テレワークの普及により、セキュリティ対策の見直しに迫られている企業も多いでしょう。働き方が変わったことにより境界防御では対策し切れず、最近ではゼロトラストが注目されています。ゼロトラストはハイブリッドワーク時代のセキュリティ対策には必須とされています。そこで本記事では、ゼロトラストの概念や必要とされる背景、セキュリティ全体像までわかりやすく解説するとともに、対策が施せるツールもご紹介します。
ゼロトラストとは
ゼロトラストとは、社内と社外の境界にセキュリティを施すのではなく、社内からであろうとシステムやデータ、コンテンツへのアクセスには防御策を講じる考え方です。たとえ社内からのアクセスや行動であっても、すべてを信頼することは今ではリスクがあるという考えのもと、要所要所にセキュリティ対策を施します。ゼロトラストの考えにおいては、社員や社員の所有デバイス、社内デバイスも信頼せず、いずれもアクセスするためには妥当性の証明が必要です。つまり、セキュリティ対策的には社員も社内も何も信頼しないで対策を施すことから、ゼロトラストと呼びます。
ゼロトラストが必要な背景
近年では、テレワークの普及によるワークスタイルの多様化で、社員は場所を問わず働けるようになってきており、社内と社外の境界が不明瞭な状態でもあります。この境界が曖昧となることにより、社員と第三者の区別が困難になり、セキュリティの不安が増しているのが現状です。また、サイバー犯罪の技術も高度化しており、内部へ侵入される事態もしばしば起こっています。
そのような中、セキュリティ対策についても働き方の多様化への対応が求められており、ゼロトラストの考えで内部においてもセキュリティ対策が必要とされているのです。境界だけでなく内部のセキュリティ対策も行うことで、第三者の不正な侵入に対しても、情報漏えいなどの被害を最小限に抑えることが可能となるわけです。
ゼロトラストのセキュリティ像
ゼロトラスト型セキュリティでは、不正アクセスを防ぐための認証や不審な挙動の検知、侵入された場合の対応といった対策が重要です。まず認証を実施し、社員のIDを保管するデータベースとの照合や、アクセス可能な要件を満たしているかを確認することで、アクセスの制限を行います。
端末の不審な挙動を検知し、管理者への通知および脅威への対処を行うEDRにより、万が一の不正アクセスに備えることも必要です。また、管理者がソフトウェアやアプリのインストールといった社員のアクティビティをすべて把握することは難しい場合もあるため、端末とインターネットの中間にコントロールポイントを設置し、リスクの高いインストールを防ぐCASBの導入も望ましいでしょう。
さらに、データやファイルといったコンテンツへのアクセスログを記録・分析することで、異常を早急に察知することが可能となり、情報漏えいなど大事に至る前に対応できます。ハイブリッドワーク環境では、社内外からあらゆる端末でコンテンツにアクセスすることになるので、コンテンツごとにアクセス制限などのセキュリティ対策を行う必要もあります。システムごととかストレージ単位ではなく、より粒度細かくコンテンツごとに行うセキュリティ対策であるコンテンツセキュリティは、コンテンツクラウドの活用により行えます。
Boxが実現するゼロトラスト時代のコンテンツセキュリティ
コンテンツクラウドのBoxは、コンテンツそのもののセキュリティを高めるとともに、ファイル共有などの機能によって業務の効率化に貢献するサービスです。あらゆるコンテンツへ解像度をあげた最適なセキュリティを提供し、社内外の連携で懸念されるリスクを排除します。
コンテンツ単位でのセキュリティ対策をすべき理由
コンテンツに対して暗号化をはじめとするさまざまな技術を提供するBoxの導入により、多角的なコンテンツ単位でのセキュリティ対策が可能です。たとえば、メールの誤送信による機密情報の流出が挙げられます。
ファイルを外部と共有する際に誤送信することで、機密情報が関係者以外へ流出し、拡散される可能性が発生します。流出してしまうとファイルの管理が不可能となり、情報の取り扱いを部外者に委ねることになるため、情報の拡散防止が困難です。数年前までは暗号化したパスワード付きZipファイルを添付して送る方法が有効とされていましたが、その有効性は今ではPPAPと揶揄されるほど疑われており、脱PPAPが推進されています。
その点、Boxでは共有したいコンテンツにアクセス権を付け、その共有リンクを発行することで、権限のあるユーザーのみが閲覧や編集できるようにできます。万が一送付先を間違っても権限がなくアクセスできないため、情報漏えいのリスクは低く抑えられます。
Boxがもつセキュリティに関する特徴
Boxはセキュリティに強みを持つコンテンツクラウドで、効率化やセキュリティ、情報ガバナンスに関する機能やオプションが魅力です。ISO27001をはじめとする多数の国際基準に準拠しているため、テレワークのようなセキュリティ対策が難しい状況でも安心して使えます。
