• ガバナンス
  • 運用・管理

Box標準機能では対応しきれない、日本企業独自のガバナンスルール…どう運用すべき?

Box導入時には「ガバナンスルールへの対応」が課題に

自社のガバナンスルールにBox標準機能で対応できない

「Box」導入時に企業が悩む課題のひとつに、「自社のガバナンスルールに沿った運用をどう実現するか」があります。Boxに業務上の機密ファイルを格納する際のルールや、外部とのファイル共有に関するルールなど、「Boxは例外」とはいかず、当然、既存のガバナンスルールに沿った運用が求められます。しかし、日本企業が求めるきめ細かなルールはBoxの標準機能では対応しきれないケースは少なくありません。運用での対処も限界があり、「内部監査で指摘されてしまった」などの声も多く聞かれます。

日本企業ならではの事情を汲んだ“かゆいところに手が届く”エコソリューション

丸紅ITソリューションズでは、様々な企業の導入を支援するなかで、いただいた要望を実現するために様々なツールを開発してきました。これらのツール群をエコソリューション「Light CASB for Box」として提供。日本企業特有の事情や文化などを理解している丸紅ITソリューションズだからこそ開発できた“かゆいところに手が届く”ソリューションとなっており、Box標準機能だけでは対応しきれなかった部分を補い、ガバナンスルールに沿った運用を実現します。
今回は、Light CASB for Boxより特にニーズの高い機能をピックアップし、各機能が求められる事情や活用法を紹介します。

このルールにどう対応する?Light CASB for Box活用例

<ルール1>フリーメールの招待を禁止したい

Boxではファイルやフォルダに対して外部ユーザを招待し、共有することができます。社外・取引先とのファイルのやり取りに便利な機能ですが、業務上のファイルをやり取りするからには「だれでも外部ユーザとして招待できる」状況ではなく、一定の制限を設けた運用が必要になります。特に懸念されるのが、社員が自身のフリーメールを利用して、外部ユーザとして招待し、ファイルを利用するシャドーIT。そのため、「フリーメールの招待は禁止」というルールで運用する企業が多く見られます。
Boxのアドオン製品「Box Governance」では招待できる外部ユーザを制限する機能が提供されていますが、ホワイトリスト方式のため招待を許可するドメインを登録しなければならず、取引先企業が多い場合などは現実的ではありません。
Light CASB for Boxではブラックリスト方式で招待禁止のドメインを指定する機能を提供。主なフリーメールのドメインを登録することで、フリーメールの招待を禁止できます。

<ルール2> 脱PPAP!でも、共有リンクはパスワード必須にしたい

Boxにおけるファイル共有は、「社内メンバーのみ閲覧可能」「招待した外部ユーザが閲覧可能」「共有リンクより誰でも閲覧可能(オープンリンク)」の大きく3段階に分けられます。外部ユーザとして招待する場合、相手もBoxアカウントを取得する必要があるため、リンクをクリックするだけで誰でも閲覧可能な共有リンク(オープンリンク)のニーズは根強くあります。共有リンク(オープンリンク)にはパスワードを設定できるのですが、パスワード設定はあくまでも任意。Boxの機能としてパスワード設定を必須化することはできないため、パスワードがないまま、誰でも閲覧できるURLでファイルが共有されるリスクがあります。

Light CASB for Boxでは、この状況を回避するため、ログを監視し、パスワードなしで発行された共有URL(オープンリンク)を検知し次第、無効化。同時に共有URL(オープンリンク)の発行者に対して通知もおこない、パスワードつきで共有URL(オープンリンク)を発行するよう促します。これにより、「パスワードなし共有URL(オープンリンク)は不可」の運用を徹底できます。

