便利で効率的なデジタルワークスペースの在り方を考え、学び、実践していく組織のためのコミュニティ「Box Japan Cloud Connections」(BJCC)では、さまざまなテーマについて学ぶ勉強会「BJCC Meetup!」を開催しています。
2025年1月22日にEMS勉強会(Japan EMS Users Group)との合同主催で開催された第31回「BJCC Meetup!」のテーマは、「機密情報を保護して情報漏洩を防げ! Microsoft Purview vs Box Shield」。ファシリテーターを務めたBJCCコミュニティリーダーの原田修平氏と、EMS勉強会を主催する株式会社カンム コーポレートエンジニアの引田健一氏(一般社団法人日本ビジネステクノロジー協会 理事)がBJCCとEMS勉強会について紹介を行ったあと、株式会社Box Japanの山田亮氏とNSW株式会社の髙橋憲太郎氏が企業の重要なデータを特定・分類・保護するための代表的な機能である「Box Shield」と「Microsoft Purview」について詳しく説明しました。
Box Shieldの機能概要とメリット
近年、多くの企業はさまざまな業務に特化したデジタルサービスを数多く導入していますが、それに伴い「サービスごとにセキュリティレベル(セキュリティ機能の差)が異なる」という課題が生じています。その解決策としてBoxにコンテンツを集約すればセキュリティレベルを均質化できます。しかし、不注意または悪意のある操作による情報漏洩の懸念は残ります。それを防ぐために誕生したのが、「Box Shield」という機能です。
株式会社Box Japan コンサルティング部のプリンシパルインプリメンテーションコンサルタントである山田亮氏は、「昨今の相次ぐ情報漏洩は、設定ミスや操作ミスに起因する部分がかなり大きいため、コンテンツセキュリティを利用者に任せきりにせず、企業全体で強化する必要がある」と語ります。
Boxで利用者の不注意または悪意のある操作によって情報漏洩が起きる主なパターンには「公開フォルダへのコピー・移動」、「社内限定フォルダへの外部ユーザーの招待」、「大量ダウンロードやなりすまし」の3つがあります。Box Shieldには「スマートアクセス」と「脅威検出」という機能が搭載されており、企業にとって重大な情報漏洩の問題を防ぐことができます。
不注意または悪意のある操作による「公開フォルダへのコピー・移動」と「社内限定フォルダへの外部ユーザーの招待」を防ぐのが、「スマートアクセス」です。この機能を使ってファイルに分類ラベル(「社外秘」や「極秘」、「公開」など)を付与し、分類ラベルごとに制御ポリシー(コラボレーションは社内のみ、ダウンロード不可、電子すかしあり、など)を設定することで、たとえ利用者が誤ってファイルを別のフォルダにコピーや移動しても、権限のないユーザーはファイルにアクセスすることができません。
「ダウンロード不可にすることで、デスクトップアプリでの編集を制限してOffice Onlineのみ利用可能にしたり、印刷できないようにしたりすることも可能です。このように、社内外のユーザーによる不注意または悪意のある操作を予防するセーフガード的な役割を果たすのがスマートアクセスです」(山田氏)
利用者の悪意のある「大量ダウンロードやなりすまし」を防ぐのが「脅威検出」です。この機能を使えば、①警戒地域からのアクセスの検知、②同タイミングでの特定IDによる複数国からアクセスの検知、③通常では発生しない大量ダウンロードの検知、④マルウェアに感染したコンテンツの検知およびダウンロードの制御が可能です。アクセス権やスマートアクセスをかいくぐって許可された操作に対して、さらに不審な場所、不審なセッション、異常なダウンロードの観点からセキュリティを担保することができます。
「Box Shieldには、利益相反につながる可能性があり、法的・倫理的に問題のあるビジネス活動につながる可能性がある組織間(たとえば、投資銀行部門とリテール部門など)の情報共有を制限する『情報バリア』という機能も搭載されています」(山田氏)
Box Shieldのユースケースと他社サービスとの連携
山田氏によると、Box Shieldを活用する鍵は「スマートアクセス」を使って効果的に分類ラベルを付与することです。その際におすすめなのが、ファイルごとに分類ラベルを付与するのではなく、フォルダに分類ラベルを設定すること。そうすれば、ファイルをフォルダに格納するだけで分類ラベルが自動的に付与されます。また、誤ってコンテンツをコピー・移動したとしても分類ラベルは付与されたままなので安心です。
「特定の拡張子に分類ラベルを付与したり、PII(個人を特定できる情報)や独自の用語が含まれるファイルをアップロードしたときに特定の分類ラベルを付与したりすることもできます」(山田氏)
Box Shieldでは、Microsoft Purview Information Protection(MPIP)で分類した秘密度ラベルをインポートして、Boxの分類ラベルとして適用することも可能です。さらに、Box Relayと連携してファイルを外部共有する前に承認タスクで上長に承認を依頼し、承認後に分類ラベル変更して共有可能にするといったワークフローを組み立てることもできます。
