• ガバナンス
  • セキュリティ
  • 運用・管理

Box導入とあわせて考えたい「ガバナンス強化」。社員の利便性とどう両立するか?

Box利用の「ITガバナンス」はどう実現するか?

「Boxをどう使うか」はユーザの責任

「Box」の導入により、外部とのファイル共有など利便性が大きく向上する一方、これをユーザが「どう使うか」はユーザ自身の責任に委ねられています。セキュリティ強化のためにBox導入を検討する企業も多く見られますが、運用面まで考えなければ抜け穴だらけになりかねません。
たとえば、Boxですべてのファイルを管理したい、という要望は多く聞きます。確かにBoxであればログを取得し、だれがどのファイルを共有したのかなども確認できますが、そもそもユーザがBox以外のサービスにファイルを格納していたらBoxでファイルの管理はできません。しかし残念ながら、このような行為はBoxだけで制御することはできません。

柔軟な仕組みで、ガバナンス強化と利便性の両立を目指す

禁止事項をルール化し運用するのもひとつの方法ではありますが、それだけでは限界があります。ルールで禁止されていても仕組みとして可能であれば、うっかりミスなどのリスクもありますし、悪意のある意図的な回避もあり得ます。ルールが本当に守られているかを確認しなければ、統制できているとは言えないでしょう。
ITガバナンス強化の観点で考えれば、こういったルールは仕組みとして整備すべきです。一方で、あまりに厳しく制限してしまうと、今度は「やりたいことがなにもできない」と利便性が問題になります。柔軟な設定で、細かなルールを実現できる仕組みが必要になります。

ITガバナンス強化をサポートするCASBソリューション「Netskope」

4つの機能で、クラウドサービスの利用を管理・制御

そのなかで注目したいのが、CASB(Cloud Access Security Broker)です。CASBは、ユーザとクラウドサービスの間でトラフィックをコントロールし、大きく下記4つの機能を提供します。

  • 可視化・分析:クラウドサービスの利用状況を可視化
  • データセキュリティ:アクセス権限や機密情報の持ち出しなどをチェック
  • コンプライアンス:セキュリティポリシーなどに則った監査を実施
  • 脅威防御:セキュリティ脅威の検出・防御

業務で複数のクラウドサービスを使い分けることが当たり前になった今、それらの管理・統制はCASBにより実施する必要があります。Boxの導入とあわせてCASBを活用することで、Box利用にまつわるガバナンス強化も実現できます。

CASBソリューションのリーダー的存在「Netskope」

様々なCASBソリューションのなかでもリーダーポジションに位置し、業界をけん引する存在と言えるのが「Netskope」です。Netskopeの特長は、前述したCASBで求められる4つの機能をすべて満たしていることはもちろん、クラウド上のゲートウェイでトラフィックを収集・制御する方式のほか、ユーザデバイスにエージェントをインストールするなど、複数のアーキテクチャを組み合わせて利用でき、利用状況にあわせた確実な対策が可能なことが挙げられます。これにより、「Box以外のサービスへのファイルアップロードをブロックする」といったルールを仕組みとして実現。また、多様な機能によるきめ細かな制御で、Boxによる一元管理を強力にサポートします。

より強固な「個人情報・機密情報の保護」を実現

個人情報や機密情報の優れた検知機能を提供する「DLP/Advanced DLP」

Netskopeのなかでも特筆すべきが、情報漏えい対策をサポートするDLP(Data Loss Prevention)です。これは、文書の中身を確認し、保護すべき情報であればアラート通知や、アップロードのブロックなどの対策を実行するもの。Box単体でもクレジットカード番号や特定の単語などを検知できますが、Netskopeではマイナンバーや不定形のキーワードも検知可能に。
さらに、Advanced DLPでは、文書の「フォーマット」を認識できます。たとえば、採用時に利用するエントリーシートのフォーマットや、決裁資料のフォーマットを事前に登録することで、該当するフォーマットを利用した資料がアップロードされたことを検知できるのです。これらはExcelやWordなどのデータだけでなく、PDF化した文書はもちろん、印刷物をスキャンしたデータであっても認識できることが特長です。該当するファイルを見逃すことなく、検知できるようになります。

Netskope × Box Shieldで実現する情報漏えい対策

DLP/Advanced DLPにより、「Boxの特定フォルダ以外に個人情報・機密情報を格納しない」というルールを実装できます。さらに、Boxが提供するセキュリティオプション「Box Shield」と連携することで、より強力な情報漏えい対策が可能に。Box Shieldは、付与されたラベル・分類に応じて、外部共有やダウンロードなどを制限する機能を提供します。つまり、NetskopeのDLPで「個人情報」・「極秘情報」などをラベル付けすることで、これらの外部共有を禁止できるように。こういった仕組みを整えることで、確実に「Boxのこのフォルダにしか個人情報は格納されていない」「機密情報は外部に共有されていない」といった状況を担保できるのです。