細かなアクセス権設定や操作権設定
Boxは細かなセキュリティ機能を駆使し、コンテンツの機密性を維持します。ファイルやフォルダに「閲覧できるがダウンロード不可」といった7段階のアクセス権限や参照のみといった操作権を設定したり、機密度に基づく分類によるコントロールや、異常な操作を検知する脅威検知で全コンテンツの保護が可能です。
第三者による傍受および改ざん対策は、TLSやAESを用いた暗号化によって行います。アクセスログは管理者であっても削除および改ざんができない仕様となっており、7年分が蓄積されるので、不審なアクセスや行動を把握することが可能です。
参照:https://www.boxsquare.jp/resource/box-full-understanding-guide
国際基準の認証
Boxは国際的なコンプライアンス・セキュリティ規格に準拠しており、ISO27001/27018やPCI DSSを含めた10以上の規格に対応しています。中でもISO27001への準拠は、不正アクセスやウイルスといった脅威から組織の情報を守るための仕組みであり、基本的なセキュリティ対策ができていることを示す重要な指標です。
また、クラウド環境における個人情報保護に関する国際規格ISO27018へも準拠しているので、コンテンツを正しく管理する体制が整っています。さらに、クレジットカード情報の保護に関する国際規格PCI DSSへの準拠によって、高度なセキュリティを必要とする個人情報まで安心して取り扱うことが可能です。
「Box Shield」による対策強化
オプションの「Box Shield」では、機械学習を使ったより高度なセキュリティ対策が施されます。機械学習により、大量ダウンロードや異なる地域からの同一IDによる操作等々といった異常なアクティビティ(脅威検知)の検知を行います。また、マルウェアへの対策として深層学習を活用することで、コンテンツのスキャンを可能とし、マルウェアが拡散する前に発見できます。また、前述のとおりコンテンツを機密度で分類することにより、悪意の有無に関係無く誤った共有を防ぐ、ガードレールの役目を担います。
情報ガバナンスに有用な様々なオプション
Boxには、「Box KeySafe」「Box Governance」「Box Zones」といった多様なオプションが用意されています。
Box KeySafeは、暗号キーをユーザー企業で公正に管理できる仕組みで、データプライバシーを制御しセキュリティを強化します。
Box Governanceでは、コンテンツの保持期間を設定し、期間が過ぎると自動的に削除するといった制御ができます。持っていることでリスクとなるコンテンツの戦略的な破棄ができる上、破棄にかかる時間と手間が削減でき、リスク減に加え業務効率の向上につながります。法定保存ドキュメントが多い規制業界でのコンテンツ管理に役立ちます。その他、許可リストによる共有制御といったことも可能とします。
近年コンテンツの保管場所であるデータレジデンシーに配慮しなければなりませんが、Box Zonesによって、国や地域の要件を満たす形式での保管が可能となります。
このように、Boxでは必要に応じて情報ガバナンスに役立つ各種オプションの追加が可能です。
Boxがもたらすセキュリティ以外のメリット
連携しているアプリやSaaSの数は1,500以上あるので、共有のためにファイルを変換するなどの手間が省け、アプリからBoxに保管、保存したコンテンツへの透過的なアクセスやアプリ越しでの共有がスムーズに行えます。Boxはあらゆるコンテンツに対応しているだけでなく、他サービス間の連携も可能です。
異なる形式のコンテンツをBox内で統合することで、各自の使用するサービスにて閲覧・編集ができるので、業務効率の向上が期待できます。今までアプリごと、システムごとに保管、保存していたコンテンツをBoxで集約管理することで、Boxの他には無いコンテンツセキュリティによるセキュリティの強化と業務効率の向上を同時に実装できるのです。
まとめ
ハイブリッドワーク下では、社員であってもさまざまな端末からアクセスするため、社内と社外の境界だけでなく、内部の脅威まで考えるゼロトラストの考えが重要です。ゼロトラストセキュリティでは、組織内のアクティビティを把握し、異常な挙動を検知することや、解像度をコンテンツごとにまで上げたセキュリティ対策も講じなければなりません。
これらの課題を解決するためには、多数の国際セキュリティ基準に準拠し、多くのコンテンツレベルのセキュリティ機能を持つ「Box」が最適です。Boxは、ゼロトラストセキュリティとその先のコンテンツセキュリティが施せます。コンテンツを一元管理して多様な業務アプリと連携し、社内や社外とも柔軟に共有とコラボレーションできるので生産性の向上も期待できます。
Boxまるわかりガイド 〜セキュリティ編〜
