を高めるためには、まずはシングルサインオンや多要素認証といった外部サービスを導入してみてはいかがでしょうか。

まずユーザのIDを共通化して抑えられれば、Box以外のサービスを含めて統合的に可視化や分析、統制が可能となります。

かつ、シングルサインオンによりユーザの利便性もUPするのではないでしょうか。

まとめ

Box標準のセキュリティについて紹介しました。

今回はBoxの標準的なセキュリティ機能にフォーカスしてお伝えしましたが、今回紹介しきれなかった機能やオプションとして提供される機能(Box Shield、Box Governance、Box KeySafeなど)、また、より便利に使うための機能(Box Relayなど)もあります。

Boxの標準機能だけでもセキュアに利用できますが、よりセキュアに利用したいという企業では、こういったオプションの機能や外部サービスとしてシングルサインオン、利用状況の可視化や制御との連携を利用することをおすすめします。

NTTテクノクロスの提供するTrustBindではSSO環境と多要素認証及びクラウドサービスの利用状況の可視化も実現できるソリューションです。Boxとの連携の実績もございますので、ぜひBoxの活用と合わせてTrustBindもご検討ください。

※実際のBox画面からスクリーンショットを掲載。その他図版、テキストはNTTテクノクロスが作成。