はじめに
企業の情報資産は、クラウド上のストレージ(クラウドストレージ)に保管することが多くなりました。これにより従業員は社屋外からのアクセスをはじめとして多くのメリットを享受できるようになっています。ただ一方でクラウド上に情報資産を保管することに伴う、セキュリティ観点での脅威は増しています。今回は三井情報で取り扱っているコンテンツ管理サービス「Box」でできるセキュリティリスク対策についてご紹介します。
クラウド上に対するセキュリティは昨今ではゼロトラストと言われるような防御の仕組みがありますが、ここではBoxのセキュリティの話に特化します。
クラウド化された情報資産
これまではファイリングした紙の書類をキャビネット(書庫)へ格納し、各部署の責任で保管していました。そして参照可能な人だけが取り出せるように施錠管理しセキュリティ対策としていました。電子ファイルが普及した際も、社内ネットワーク上にあるファイルサーバが適切に管理されていれば、基本的なセキュリティ対策はできているといえる状態でした。
しかし、ここ数年でBoxをはじめとするクラウドストレージを利用する動きが加速しています。そして、社内ストレージとしての利用だけではなく、働き方改革やDX推進の掛け声とともに社員が社外からアクセスできることや、取引先など社外の人とも文書を共有する必要性が増してきています。
ここでIPA独立行政法人の記事から引用した組織での情報セキュリティ10大脅威を見てみましょう。
情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
このように組織におけるリスクはいくつも存在するため、データやコンテンツを正しく管理することが重要になります。また、上記のTop10の中でクラウドのストレージに保管する社内資料に関連してくるものは6個あり、これらのリスクに対する対策が必要となってきます。
※前述の組織向け10大脅威より社内資料に関連するものを抜粋、「リスク内容、操作」を追記
クラウドストレージの情報漏洩対策は、大別してクラウドストレージのユーザー側の対策とシステム的な対策があります。このうちユーザー側の対策は主に情報資産に対する運用の仕組み作り等の対策と、クラウドストレージの機能を活用した技術的な対策が挙げられます。
まずは基本対策として運用の仕組み作りから見ていきます。
情報資産を正しく管理する
情報漏洩リスクを低減するためには情報資産を正しく管理することが重要です。正しく管理するとはどういうことでしょうか?様々な情報資産=文書を整理して、分類して、と少々手間がかかる作業イメージです。
振り返れば「クラウドだから」ではなくファイルサーバの時代から緩やかな管理で、正しく管理できているとは必ずしも言えない状況が発生しがちでした。この状態をはたして安全と言い切れるでしょうか。管理できていない=情報漏洩リスクがあるとも言えます。
また業務効率もよいとは言えません。Boxも四半期ごとに基本機能だけでなくセキュリティを強化する機能や利便性を向上する機能などが拡張されていますが、運用の仕組みが整っていないと機能を充分使いこなせず、利便性だけを享受することは残念ながら難しいです。文書を正しく管理をするためには整備された仕組みと運用が必要となります。
これを文書管理の手法に倣って管理するのが1つの方法で、会社資産を体系的に正しく管理するアプローチです。その管理方法の深さは会社によって異なります。重要なのはその会社にとって定められた必要な管理ができていることです。
文書管理とは主に以下の項目を実施することとなります。
- 文書の公開範囲などで整理する分類と整理
- 分類・整理に対応した適切なアクセス権限の設定
- 最新ファイルの維持、変更履歴の管理などを行う履歴管理
- 保管期限や廃棄ルールの管理を行うライフサイクル管理
- 業務で有効活用できるように検索性を高めるための検索機能の強化
- 改竄や漏洩を防止するためのセキュリティ対策
文書管理を実施するアプローチとして以下3つの点が挙げられます。
- 見直しも含め規程を整備する
- オンライン教育や説明会による社内のルールの周知
