Boxの情報漏洩対策を考える – エンジニアの視点から
Boxは招待・共有リンクといった外部共有機能が非常に魅力的です。容量無制限なので、ファイルサーバの時のようにエンドユーザに古いコンテンツ整理をお願いする必要もありません。一方、誤操作や内部不正による情報漏洩を心配する声も多いのです。
本コラムでは、Boxにおける情報漏洩対策について深掘りしていきます。
フォルダ・アクセス権限の設定
まず基本中の基本、フォルダとアクセス権限の設定です。格納する情報資産の機密度・重要度に応じてフォルダを分けることが重要です。そのうえで、ユーザを招待できる権限、共有リンクを発行できる権限を決めます。一例として、機密フォルダの招待権限は役職者のみに割り当てる、共有リンクは「招待されたユーザーのみ」の公開範囲で発行できるようにして、「会社のユーザー」や「リンクを知っている全員」(オープンリンク)では発行できないようにする、というものです。フォルダ・アクセス権限の設計をしっかりと行えば、社外秘のファイルでいつのまにかオープンリンクが発行されていた、というような事態は防ぐことができます。
ウォーターフォール型(親フォルダの権限が必ず下位のフォルダに継承される)がBox特有の仕様です。ファイルサーバとは異なるフォルダ構成になることが多いので、エンドユーザトレーニングでしっかりと周知していきましょう。
Box Shieldの分類ラベル
フォルダ・アクセス権限の設定と関連して検討したいのが、Box Shieldのスマートアクセス(分類ラベル)の機能です。「社外秘」「機密情報」などのラベルを付与し、それに基づいて共有制限をかけられます。例えば、「機密」ラベルが付いたファイルでは、ダウンロードを禁止したり、オープンリンクの発行を禁止することができます。ラベルはコピーまたは移動しても外れないので(※)、オープンリンク発行可能なフォルダにコピー/移動されたとしても、外部に共有されることをラベルが守ってくれます。誤操作や内部不正による情報漏洩リスクを大幅に低減できる強力な機能です。
(※)社内の管理対象フォルダへのコピー/移動時の挙動です。招待された社外テナントへのコピー/移動ではラベルが適用されないので注意しましょう。
外部共有操作の制御
次に、運用面でのアプローチです。ユーザが自身のフリーメールで作成したアカウントを招待し、個人の領域にデータを持っていってしまう。外部ユーザーを「共同所有者」で招待してしまい、外部ユーザには許可していないはずの操作をされてしまう。退職したはずの外部ユーザの権限がプロジェクトフォルダに付与されたままで、ある時ダウンロードした形跡が…。こういったリスクへの対処も要検討です。Box利用のガイドラインをエンドユーザにしっかりトレーニングすることはもちろんのこと、システム面での対処ができれば理想的です。Box Governanceでのホワイトリスト機能や、フォルダの通知やアクティビティログの定期的なチェックで不正な操作を対処する、などの運用方法を決めておきたいところです。
ただ、これらはBox担当者の運用負荷が課題になるため、Boxエコソリューションの活用もご検討ください。当社では、「Light CASB for Box」(クラウドサービス版もあります)というエコソリューションを自社開発し、お客様にご提案しています。
Boxの仕様の理解と周知
Boxの要注意事項をエンドユーザに周知しておくことも重要です。
専用のソリューションで端末のウィルス感染対策をしていても、外部ユーザを招待しているとBox上にウィルスファイルが格納されるリスクも考慮ポイントです。「ウイルススキャン時の通知およびメタデータ追加の有効化」を行うことで、Boxが利用するウイルス対策ソフトによってウイルスが検知された際に、管理者およびフォルダ所有者(共同所有者は含まない)に通知されるようになります。この機能はオプション申請が必要なので、Boxライセンスをご契約の代理店にご確認ください。ただし、「通知」のみなので対処は別途必要です。ウイルス検知したファイルにはメタデータが付与されるので、エンドユーザにはこのメタデータが付与されたファイルがあった場合にはダウンロードしないよう周知しておきましょう。
また、意外な仕様として、外部ユーザへの権限付与を禁止しているはずのフォルダ配下に外部ユーザの権限が付与されているということがあります。これは、「外部ユーザへの権限付与を”許可”しているフォルダ」を切り取って「外部ユーザへの権限付与を”禁止”しているフォルダ」配下に移動すると、アクセス権限が削除されずに引き継がれる仕様によって起こります。設定の異なるルートフォルダ配下にフォルダを移動されることがないよう、フォルダ・アクセス権限の設定やユーザトレーニングで対処することが大事です。
棚卸による監査・牽制
防止とあわせて、監査による対応も有効です。「誰が招待操作を行ったのか」「誰がどんな共有リンクを発行したのか」を棚卸する運用としておけば、不正な操作を検知することができますし、エンドユーザには「会社に見られている」と牽制する効果もあります。Boxのアクティビティログやコラボレーションレポートで外部共有状況を確認できます。
<応用編>Netskopeとの連携
より高度なセキュリティを求める場合、Netskopeとの連携を検討しましょう。機密情報を公開フォルダに格納してしまうといったBox内の誤操作をDLP機能で対処したり、他のクラウドストレージへのアップロードをCASB機能でブロックすることが可能です。許可していないサービスの利用を防止するシャドーIT対策はもちろんのこと、「閲覧は許可するがアップロードは禁止する」という柔軟な制御ができるので、エンドユーザの利便性を落とさずに情報漏洩対策することができます。
=====
以上、Boxにおける情報漏洩対策について解説しました。機能やプラクティスを適切に組み合わせることで、利便性を損なうことなく、高いセキュリティレベルを維持できるはずです。
それでは、Happy Secure Sharing!