GDPR対応も可能！簡単にコンプライス要件を満たせるBoxの機能とは

ラックでは、これまで様々なコンプライアンス要件に対応したBoxの導入支援を行ってきました。企業において新たな製品やサービスの導入を検討する際、必ず考慮すべき事項の一つが「コンプライアンス要件」です。グローバル展開をしていると特に、「うちの会社はEU域内に事業所があるから、EUの一般データ保護規則であるGDPRに準拠していないクラウドサービスは導入できない」といったことも少なくありません。

本記事では、コンプライアンス要件に対応するためによく利用されるBoxの機能を紹介します。多様な要件に対応できる機能があるので、導入検討時の材料になれば幸いです。

※ 記載の内容は2023年3月14日時点のものであり、今後変更される可能性があります。

Boxのコンプライアンス要件への対応

Boxは多くの国際的なコンプライアンス要件に準拠し、認証を取得しています。例えば、情報セキュリティマネジメントシステムに関する「ISO 27001」と、それに包含されるクラウドサービスに関する情報セキュリティ管理ガイドラインである「ISO 27017 / 27018」や、業界固有のものではクレジットカード業界のセキュリティ基準である「PCI DSS」、国内のものとしては政府情報システムのためのセキュリティ評価制度である「ISMAP」など、多岐にわたる認証を取得しています。

※ 参考：Box Trust Center

クラウドサービスは、利用者がアクセスできない領域に関する情報は非公開であることが多く、サービス仕様に関するコンプライアンス要件の充足性を確認することが困難な場合があります。Boxは様々なコンプライアンス基準に対して認証を得ており、Boxのサービス提供範囲に関する準拠はBox社が責任をもって行っているため、安心して導入の検討を進められます。また、オンプレミスのシステムでは自分たちで対応すべきだった要件の一部をBoxに委ねる形となるため、導入時や導入後の運用負荷の軽減にも繋がります。

ただし、どのクラウドサービスでも同じですが、「クラウドサービスとして認証を受けているから利用者側は何もしなくてよい」ということにはなりません。サービス提供事業者側の責任範囲と、利用者側の責任範囲がそれぞれ存在しますので、利用者側で対応すべき範囲は事前に確認を行い、対応していく必要があります。

コンプライアンス要件への準拠に活用できる機能

Box Shield

Boxのセキュリティ対策をさらに強化できる有償のオプション機能です。Box Shieldを有効にすると、ユーザーの不注意や悪意の操作によるデータ漏洩の対策ができる「スマートアクセス機能」と、不審なアクセス等の検知、コンテンツのマルウェア検出および拡散防止ができる「脅威検出機能」を利用できます。強固なデータ漏洩対策や不正アクセス対策を求められる金融業界や、個人情報を取り扱う業界のコンプライアンス要件への対応としてよく利用されます。

スマートアクセス機能

コンテンツに分類ラベルを付与し、分類ごとに操作制限などを設定できます。例えば、社外秘ラベルを付与したファイルに対して、誤って外部のユーザーへアクセス権を与えてしまった場合も、分類ラベルごとに設定したアクセス制御に従いBox Shieldがブロックします。

脅威検出機能

不審な場所からのアクセスや不審なセッション、大量のダウンロードといった脅威の可能性を検知するとともに、保存されたファイルのマルウェア感染の検知、悪意のある動作をするコンテンツを検出して通知および、利用を制限します。

Box Governance

文書の保管・管理をサポートする有償のオプション機能です。有効にすることで5つの機能（リテンション/リーガルホールド/コミュニケーションアーカイブ/ごみ箱管理/コラボレーション許可リスト）と無制限の版管理を利用できます。文書の保存期間や版管理など、厳格な文書管理を求められるコンプライアンス要件に対応するため利用されます。ここでは、代表的な二つの機能を紹介します。

リテンション機能

文書の保存期間、保存期間終了後の廃棄アクション、保存期限満了時の通知をBoxの機能で制御することで、確実な文書管理をサポートします。

リーガルホールド機能

訴訟などに対応するため関連文書の完全削除を防止、保全する機能です。有効にすると、カストディアン（事案に関係する人）を対象に作成・所有・編集した文書に関する、指定の期間内の完全削除を防止します。

Box Zones/Multizones

Boxにアップロードしたファイルの、保存先地域を指定する有償のオプション機能です。Boxに保存したファイルは、標準では米国内のデータセンターに保存されます。海外への持ち出し規制があるデータを取り扱う場合や、海外の事業所からBoxを利用する場合（対象国の法規制に従う必要がある場合など）に、Box ZonesまたはMultizonesを利用することで、ファイルの保存先データセンターの所在国（ゾーン）を指定し、コンプライアンス要件に対応できます。

Multizonesは、その名の通りファイルの保存先ゾーンを複数指定できます。ユーザーごとに予め保存先ゾーンを指定しておくことで、ユーザーは保存先を意識することなく、ファイルの所有者単位で指定したゾーンに自動振り分けされます。