- ルール順守、リテラシー向上など社員の意識を向上 ※セキュリティに対する意識向上も必要
そして文書管理によって得られる効果は以下3点です。
- 業務効率向上:最新版を容易に閲覧でき、必要な文書を探すしやすくなり時間を短縮できる。
- 法令文書の保護:法令で定められた文書の紛失、喪失を防ぎ、いつでも取り出せる。
- セキュリティの向上:改竄や情報漏洩が防げる、または発見しやすくなる。
セキュリティリスクを低減するだけでなく、合わせて業務効率を低下させず向上していく方法が必要です。このような文書管理の手法で一定の効果は得られます。
Boxで情報資産を守る
規程を策定し、教育を実施することでルールを順守するようになり、誤操作を含む人為的なミスを低減することは可能ですが、ゼロにはなりません。また悪意のある内部犯行や外部からの攻撃に対する予防は困難であり、事後発見はできたとしても予防はできず情報漏洩してしまう潜在リスクが存在します。ここは管理者として、さらなるリスク低減の施策を打っておきたいところです。
これまでファイルサーバでは誤操作でコピーをしても社内に限られるので情報は守られていましたが、クラウドストレージでは外部ともファイルを共有するため、よりしっかりとしたリスク対策が必要になると考えます。
例えば下記の3つのリスクが潜んでいます。
- 不注意による操作
- 悪意による操作
- マルウェアなど外部からの攻撃
Boxでも基本的なセキュリティ対策はできますが、先に述べたルールをシステム的に実現するために情報漏洩の対策としてBox ShieldやBox内データを保護するGovernanceのオプションを使えば、より高度な管理を実現でき、潜在リスクを大幅に低減できます。
Box Shield、Governanceを使った対策
その他にGovernanceにはゴミ箱制御や更新履歴を無制限に保存できる機能があります。ゴミ箱制御では不注意/悪意で削除したファイルの喪失を防ぎ、履歴無制限はマルウェア感染する前のファイルまで遡って復元できるので、地味ですが上記いずれのリカバリにも役立ちます。
文書管理に必要な「分類と整理」を実現するShieldのスマートアクセスは細かな制御ができるとても便利な機能ですが、一方で活用するための分類作業は人が文書単位でセキュリティレベルを設定する=人が設計して人が付与するため導入は大変な作業になります。しかし情報/ファイルは全て同一のセキュリティレベルが必要なわけではないため、最低限の守り方を考えて実装することも可能です。またやりすぎると利便性が極端に低下し「使えない」システムにもなりかねません。このあたりの塩梅はとても大切で、導入事例や導入経験者からのアドバイスを活用するのがよいと考えます。
おわりに
三井情報株式会社ではBoxライセンス販売はもちろん、Boxを正しく有効活用できるように各種セミナーの開催、ソリューションの提供、Box導入の支援、および今回ご紹介したShieldやGovernanceといったオプションの導入支援メニューも用意しています。加えて文書管理の専門コンサルタントによる支援も可能です。
文書管理の導入を検討したい方、BoxおよびShieldやGovernance機能の詳細について詳しく知りたい方、すでにBoxをご利用中でShieldやGovernanceの導入、更なるBox活用をご検討中の方、ぜひ三井情報までご相談ください。
関連ページ
おすすめコラム:
ゼロトラストを見据えたBoxのセキュリティ
ゼロトラストセキュリティって?考え方や導入時の2つのポイントを解説
関連ソリューション:
Box:法人向けファイル共有基盤
青木
コンサルティング技術部
5年前からBox技術者としてプリセールス、導入、検証など全般にわたり従事。
コラム本文内に記載されている社名・商品名は、各社の商標または登録商標です。 本文および図表中では商標マークは明記していない場合があります。 当社の公式な発表・見解の発信は、当社ウェブサイト、プレスリリースなどで行っており、当社又は当社社員が本コラムで発信する情報は必ずしも当社の公式発表及び見解を表すものではありません。 また、本コラムのすべての内容は作成日時点でのものであり、予告なく変更される場合があります。
