組織全体のセキュリティレベルを向上させるエコソリューションも紹介

重大脅威は“コンテンツ”を狙う　集約だけではないBoxのセキュリティ対策

　Box Japanは、2024年3月12日、“コンテンツセキュリティ”に関するメディアセミナーを開催。社会的に影響の大きな脅威が、主に“コンテンツ”を狙っていることに対して注意を促すと共に、そのコンテンツを集約するBoxにおけるセキュリティ対策を紹介した。

　セミナーの冒頭、情報処理推進機構（IPA）が1月24日に公開した「情報セキュリティ10大脅威 2024」にて、ランサムウェア、サプライチェーンが2023年に続き1位と2位に、そして内部不正による情報漏えいが3位に上昇したことが紹介された。Boxはこれを「コンテンツを標的とする脅威が上位を占めている」と指摘する。

　情報セキュリティ10大脅威の選考メンバーも務めるBox Japanのソリューションエンジニアリング本部 ソリューションエンジニアである結城亮史氏は、2024年の脅威被害を振り返り、「ランサムウェア攻撃は、より直接にシステムの停止の原因となり、サプライチェーン攻撃では、信頼関係のある他組織を経由した攻撃を通じて、顧客情報の漏洩が多数した」と説明する。

　特に、前年の4位から3位に上昇した内部不正による情報漏えいに関しては、東京商工リサーチのレポートでも、「不正持ち出し・盗難」の事件数が2022年の5件から2023年には24件と約5倍に増加している。「顧客情報を業者に販売したり、前職で保有していた名刺情報を転職先に提供するなど、従業員・元従業員による情報管理システムからの持ち出しが増加している」と結城氏。

　上位の脅威に共通する要素は、組織や企業にとって重要なコンテンツや個人情報を狙うものだとし、コンテンツセキュリティの重要性を強調した。

Boxにコンテンツを置くだけでセキュリティ強化に

　こうした重大脅威の現状を踏まえ、結城氏は、Boxに組み込まれたセキュリティ対策の一部を紹介した。「Boxはクラウドストレージとして“ファイルの置き場”と捉えられがちだが、セキュリティ対策にも注力しており、Boxに“コンテンツを置くだけ”でセキュリティ強化につながる」と説明する。

　まず、内部不正対策としては、Boxはコンテンツに対して“ラベル”付けができ、ラベルごとにポリシーの適応ができる。例えば、「機密情報」のラベルが付いたコンテンツに対して、ダウンロードを禁止したり、社内以外の共有を禁止したりと、コンテンツ活用における“ガードレール”を設定できる。これにより、誤操作や悪意のある行動による情報漏えいを根本から防ぐとする。

　情報持ち出しの予兆となる、大量ダウンロードの発生も検知できる。機械学習を用いて通常と異なる挙動のダウンロードを自動検知する仕組みだ。

　サプライチェーン対策としては、複数の認証方式により“なりすまし”を防止する。標準機能として多要素認証を用意していることに加えて、他社のSSO（シングルサインオン）サービスとも連携が可能であり、企業の環境に合わせて認証方式が選べる。

　ランサムウェア対策としては、多層のマルウェア検知機能を備える。コンテンツのアップロード時にはリアルタイムでウィルスを検出するが、このときパターンマッチングと機械学習によって既知・未知の脅威の双方に対応する。

　また、アップロードした時点でコンテンツのバックアップをとっているため、ランサムウェア攻撃で暗号化されてしまった場合にも、ひと世代前のバージョンから順次復旧することができる。

　その他にも複数のランサムウェア対策が備わっており、標準では基本的な防御機能が、セキュリティオプションである「Box Shield」では高度な防御機能が提供される。前述のパターンマッチングによる検知や常時バックアップによる復旧は標準機能として利用でき、機械学習による未知のマルウェア対策やウィルス検出時のダウンロード・共有の自動制限などはBox Shieldでの提供となる。

　前出のラベル付けによるポリシー適用や、大量ダウンロードの検知などもBox Shieldの高度な脅威対策機能であり、最上位エディションである「Enterprise Plus」では、Box Shieldを含むすべての機能を利用可能だ。

　Box Shieldでは、今後、ランサムウェア対策に特化した「ランサムウェアプロテクション」を提供予定。エクスプローラー形式でローカルとBoxをつなぐ“Box Drive”の異常を検知してランサムウェア被害を防止する機能や、管理コンソールからより容易にコンテンツを復元できる機能などを展開する。

組織全体のセキュリティレベルを向上させるエコソリューション

　結城氏は、「Boxだけでも十分なセキュリティ対策を用意しているが、エコソリューションを合わせて利用することで、組織全体のセキュリティレベルを上げられる」と説明、国内パートナーと進めるセキュリティ連携について紹介した。

　ひとつ目はHENNGEの提供するクラウドセキュリティサービス「HENNGE One」との連携だ。ゲスト登壇したHENNGEの今泉健氏は、「HENNGE Oneは、クラウドを利活用したいユーザーの障壁を取り除くサービス」だと説明する。

　HENNGE Oneは、メールセキュリティである「HENNGE E-Mail Security Edition」とIDaaSである「HENNGE IdP Edition」からなり、それぞれの領域でBoxと連携する。

　「HENNGE Secure Download for Box」は、メールにファイルを添付するだけで、Boxにファイルが自動アップロードさて、Boxの共有リンクが発行される“脱PPAP”サービスだ。共有リンクに強制的にパスワードが付与することでセキュリティを担保し、「仮に誤送信が起きた際にも、その共有リンクをHENNGE One上で停止でき、コンテンツはBoxのセキュリティ機能を享受できる。利便性とセキュリティの両面、HENNGEとBoxの両面で、クラウド利活用の課題を解決する」と今泉氏。

　IDaaSの領域おいては、Boxをはじめとする300以上のSaaSに対してシングルサインオンや多要素認証（MFA）を提供し、コンテンツを活用する主体となるユーザーのアイデンティティを守る。Boxの標準機能とあわせて、不正ログイン対策を強化できる。

　2つ目は、Eugridの提供するリモートワークPC向けのデータ漏えい防止ソリューション「True Office」との連携だ。Eugridでは、データの保存先であるPCを信用することがリスクの根本原因だとして、あらゆるデータをPCに保持させず、信頼する外部ストレージへ強制的に集中させる“データ・ゼロトラスト”という新コンセプトを打ち出している。その“信頼する外部ストレージ”としてBoxと連携する。

　True Officeは、API連携を用いてユーザーデータをBoxに集約、Box上のユーザーデータは仮想化され、あたかもローカルにあるかのようにアクセスできる。Eugridの岡本繁太氏は「データ・ゼロトラストに基づいてユーザーデータを強制的にBoxに集約することで、Boxのコンテンツクラウドとしてのコラボレーションと保護の力を最大限に引き出すことができる」と説明する。

　True OfficeとBoxとの連携により、PCの不正な持ち出しやテレワーク時の盗難、紛失などによる情報漏えいリスクを排除し、自動的に中央ガバナンスも向上する。ランサムウェア攻撃に対しても、True Officeの独自の同期エンジンでユーザーデータが漏れなくBoxに強制集約されることで、Box自身のランサムウェア対策機能の適応範囲が広がり、暗号化ファイルがBoxに送り込まれることもなくなるという。