「誤って情報公開」を防げ――正しい設定とガバナンス要件を満たすには “Boxマニア”とセキュリティのプロが解説

PR／ITmedia

PR

　今やすっかりビジネスシーンに根付いたクラウドストレージサービス。社内外のコラボレーション相手とファイルをやりとりする際、かつてはメールにファイルを添付して送信するのが一般的だったが、最近は「Box」や「Microsoft SharePoint」「Google Drive」などを使ってファイルを共有するケースが増えてきた。

　国内におけるクラウドストレージサービスの普及は、言うまでもなくコロナ禍が大きなきっかけとなった。出社に制限がかかり、多くのビジネスパーソンがリモートワークを余儀なくされて社内のファイルサーバを介していたファイル共有ができなくなり、業務に大きな支障が生じた。代替策として一気に脚光を浴びたのが、セキュアにファイルを共有できるクラウドストレージサービスだ。

　その先駆けとも言えるBoxは充実したセキュリティ対策と高い利便性が企業の間で評判となり、一気にユーザーを増やした。だがその利便性の高さは理解しつつも、Boxの運用に課題が生じたり、自社のITガバナンスやセキュリティポリシーの要件を満たせず導入を断念したりするケースもある。

MISOLの増田健吾氏

　「Box導入企業の20％以上を日本企業が占めており、日本企業とBoxの相性は高いと言えます。ただしBoxは米国企業が運営するサービスなので、日本企業が求める“かゆいところ”、つまり、きめ細かな要件には対処できないことも多々あります」

　こう語るのは、丸紅ITソリューションズ（以下、MISOL）の増田健吾氏（Box事業部エンジニアリード）だ。自社のセキュリティポリシーで「外部とファイルを共有する際は必ずパスワードを設定すること」と定められていても、Boxの標準機能だけでは共有リンクへのパスワード付与を必須化できない。これはあくまでも一例で、他にも日本企業が求める厳格なセキュリティポリシーやコンプライアンス要件にBoxの標準機能だけでは対応できないケースがある。

Boxの設定内容を第三者の立場で診断・評価する「Box設定診断サービス」

　このギャップを埋めるためには、Boxの利用状況を厳格に監視する体制や仕組みを整備したり、機能不足を補う独自ツールを新たに開発したりする必要がある。しかし自社でこれらを全て賄うには相当の手間とコストがかかる。場合によってはBoxの導入による生産性向上の効果が帳消しになってしまう可能性もゼロではない。

　こうした課題や懸念を抱える企業に対して、セキュリティ対策やガバナンス管理の要件に応じるソリューションを提供しているのがグローバルセキュリティエキスパート（以下、GSX）だ。

　同社はセキュリティ対策の幅広いサービスやソリューションを展開している。2025年2月にユーザー企業のBox設定状況を第三者的立場から診断・評価する「Box設定診断サービス」をリリースした。複雑でミスが起こりやすいBoxのテナント設定に脆弱（ぜいじゃく）性を含む要素があるかどうかを診断して、結果を報告するというものだ。

　サービスを始めた背景について、GSXの後藤慶氏（上席執行役員 CS事業本部 副本部長 兼 CN統括部 統括部長）は次のように説明する。

GSXの後藤慶氏

　「経済産業省が企業のセキュリティ対策を格付けする制度の導入を検討していることからも分かる通り、セキュリティ対策の状況を第三者の観点から客観的に評価することの重要性が増しています。Box設定診断サービスはユーザー企業のBox環境の設定を弊社が直接チェックし、設定内容を業界標準のセキュリティ規格と照らし合わせて評価するとともにユーザー企業のセキュリティポリシーに合致しているかどうかを確認します」

　かつて、クラウドストレージサービスの設定ミスによってファイルをインターネットに意図せず公開してしまう事案が続発したが、そうしたリスクは引き続き存在している。これを防ぐには定期的にサービスの設定内容を見直すことが肝要だと後藤氏は強調する。

　「ユーザーが設定値を1つ変えるだけで、大量のファイルを一気に公開してしまったり意図せず不用意に外部公開をしてしまったりするリスクがあります。背景には、日々変わる機能追加などによって現状の設定内容をユーザーが正確に把握できないことも多々あります。本来はSSPM（SaaS Security Posture Management）ソリューションなどでモニタリングを常時行うべきです。Box設定診断サービスはそうした点をあらためて見直して、全ての設定内容を正確に可視化すると同時に各種設定の意味を理解することを重要視して、明らかにまずい設定がある場合は是正や改善を提案します」

全ての設定内容を可視化して、是正や改善ができるBox設定診断サービス（出典：GSX提供資料）

Boxのセキュリティガバナンス機能を強化する「Light CASB for Box」

　Boxの標準機能ではカバーできないセキュリティガバナンス要件を、独自に開発したツールによって補完するのがMISOLの「Boxエコシステムソリューション」だ。同ソリューションは、Boxの機能を補完するために開発したソフトウェア群だ。

