セキュリティは、企業向けクラウドサービスであるBoxが最重要に位置付けるテーマだ。データを強固に守るだけでは使いづらいサービスになってしまう。コンテンツ・マネジメント・プラットフォームとしてユーザビリティと安全性を高いレベルで両立させるために、どのような方針の下、どういった取り組みを進めているのか?来日したBox本社セキュリティ統括責任者のジョエル・デ・ラ・ガーザ氏に聞いた。(後編)
データの守り方はユーザーが決める。Box Zoneでデータの保管地域を柔軟に決定
──「安全でありながら使いやすいクラウドサービス」を実現するための具体的な機能や取り組みを教えてください。
企業のデータセキュリティの難しさは、単に堅牢に守ればよいというだけではないことです。お客様の要件に応じて、お客様ご自身でデータの守り方を決定/コントロールできることも重要です。
それを可能にするサービスの1つが「Box Zone」です。先ほど、当社は北米3拠点にデータセンターを構えているとお話ししましたが、実はバックエンドで当社と提携する他のクラウド・プロバイダーのデータセンターを使い、全世界の指定した地域にデータを保管することもできます。
例えば、規制などにより、クラウド上のデータの保管場所が制限されることがあるでしょう。その場合、日本のお客様なら東京やシンガポールのデータセンターを指定して保管するといったことができます。現在はAmazon Web Services(S3)をサポートしており、今後IBMのパブリック・クラウドも利用可能となる予定です。もちろん、バックエンドで他社のデータセンターを使う場合でも、Boxのデータセンターと同様に厳格なセキュリティ・ポリシーの下にデータが管理されますのでご安心ください。
──暗号化キーの管理をユーザー自身が行うことも可能だとか。
Boxに保管されたデータは暗号化され、その内容は当社も閲覧できないとお話ししましたが、これをさらに厳格化するサービスとして「Box Keysafe」を提供しています。「Box Keysafe」は、暗号化キーをBox上には置かず、お客様ご自身で管理するというサービスです。これにより、暗号化されたデータの安全性がより強く保証されます。現在、データ暗号化に関してここまで徹底したサービスを提供しているクラウド・プロバイダーは、Boxのほかに数社しか存在しません。
このほかに、先ほど触れたContent Security Policiesを実現するサービスとして「Box Governance」を提供し、データ・アクセスや保管などBox上のデータガバナンスに関してお客様ご自身でポリシーを作成して運用する機能などを提供しています。
デバイスからもデータを漏洩させない。モバイルからのアクセスも厳格にコントロール
──データの安全性と利便性のバランスという意味では、モバイル・デバイス上でのセキュリティ確保も重要な取り組みです。
今日、Boxユーザーの多くがモバイル・デバイスでサービスにアクセスしており、その数は今後も増え続けるでしょう。モバイル・デバイスは、デスクトップPCと比べてデバイスやデータの管理がしやすく、クラウドに適したデバイスだと言えます。
ただし、デバイスの紛失や盗難などにより、データセキュリティが脅かされるリスクは常に存在します。Boxでは、信頼できないデバイスからのアクセスを拒否したり、Box Governanceで設定したポリシーに従って各ユーザーがアクセス/保存できるデータを制御したりすることにより、モバイル・デバイスにおけるデータの安全性を確保しています。
開発プロセスにもセキュリティを取り込み、サービスの安全性を確保
──サービスの安全性を高めるために、システム開発プロセスやITインフラに関しても詳細なルールを設けているそうですが。
まず、Boxのシステムやアプリの開発プロセスそのものにセキュリティを組み込んでいます。例えば、開発チームには、それぞれ専任のセキュリティのエキスパートが在籍し、システムやアプリの設計/実装の際、常にセキュリティの観点からチェックを行っています。また、開発者が書いた全てのプログラムは少なくとも他の1名の開発者によって安全性が検証(レビュー)され、リスクの高い処理を行うプログラムについては少なくとも2名でレビューします。
さらに、コード・リリースは1日に2回行い、常に最新の安全なプログラムを使用します。加えて、稼働中のシステムの安全性を自動的にスキャンして検査する仕組みも導入しており、何か問題が見つかった際にはすぐに修正します。外部のセキュリティ・ベンダーによる脆弱性検査も実施しており、その結果はお客様にも開示しています。
図4 安全なソフトウェアの提供に向けた取り組み(クリックで拡大)
基礎的な要素
- 開発部門にセキュリティ専任の開発者が在籍していること
- 開発サイクルへのコードの静的テスト(*1)と分析を組み込み
- セキュアなコーディングのための徹底した教育と啓蒙活動
- セキュリティ防御を踏まえたコーディング方法の展開
- 毎週、自動化されたアプリケーションスキャンを実施
- 四半期ごとのペネトレーションテスト
(*1)ドキュメントやソースコードのチェックによって誤りや脆弱性を検出するテスト方法
ソフトウェアだけでなく、Boxのシステムが稼働するITインフラについても細心の注意を払っています。必要に応じて業界トップ・レベルのソリューションを導入しており、もし当社の要件を満たすソリューションがない場合は自社で開発しています。また、データ・サイエンティストが社内の全データをスキャンし、常に問題がないかどうかをチェックしています。
──Boxのサービスに付加機能を提供するサードパーティのソリューションについても、厳格な採用基準を設けているとか。
Boxの安全性やサービスの利便性をさらに高めるソリューションが必要になった際には、当社が定める信頼性の要件を満たしたソリューションだけを導入しています。それらのベンダーとはサービス/ソリューションの安全かつシームレスな連携を実現すべく協業関係を築いており、当社はこの高い信頼性に基づくパートナー・ネットワークを「Box Trust」と呼んでいます。
図5 統合されたトラストパートナーとのエコシステム(クリックで拡大)
下記の条件を満たしたパートナーのみがBox トラストパートナーとして認定されます(Boxからの招待のみ)
- マーケットリーダーであること
- Boxとのインテグレーションにおいて明らかな強みや価値があること
- パートナーシップを結ぶ有効性が証明・約束されていること
マイクロソフトと協力してDRMソリューションの統合を推進
──最後に、Boxのセキュリティに関する今後の強化予定などを教えてください。
これからも、お客様の声をお聞きしながら必要とされる機能を検討し、開発を進めていきます。
例えば現在、マイクロソフトと協力し、同社のDRM(Digital Rights Management。デジタル著作権管理)ソリューションとの統合を進めています。これが実現すれば、Boxやマイクロソフトのサービスの範囲外にデータが出た場合でも、その安全性を保証できるようになります。
お客様からよくお聞きするのは、「Boxが自分たちに代わってデータのセキュリティをしっかりと担保してほしい」というご要望です。そこで、具体的にどのようなニーズがあるのかをヒアリングしているところですが、例えば外部からの攻撃を自動的に検知/防御したり、マルウェアを検知したりといったサービスが候補に挙がっています。
セキュリティは、お客様の大切なデータ資産を預かるうえで最も重要な機能です。今後も安全で使いやすいクラウドサービスを提供し続けていくために、さらなる強化/改善に努めていきたいと思います。【boxsquare編集部】
【関連記事】
・Boxのデータセキュリティの極意~より安全で使いやすいコンテンツ・マネジメント・プラットフォームへ【前編】
![話題のBox AI for HubsからBox Signまで!8社のお客様が語るBox利活用事例 Boxユーザー祭り’24 [イベントレポート]](https://www.boxsquare.jp/hs-fs/hubfs/images/blog/box-user-festival-24-event-report-01.png?width=84&name=box-user-festival-24-event-report-01.png)
