セキュアなBoxをもっとセキュアに使いこなす！
数千社とのファイル共有を安全に利用する取り組み
[山田コンサルティンググループ様発表事例]

Box Customer Award Japan 2021にて、山田コンサルティンググループ株式会社様に発表いただいた活用事例をお届けします。
セキュリティ面で高い信頼を得ているBoxですが、会社ごとに抱える情報セキュリティ上の課題やセキュリティポリシー、守るべき情報は千差万別です。
山田コンサルティンググループでは数千ものクライアント様の機密性の高いファイルを常時やり取りしています。この大事な情報を守るために当社独自に設定しているセキュリティポリシーや課題に対して、Box APIやBox Relayの機能を駆使することで更にフィットさせていった取り組みを紹介します。

山田コンサルティンググループ株式会社　管理本部 情報システム室 室長（シニアマネージャー）　中島 正太さん

「誤共有」という新たなリスクが懸念だった

昨年、リモートワークが進む中で新しい働き方を支えるシステムインフラとして、データコンテンツはBoxを使って強化を図ろうと決めました。ただ、デバイスの紛失は当然Boxでは守れないですし、取引先が常時数千社もあり、誤共有という新たなリスクができるのでは？　という懸念がありましたので、社員が安全にBoxを使うためにいくつかの対策を立てました。
一つ目は、PCの対策です。社外にデバイスを持ち出すことが多くなったので、PC内には重要なデータを残さない、ということでPCをシンクライアント化させています。PC内のデータは強制的にBoxに集約する仕組みにしたので、紛失時の漏洩リスクを払拭するとともに、データライフサイクルの完全なコントロールを実現しました。
二つ目はBox Relayを使った申請フローの電子化です。それまで紙で行っていた外部共有用フォルダの作成申請をBox Relayを使って完全に電子化しました。案件管理者をフォルダの共同所有者に設定して、作成後のコラボレータ管理は一任していますが、案件が終了するとアクセス権を開放し社員のナレッジとして活用しています。

承認フローに頼ると逆に危険？　理想の共有システムを作成

Box APIを利用したアプリからBoxのファイル処理を行うことで誤共有を検知するシステムを構築しました。当初はBox Relayによる承認制の外部共有を予定していましたが、内容と量を考えた場合、承認フローに頼るのは逆に危険なのでは、との発想に至りました。これをモラルハザードという言葉で問題提起し、結局自分たちで理想の仕組みを作ることになりました。まずファイルを外部共有フォルダにアップロードした際、Webhookでアップロードしたイベントをシステムに通知。システムがイベントを受け取った後、フォルダ名とファイル名の案件コードを照合し、一致しなかった場合はAPIを使って外部共有フォルダからファイルを強制退避し、メール通知も行うという仕組みです。これにより共有先の取り違いをシステム的な対策で低減することができました。

今後は地道な啓蒙活動で生産性向上へ　Boxをハブに、セキュアにシステムも人も繋ぐ

Box導入の半年後に実施したアンケートでは、誤共有対策システムで誤共有を防げたという事例が15件もあり、成果が出ていると言えるでしょう。今後も啓蒙を地道に行い、生産性や満足度を上げていきたいと思っています。データ管理はBoxに任せておけば安心、と信じていますが、漏洩対策などの個別課題は会社に合った仕組みを作る必要があり、そこを考えるのが我々情シス部門の腕の見せどころ。BoxはBox APIやBox Relayなどさまざまな機能があり、やりたいことの多くが実現可能です。Boxというコンテンツをハブにして、セキュアにシステムも人も繋ぎましょう！

発表の動画、発表資料全編はこちら

記載されている数字や登壇者の肩書きは2021年10月21日時点のものです。現在の情報と異なる可能性がありますので、ご了承ください。