米Box セキュリティ統括責任者が語る/Boxのデータセキュリティの極意【前編】
~より安全で使いやすいコンテンツ・マネジメント・プラットフォームへ

セキュリティは、Boxの全ての経営陣/社員が最重要に位置付けるテーマだ。データを強固に守るだけでは使いづらいサービスになってしまう。コンテンツ・マネジメント・プラットフォームとして最高のユーザビリティと安全性を高いレベルで両立させるために、Boxではどのような方針の下、どういった取り組みを進めているのか? 来日したBox本社セキュリティ担当バイスプレジデントのジョエル・デ・ラ・ガーザ氏に聞いた。(前編)

“セキュリティ”はBoxにとって最重要の取り組み

 

米Box セキュリティ担当バイスプレジデント ジョエル・デ・ラ・ガーザ氏
米シティグループにおいて全世界の顧客および従業員向けセキュリティ技術の設計/開発、脅威対応、サイバー・インテリジェンスの統括など情報セキュリティ関連の要職を歴任した後、2013年にBoxに参画。現在はバイスプレジデントとしてBoxのサービスおよび社内の情報セキュリティを統括している。 

──初めに、Boxにとって“セキュリティ”はどのような位置付けにあるのかを教えてください。

セキュリティは、Boxのサービスと不可分のテーマであり、当社の根幹を成すものでもあります。事実、Boxの全ての経営陣および社員は、セキュリティを「最重要の課題かつ最優先の取り組み」と考えています。お客様の大切なデータ資産をお預かりし、その柔軟な活用を支えるBoxのサービスにセキュリティ上の問題が生じれば、世界中の企業のビジネスに大きな影響が及びます。そのため、私たちは常にセキュリティを第一に考えてサービスをご提供しているのです。

──具体的に、どのような方針の下に取り組みを進めているのですか?

今日、企業ITの世界では「オンプレミスからクラウドへの移行」という大変革が進行しています。ただし、重要なデータ資産をクラウド上でオンプレミスと同様、あるいはそれ以上のレベルでいかにして守るかについて、まだ業界の統一的な考え方やアプローチは確立されていません。そうした中で、Boxではお客様が安心してサービスをご利用いただけるよう、“3つのZero”、すなわち「Zero Trust」、「Zero Knowledge」、「Zero Tolerance」という方針を掲げ、安全性と利便性のバランスを取りながらサービスを企画/開発/運営しています。

図1 ZEROの極意(クリックで拡大)

このうち、Zero Trustとは「暗黙の信頼の排除」を意味し、当社の全てのインフラについて暗黙のうちに信頼するという考えを一切排除して行動しています。データの保存の仕方や保存の際のルールについて厳格なポリシーを定め、お客様が利用するモバイル・デバイスも含めたエンドポイントのセキュリティまでコントロールしています。

また、Zero Knowledgeとは「お客様のデータの内容に関知しない」ことを意味します。お預かりしたデータの内容を当社が閲覧することは一切ありません。お客様のデータは当社のシステム上で暗号化されるため、その中身を見ることはできないのです。

Zero Toleranceとは、「お客様の利便性を低下させない」ことを指します。一般に、セキュリティを強固にすればするほど、ユーザーの利便性は低下します。それが起きないようユーザビリティの向上に努めていることもBoxの大きな特色です。なぜなら、お客様のエクスペリエンスを高め、わかりやすく使いやすいサービスにすることが、セキュリティの強化にもつながると考えるからです。もちろん、安全が第一ですが、Boxは「安全でありながら使いやすいクラウドサービス」を目指しているのです。

 

 業界のさまざまなセキュリティ標準に準拠し、企業のデータを安全に保管

 

──Boxのデータ・ガバナンスの特徴を教えてください。

Boxのサービスは、データの安全性を高めるさまざまなアプローチ/ベスト・プラクティスによって構成されています。米国内3拠点のデータセンターで運用されており、今後4拠点目を増設する予定です。これらのデータセンターでは毎秒約55,000のデータがアップロードされ、24時間365日稼働、高い稼働率を実現しています。現在はフォーチュン500の60%以上がBoxを導入しており、全世界で約69,000社の企業や政府/自治体、公的機関にご利用いただいています。

データ管理のガバナンスに関しては、次の3つの柱の下に施策を検討/実施しています。

Data Retention:業界の各種法規制やビジネス上の規約などに準じてデータを保管する
・Content Security Policies:データへのアクセスや共有などを詳細かつ厳密にコントロールする
・eDiscovery:保管したデータの中から、法規制などの求めに応じて目的のデータを迅速に見つけ出すための手段を提供する

例えば、「Data Retention(データ保持)」に関して言えば、当社はサービスのセキュリティ・レベルを客観的に証明するために業界のさまざまなコンプライアンスおよびセキュリティ認証を取得しており、金融業界やヘルスケア業界のデータも安全に保管することができます。ちなみに、これまでに最も取得が難しかったのは米政府のクラウド製品/サービス調達に関する認証「FedRAMP」で、取得に2年を要しました。認証取得には米国防総省のご支援をいただきましたが、同省の支援でFedRAMPを取得したのは当社のみです。

 

図2 国際的なコンプライアンス/セキュリティ標準に準拠(クリックで拡大)

 

また、「Content Security Policies(コンテンツのセキュリティ・ポリシー)」については、「誰がどのデータにアクセスできるのか」、「どのようなデータをアップロードできるのか」といったことまでポリシーによって制御できます。データの機密性に応じてアクセスや保存をコントロールすることも可能であり、機密文書のダウンロードを禁じたり、プレビューオンリーにしたり、電子透かしを入れたうえでプレビューオンリーにしたりといった細かな制御も行えます。Boxのほかに、ここまできめ細かなアクセス制御が行えるクラウドサービスは存在しないでしょう。(後編へ続く)【boxsquare編集部】

 

【関連記事】
Boxのデータ・セキュリティの極意~より安全で使いやすい企業コンテンツ・プラットフォームへ【後編】

最終更新日:2017年01月30日

関連ワード
世界約7万4千社以上に使われている「Box」50以上の資料を今すぐご覧いただけます

下記ボタンをクリック!内容をご確認の上、ぜひご活用ください

この記事を読まれた方におすすめのコンテンツはこちら。