　中でも、セキュリティガバナンス要件に対応する製品が「Light CASB for Box」だ。多くのユーザー企業から寄せられた「セキュリティリスクを回避するためにこんな操作を抑止したい」というニーズのうち、Boxの標準機能では実現できないものを実装した。

　その仕組みについて、MISOLの柴田大輔氏（プロダクト事業部エンジニアリード）は次のように説明する。

　「Boxが出力するログをリアルタイムで監視して、抑止したい操作の実行を検知したらこれを是正するための処理を“後追い”で行います。フォルダ名の変更を禁止しているにもかかわらずユーザーがフォルダ名を変更したことをログで検知すると、元のフォルダ名に戻して、その操作をしたユーザーに注意を促すメールを送信できます」

　他にも「マルウェアが検知されたファイルの非活性化」「外部ユーザーの権限の制限」など、多くのユーザー企業から要望があった機能を約20個実装しており、厳格なセキュリティポリシーに幅広く対応できる。導入事例も多数あり、増田氏は「私がBox導入を担当したユーザー企業の8〜9割はLight CASB for Boxを利用しています」と言う。

Boxの機能を補完できるLight CASB for Box（出典：MISOL提供資料）

Boxの招待・共有の履歴を可視化して不正を抑止する「Log Reporter for Box」

　もう一つ、Boxの標準機能を補完するツールとしてMISOLが提供しているのが「Log Reporter for Box」だ。これは「いつ、誰が、どのユーザーを招待したか」「どんな共有リンクをいつ発行・削除したか」といった履歴をログから収集し、簡潔なレポートにまとめて管理者に提供する。Boxの外部共有機能が自社のポリシーに沿って適切に運用されているかどうかを効率的にチェックできる。

MISOLの柴田大輔氏

　「Boxの標準機能の『アクティビティレポート』でもこれらの情報は確認できますが、情報量が多過ぎるレポートから適切な共有状況かどうかを子細にチェックするのは至難の業です。Log Reporter for Boxは対象フォルダごとにレポートを分割して現場責任者に配布できるため、共有状況の監査を現場責任者に委任できます。IT部門は監査結果の報告を受ければよいというわけです。Log Reporter for Boxで現場責任者ごとに分割したレポートを社内に公開すれば、Boxの利用状況を常に監視していることを周知して不適切な利用をけん制する効果も期待できます」（柴田氏）

　同製品は、共有と削除の履歴を全て可視化することで過去にさかのぼって不正利用をあぶり出せる。スナップショットを基に「処理時点での全ての招待・共有の状況」をレポートする「Log Reporter for Box（棚卸 Edition）」という製品もある。その名の通り、共有の現状を可視化して棚卸ししたいというニーズに応えて機能を絞り込んだものだ。現在はオンプレミス版のみだが、クラウドサービス版の提供も予定しているという。

Boxの招待や共有の履歴を可視化して、不正を抑止するLog Reporter for Box（出典：MISOL提供資料）

GSXとMISOLの連携ソリューションでより安全・安心なBox環境を

　GSXとMISOLは両社のサービスや製品を組み合わせることで、ユーザー企業により安全・安心なBox環境を提供したいと考えている。Box設定診断サービスで設定における脆弱性を特定し、それを補完するためにLight CASB for BoxやLog Reporter for Boxを利用するという形で互いの強みを掛け合わせたシナジー効果を狙っていきたいと後藤氏は話す。

　「まずは現存するリスクをユーザー企業に認識してもらうのが、Box設定診断サービスで目指すゴールです。見つかったリスクを解消するための具体策として、MISOLさんのLight CASB for BoxやLog Reporter for Boxが有効であるとユーザー企業が判断した場合は積極的に紹介したいと考えています」

　増田氏は、両社の連携は「決して“Boxありき”ではない点が重要なポイント」だと強調する。

　「GSXさんのBox設定診断サービスは、あくまでも独立した第三者として世間一般の標準に照らし合わせてユーザー企業の状況を評価するものです。決して“Boxありき”“MISOLありき”ではありません。両社ともBox関連の製品やサービスを幅広く取り扱っているので、そちらで対処した方がよい場合はより適切な対策を提案致します」

　“Boxありき”ではなく、ユーザー企業のポリシーや環境を考慮して過不足のない現実的な施策を提案できるのが両社の特徴であり、今後もこの強みを生かしながら協業の範囲を広げていきたいと同氏は抱負を語る。

　「エンドユーザー向けのセキュリティ教育やインシデント対応演習など、GSXさんは弊社が持っていないサービスを数多くお持ちです。今回ご紹介したBox関連の製品やサービスはもちろん、ユーザー企業から要望を頂いた際はGSXさんのサービスを積極的に提案しながら、ユーザー企業にとって最適なIT環境づくりを支援したいと思います」