「スマートアクセス」によるファイルへの分類ラベル付与の効率化と、「脅威検出」によるアラート検出時の横断的な分析環境の構築により、Box Shieldの活用をさらに高めることができます。「Box Shieldをエコシステム製品と連携させ、CASBやAI/MLのルールに則って分類ラベルを自動付与したり、SIEM製品と連携させてほかのアプリも含めて横断的にログを分析したりするとよいでしょう」と山田氏。
そして最後に、Box Shieldを活用するお客様のスマートアクセスの分類ラベルとアクセスポリシーの設定事例を3つ紹介しました。
コンサル会社のA社様は、分類ラベルを「共有可」「承認後に共有可」「社外秘」の3種類に設定。外部共有可否は情報管理責任者が判断し、承認されたもののみ分類ラベル「承認後に共有可」から「共有可」に変更して外部ユーザーに共有する形です。
製造のB社様は、1つのBoxテナントを個人情報領域と一般情報領域に分けて管理していますが、このうち一般情報領域に関しては「公開可」「社内共有可」「関係者限り」「関係者限り(社外ダウンロード不可)」「社内関係者限り」の5つの分類ラベルを設定しています。そしてデフォルトでフォルダに付与されるのは厳格な設定を施した「関係者限り」「関係者限り(社外ダウンロード不可)」「社内関係者限り」とし、共有したいものに関してはユーザー責任のもと、ユーザー判断で共有範囲を変更できるようにして利便性を高めています。また、「情報バリア」を活用して個人情報領域から一般情報領域へのファイルの移動・コピーはできないように制御しています。
出版のC社様は、MPIPラベルと連携して「公開」「テナント内限り」「コラボレーター限定」「分類なし」というBoxの分類ラベルを設定しています。多くのドキュメントは何の制限もかけていない「分類なし」にしてフォルダのアクセス権で管理する形を取り、必要に応じてユーザー側で自由に「公開」「テナント内限り」「コラボレーター限定」に分類ラベルを変更できるようにしています。セキュリティ要件を高めて使いづらい環境にするとユーザーが逆に逃げ道を探してしまうことを懸念し、あくまでユーザーの利便性や生産性を重視することを第一としています。
Microsoft Purviewの機能概要と必要性
山田氏に続いて、NSW株式会社 サービスソリューション事業本部 クラウドプラットフォーム事業部 サービスインテグレーション部 マネージャー 髙橋憲太郎氏が、「Microsoft Purview Information Protectionと、Box Shieldのsensitivityの関係」というタイトルで、Microsoft Purviewについて解説しました。
髙橋氏は「Microsoft Purviewとは何か」についてから説明を開始。今日の企業が抱えるデータはさまざまなシステムやクラウドサービスに分散しているため、管理の複雑化に加え、データのセキュリティやコンプライアンスへの要求が高まっています。これらの課題を解決するためにMicrosoftが提供しているのがMicrosoft Purviewです。このソリューションを利用すれば、社内データを一元的に管理して可視化し、データの機密性や重要度に応じて分類を行い、適切なセキュリティ対策を施してデータのガバナンス強化とコンプライアンスの確保が可能となります。
Microsoft Purviewが提供する機能は、「データセキュリティ」「リスクとコンプライアンス」「データガバナンス」という3つのカテゴリに分けられます。「データセキュリティ」には、DLP(データ損失防止)やデータセキュリティ態勢の管理、情報バリア、Microsoft Purview Information Protection、インサイダーリスク管理などがあります。また、「リスクとコンプライアンス」には、eDiscovery(電子情報開示)などの監査機能が含まれており、たとえばTeamsのチャットの中にハラスメントがあった場合にLLMで分析してアラートを出すことが可能です。そして「データガバナンス」には、データマップと統合カタログ(ユニファイドカタログ)が搭載されており、Microsoft 365以外のデータをカタログ化してデータを利活用できます。
「このようにたくさんの機能が搭載されているMicrosoft Purviewには、無料版/Enterprise版が存在する『Microsoft Purview ガバナンスソリューション(プレビュー)』と、Microsoft 365 E3/E5、Office 365 E3、Enterprise Mobility & Security(EMS)E3に付属する『Microsoft Purview コンプライアンス』があります。今回テーマに掲げたMicrosoft Purview Information Protection(MPIP)に関しては、Microsoft 365 E3/E5、またはEMS E3を契約していれば利用できます」(髙橋氏)
MPIPの秘密度ラベルをBoxと連携するには?