<ルール3> 「知らないうちに〇〇が招待されてた!」を撲滅

Boxのフォルダ作成やユーザ招待をワークフローで運用する企業は多くありますが、すべてのフォルダについてこの運用を徹底するのは非効率な面もあります。
ある企業では、ワークフローと併用し、一部の領域に関して、部門長などが親フォルダの責任者となり、その配下のフォルダは課長・マネージャーそれぞれにフォルダ作成などを任せる運用をとることに。ユーザの招待も基本的には任せる運用ですが、「誰を招待したか」は責任者がしっかりと把握したいと考えました。
そこで、Light CASB for Boxでは、ユーザ招待時に共同所有者全員に通知する機能を提供。配下のフォルダへの招待をすべての責任者が把握できる仕組みを実現しています。

<ルール4> まさか!?招待禁止フォルダなのに招待されてる!を抑止

Boxのフォルダについて、招待不可能な領域(フォルダ)と招待可能な領域(フォルダ)を分けたうえで、招待時には上長の承認を得るという運用が一般的です。
しかし、実はBoxではフォルダを移動すると、フォルダの招待者を維持したまま移動してしまいます。つまり、招待可能な領域で作成・招待したフォルダを、招待不可能な領域に移動した場合、「招待不可能な領域内のフォルダなのに、招待されたユーザがいる」という矛盾した状態になってしまうのです。
Light CASB for Boxを活用することで、招待不可能な領域にフォルダを移動する際に、招待を一括クリアすることが可能に。ガバナンス上問題がある状況を回避します。

<ルール5> 悪意満点のなりすまし!ユーザ名の変更を禁止したい

企業でBoxを利用する場合、当然ユーザ名もルールに則って社員の氏名を設定した状態で展開しますが、Boxでは社員自身でユーザ名を変更することが可能であり、これを禁止する機能はありません。
ユーザ名を変更できるということは、たとえば一般社員が上長や経営陣の名前を騙る「なりすまし」もできてしまうということ。上長宛ての招待を詐取することもできてしまい、大きなリスクと言えるでしょう。
これを解決するために、ログを監視し、ユーザ名変更を検知し次第、もとに戻す機能を提供。「もとに戻す」には正しいユーザ名を保持する必要がありますが、この点はプロビジョニングを支援するエコソリューション「CSV Sync for Box」と連携し、管理者が登録したデータを正とし、不正なユーザー名への変更を修正(ロールバック)します。

<ルール6> フォルダが消えた!?組織フォルダ名を勝手に変更させない

Box全社導入時には、部署ごとなど必要なフォルダをあらかじめ用意し、所属する社員にアクセス権を設定した状態で展開するのが一般的です。しかし、ここで多く見られるのが「誰かが管理フォルダの名前を変更してしまい、フォルダが見つからなくなった」というトラブルです。
その一因となっているのがBoxの「お気に入り」機能。招待されたフォルダを整理するために、よく使うものを登録できるのですが、これを「ブラウザのお気に入り・ブックマーク」と同じ感覚でとらえ、お気に入りに登録したフォルダの名前を変えてしまうケースが一定数見られます。ブラウザのブックマークであれば、自分のPC環境にしか影響しませんが、Boxの場合は、全員のフォルダ名が変更されてしまうため、大きな問題になります。
こちらもLight CASB for Boxによりログを監視して、フォルダ名の変更を検知し、あるべき状態に戻すことが可能です。ガバナンス観点よりもスムーズな運用を支える側面が大きくなりますが、こういったトラブルはBox利用の妨げになりかねないもの。仕組みとして「変更できない」状態を担保することをお勧めします。

多くの企業のニーズに応えてきた「Light CASB for Box」

Boxのガバナンス運用について、日本企業の事情にあった解決策を提案

丸紅ITソリューションズではこれまで多くの企業からの相談に対応し、Boxの機能と企業のニーズのギャップを埋めてきました。Light CASB for Boxには今回紹介した以外にも多くの機能が実装されており、日本企業ニーズに応えられる完成形に近づいていると言われています。
Box導入を成功させるには、導入前の段階で運用課題・懸念事項を整理し、解決策を用意しておくことが重要です。自社のガバナンスルールにBoxの機能でどこまで対応できるのか、運用で対処するのか、なんらかの仕組みが必要なのか、PoCなどにより事前に検証することをお勧めします。

recommended

こちらも興味はございませんか?