Box Zones/Multizones利用時の注意事項として、保存先ゾーンを指定できる対象データはBoxに保存する「ファイル」となります。例えば、Boxの検索機能で使用するインデックスデータや、「Box Notes」のデータ、ファイルに付加するメタデータなど、保存先ゾーンを指定できないデータ（US保存）もあるため、それらのデータや機能を利用する場合は制限をかけるなどの個別対応が必要となる場合があります。

その他のオプション機能

ここまでは採用する機会の多い有償オプション機能を紹介しましたが、その他にもコンプライアンス要件に対応するのに役立つオプションがあります。下記でその一部を簡単に紹介します。

Box KeySafe

標準機能として、Boxにアップロードされたファイルはすべて暗号化されます。暗号化した際の暗号化鍵はBox内に保存され、Box社にて厳重な管理が行われます。暗号化鍵のライフサイクルを利用者にて把握し管理するコンプライアンス要件がある場合は、Box KeySafeが役立ちます。少し複雑なのですが、Boxのデータ暗号化プロセスでは、データ暗号化鍵をさらに暗号化します。Box KeySafeを利用すると、鍵暗号化の際の「鍵暗号化鍵」を利用者自身で管理できます。なおBox KeySafeを利用の際は「Amazon Key Management Service（KMS）」が別途必要です。

GxP Validation

製薬業界やバイオテクノロジー企業、医療機器企業などが、Box上で臨床・研究・品質管理等に関するコンテンツの作成や共有ができるよう、Boxが各種規制を遵守していることを検証するための機能を提供しています。

無料で利用できる機能

ここからは、コンプライアンス要件に対応するために活用できる機能のうち、無料で利用できるオプション機能を紹介します。これらのオプション機能は標準では有効化されていないため、利用の際は有効化申請を個別に行う必要があります。なお、Boxの契約プランによって利用できない機能もあるため、利用可否については代理店へご確認ください。

Box Verified Enterprise（BVE）

Boxへアクセスする際のURLは通常「app.box.com」ですが、これはBoxの無料プラン利用時と同じURLです。BVEを有効化すると、URLを「ent.box.com」に変更できます。Boxを全社導入しても、無料プランの個人アカウントを使用されてしまっては統制が利かず情報漏洩のリスクがあります。「app.box.com」へのアクセスを制限し、「ent.box.com」のみアクセス可能とすることで、企業における個人アカウント利用のリスクを回避できます。

IPアドレス制限

Boxはパブリッククラウドであり、インターネットに接続可能な環境であればどこからでもアクセスできますが、場合によってはこれがコンプライアンス要件に適合しないことがあります。IPアドレス制限を有効化することで、予め指定したIPアドレス以外からBoxへのアクセスを拒否できます。

WebAuth

Boxはモバイル端末からも利用できますが、モバイル端末からのアクセス認証に証明書を利用したい場合はこの機能を利用します。WebAuth機能を有効にすることで、Boxモバイルアプリのシングルサインオン認証時に、予め許可された証明書が入っているデバイスのみアクセスを許可できます。利用の際はシングルサインオンの構成が必須です。なお、IPアドレス制限やWebAuthといった機能は、Box側での実装ではなく、IDaaSやMDMでの実装もできます。

マルウェアスキャン

Boxにファイルをアップロードした際にBox内でマルウェアスキャンを行う機能です。マルウェアが検知された場合は、管理者およびファイルの所有者に通知を行うとともに、該当ファイルの実行およびダウンロードが制限されます。本機能はコンプライアンス要件に関わらず必ず有効化することを推奨しています。なお、先に紹介したBox Shieldをご利用の場合は本機能も有効化されています。

カスタム利用規約

Boxに初めてログインする際に会社独自の利用規約を表示させ、同意しない限りBoxにログインをさせなくする機能です。ユーザーに会社におけるBox利用規約を認識してもらい、確実に同意を得る必要がある場合に有効な機能です。

Compliance Email Archive

Boxには、ファイルに対するコメント機能やタスクを依頼する機能、Box内でのアクションに関するメール通知など、様々なコミュニケーション機能があります。この機能を有効にすると、これらのコミュニケーションを、指定したメールアドレスにBCCで送信することができます。eDiscovery対策や監査対応としての情報保管に活用できます。

おわりに

Boxの機能のうち、各種コンプライアンス要件対応に活用できる機能を紹介しましたが、これらはBox全体の機能のうちの一部です。Boxは標準でも強固なセキュリティ対策がなされていることに加えて、多岐にわたる要件やユースケースに対応するための機能を数多く備えています。

また、ファイルサーバーや他のクラウドストレージの場合、自分たちで気を付けないといけない点が多いものの、Boxの場合は比較的シンプルにコンプライアンス要件を満たせます。Boxが様々な業種、多くの企業で採用されている理由の一つがお分かりいただけたのではないでしょうか。

ラックでは、お客様ごとの様々な要件に対応したBox導入支援・活用支援を行っております。Boxの導入を検討されている、または導入済みでも、「自社のコンプライアンス要件にBoxは準拠できるのか？」といった内容からお気軽にご相談ください。