髙橋氏はコンサルティングを行う際に、企業におけるデータ管理のはじめの一歩は「保有する情報の全体像を把握して、経済的価値や漏洩時の損失の程度といった指標に基づいて評価すること」と伝えているそうです。
「Microsoft Purviewにはデータ分類機能が搭載されているため、まずはそれを利用して機密データが保存されている場所を特定し、データの可視化を行うのがファーストステップです」(髙橋氏)
Microsoft Purviewには、複数の事前トレーニング済み分類子が付属しており、これらを使用して事前に定義されたパターンやキーワード、またはメタデータ属性に基づいてデータを自動的に分類します。正規表現やキーワード、パターンマッチングなどさまざまな方法で柔軟に分類ルールを作成・管理することが可能で、これにより個人情報(PII)やクレジットカード番号、財務情報、知的財産など組織のニーズに合わせた固有のデータパターンに対応した分類が行えます。また、データ資産がMicrosoft Purviewで管理されると、定義された分類ルールに基づき自動的に適切な秘密度ラベルやタグを割り当てる「自動分類」機能も搭載されています。
このようにして作成した分類ルールを実際に適用すると、「コンテンツエクスプローラ」というコンテンツ検索機能によって分類ルールに基づいた機密データがExchangeやOneDrive、SharePoint、Teamsなどどこに存在するかが可視化され、情報漏洩につながる不適切な利用を把握することが可能となります。また、DLP(データ損失防止)機能を利用してDLPポリシーを作成すれば、ポリシーに該当するファイルが検出された場合のアクションを定義することができ、機密データの外部への共有や持ち出しなどを制限できます。
Microsoft Purviewはさまざまな連携が可能です。たとえば、DLPポリシーの条件にMicrosoft Purview Information Protection(MPIP)の「秘密度ラベル」を指定すれば(現在プレビュー中)、特定の秘密度ラベルに対するアクションを定義できます。また、Microsoft E5のラインセンスに含まれる「Microsoft Defender for Cloud Apps」というCASBのソリューションと連携させれば、Microsoft以外のクラウドアプリ内のファイルに対してMicrosoft Purviewのデータ分類を適用したり、MPIPの秘密度ラベルを付与したりしてクラウド上のデータも制御できます。
「MPIPの秘密度ラベルの分類に基づいてBoxの中までスキャンを行い、Boxの中に外部公開不可のファイルが置かれている場合はそれを検出して非公開にしたり、特定の秘密度ラベルを付与したりすることが可能です」(髙橋氏)
MPIPの秘密度ラベルは、Box Shieldの分類ラベルのように、編集やダウンロード、印刷、ロックなどさまざまなアクセス制御が行えます。秘密度ラベルが付与されたファイルを開くときには認証が必要となるため、誤った人にファイルを渡したとしても開くことができません。また、特定の期日を過ぎたら開けないようにするなどの設定も可能です。
「MPIPで秘密度ラベルを使うには、まず機密データの定義とマッピングを終えていなければなりません。組織の中にどのようなデータが存在していて、それは外部公開してもいいものなのかなどが決まっていてはじめて、秘密度ラベルの設定が可能となるからです。組織のデータを把握するには労力がかかりますが、ゆっくりと時間をかけて社内で議論し、テストしながら1歩ずつ進めていくのがおすすめです」(髙橋氏)
MPIPの秘密度ラベルをBoxと連携させる方法は2つあります。1つは、Box Shield側でMPIP統合を有効化して、Box Shieldの分類ラベルとMPIPの秘密度ラベルをマッピングさせ、Box上のコンテンツに対して自動的にBox Shieldの分類ラベルを付与する方法です。
もう1つは、Microsoft Defender for Cloud AppsのBox連携機能を利用して、Box上のコンテンツに対してMPIPの秘密度ラベルを付与する方法です。後者の場合はBox Shieldを利用しない形になるため、BoxやMicrosoft 365のライセンスを考慮して自社に最適な方を選ぶようにしましょう。
「Boxを利用してコンテンツを外部共有している場合は、Box Shieldの方が始めやすいと思います。一方、Microsoft Purviewを持っているから使いこなしたい、またはBox以外にもデータがあるという場合は、MPIPも一緒に設計して、Boxの分類ラベルを共存させるのか、それともMPIPを中心にしていくのかを考えるとよいでしょう」(髙橋氏)
最後に髙橋氏はBox ShieldのMPIP統合、そしてMicrosoft Defender for Cloud AppsのBox連携の具体的な手順をわかりやすく解説しました。
山田氏と髙橋氏の資料は、こちらからダウンロードいただけます。
BJCCでは今後もさまざまなテーマでイベントを開催していく予定です。いち早く情報を知りたい方はぜひコミュニティに参加し、BJCCのSlackチャンネルをチェックしましょう。