ほかにも様々なシーンで使える!Netskope × Boxユースケース

もちろんNetskopeの機能はこれだけではありません。そのほかの活用ケースについても紹介しましょう。

<ケース1>Box個人アカウントの利用を制限する

社員が会社で用意したアカウントとは別に、個人アカウント(無償版)でBoxを利用していることがあります。一般的なWebフィルタリングではPCを社外に持ち出した際にフィルタが機能しませんが、NetskopeではPCにインストールしたエージェントの働きによりPCがどこにあっても個人アカウントでのBox利用をブロック可能。確実に会社で用意したBox環境のみを利用する環境が実現できます。

<ケース2>GDPRなどに対応した情報統制を実現

グローバル展開を進める企業にとって、気になるのがGDPR(※)への対応。BoxはGDPR対応のプラットフォームとして利用可能ですが、重要なのは「Boxに格納した文書をその後どう管理するか」といった運用です。GDPRでは欧州で収集した個人情報を認められた国以外へ持ち出すことが禁止されているため、Boxに保存したヨーロッパ拠点の個人情報を東南アジアでダウンロードしてはNG。Netskopeなら、エリアを指定し、欧州以外からのダウンロードをブロックする設定が可能です。
もうひとつ、対応に注意が必要なのが中国。中国の場合、個人情報をBoxにアップロードすることもNGとなるため、「中国拠点からは個人情報のアップロードをブロック」という設定で対応します。
※General Data Protection Regulation:EU域内の個人データを保護するために、その取り扱いなどについて定めた規則

<ケース3>特権ユーザの操作を制限

Boxでは管理のために全コンテンツにアクセスできる「特権ユーザ」を用意することが一般的です。必要な権限とはいえ、どのコンテンツも自由に操作できる状態はリスク。Netskopeでは、特権ユーザのコンテンツダウンロードを制限することが可能に。「確認はできるけれど、ダウンロードできない」状態とすることで、リスクを最小化します。

<ケース4>IPアドレス制限もより柔軟に

Box自身にもIPアドレス制限の機能はあるのですが、これを利用すると指定されたIPアドレス以外では全機能が利用できなくなります。Netskopeを利用すれば、IPアドレス制限の内容を細かく設定でき、たとえば「機密レベルの高い情報のみ、社外では閲覧不可」といったことも可能。すべて禁止するのではなく、業務の利便性をある程度担保しながら、必要な情報を守る体制を実現できます。

Netskopeでより柔軟な管理を実現

禁止だけじゃない。「ピンポイントの許可」でより便利に

一般的にCASBは「なにかを禁止する」ツールのイメージが強くありますが、それだけではありません。なにかを「許可する」ことも可能であり、ここでも細かな設定が可能なNetskopeが強みを発揮します。たとえば、FacebookやYouTube。個人向けの印象が強いこれらのサービスも、業務での情報収集に有効なコンテンツが増えています。これまでのWebフィルタリングでは閲覧も投稿もまとめて禁止するしかありませんでしたが、Netskopeでは「投稿は禁止、閲覧は許可」と設定できます。さらには、「公式アカウントを運用するマーケティング部門のみ、投稿も可能」という設定も可能です。禁止するだけでなく、必要なものは適宜許可するということも、ガバナンスでは重要になります。

Netskope Private Accessで、容易にテレワーク環境を整備

また、テレワーク環境を整えるにあたっても、Netskopeは有効です。社外からクラウド上の基幹システム(SAP HANA Cloudなど)を利用するにあたって、一度社内にVPNで接続し、社内ネットワークを経由してアクセスしているケースは多いのですが、クラウドにあるサービスを利用するにもかかわらず、社内を経由するのはあまりに非効率です。Netskopeでは「Netskope Private Access」という機能を提供。これは、Netskopeのクラウド基盤を経由することで、オンプレミス環境・クラウド環境へのシームレスな接続を実現するもの。社内を経由せずにクラウドサービスへのアクセスを実現するほか、VPN接続のためのファイアウォール設定も不要になり、社内・オンプレミス環境への接続が容易に。さらにオンプレミスでも必要なアプリケーションに限定して、社外からの接続を許可することも可能。「社外で仕事を進める」ために必要な環境をより手軽に実現できます。

企業ごとのニーズや事情にあわせた、活用法を提案

Boxを日本企業に適用するための豊富な導入実績とニッチなノウハウをもつ丸紅ITソリューションズですが、さらにNetskopeと組み合わせることで、企業ごとの事情やニーズ、運用にあわせて「コンテンツ管理のITガバナンスを、どう実現するか」をサポート。どこまではBoxで実現・制御できるのか、Boxだけではなにができないのか、Netskopeでなにを設定できるのか、各製品・機能に精通したエンジニアが企業ごとに最適な方法を提案いたします。

recommended

こちらも興味はございませんか?