Boxにて「共有フォルダ」に対するアクセス権限の誤った設定によって、学内にアクセスするための「証明書」や、Boxの初期設定に関する情報が誰でも参照可能な状態になっていた。
クラウドセキュリティ診断 for Box
クラウドストレージサービスは便利である一方、意図しない設定不備が情報漏洩につながりかねません。そのような背景を受け、第三者専門機関による診断のニーズが高まっています。本サービスは『Box』をセキュアにご利用いただくことを目的とした診断サービスです。
クラウドストレージサービスは便利である一方、意図しない設定不備が情報漏洩につながりかねません。そのような背景を受け、第三者専門機関による診断のニーズが高まっています。本サービスは『Box』をセキュアにご利用いただくことを目的とした診断サービスです。
DX化により、業務の利便性や効率化、リモートワークなどの多様な働き方の実現を目的として多くのクラウドサービスを利用するようになっています。一方で、クラウドサービスの設定不備により意図せずクラウド上で情報資産を公開してしまったり、シャドーITなど管理・把握されていないクラウドサービスの利用など、セキュリティ上で懸念すべき課題も増加しています。実際にニュースとして報じられるセキュリティ事故にも、クラウドサービスの設定不備やシャドーITなどに起因するものが多くあります。そのような背景から、昨今、第三者専門機関によるセキュリティに関する評価レビューの要請が高まっています。
大学A
Boxの設定ミスで学内システム情報等が誰でも参照可能な状態に
Boxの設定ミスで学内システム情報等が誰でも参照可能な状態に
企業B
Googleドライブの閲覧範囲誤設定で、個人情報が漏洩
Googleドライブの閲覧範囲誤設定で、個人情報が漏洩
「Googleドライブ」で、ファイルに対して閲覧範囲の設定が「リンクを知っているインターネット上のユーザー全員がファイルを閲覧できる」という設定になっていた。
企業C
設定の問題により意図せず1,000件以上の企業の機密情報を暴露
設定の問題により意図せず1,000件以上の企業の機密情報を暴露
公開された情報には、個人を特定できる情報(PII)、内部システムの詳細、ユーザー認証情報、本番システムのアクセストークン、その他ナレッジベースのトピックに応じた重要な情報を含む。
またその組織に関する機密情報も含まれている可能性があるが、外部ユーザーに公開する設定になっていた。
Box診断では、前項にあげたような課題に対してあるべき状態にするための支援サービスです。本サービスでは、事前のヒアリング内容に基づきBox環境の設定を診断し課題を抽出、分析結果と対応方法等を報告書としてまとめ、報告会を実施させていただきます。セキュリティ診断実績の豊富なGSXが第三者視点で診断する信頼性の高いサービスです。
「NIST SP 800-171」および「NIST SP800-207 ゼロトラストアーキテクチャ」に基づき、設定を考慮すべき項目を5つのカテゴリに分類。それぞれの評価内容を明確化し、評価内容に準拠しているか確認をいたします。
| カテゴリ | 概要 |
|---|---|
| テナント基本設定 | 設定による表示項目や通知など基本設定の確認をいたします。 |
| 識別・認証・認可 | SSOの設定やサインアップ等の設定項目による認証の制限や、デバイス制限などの確認 ※他SSO連携の場合、必要項目についてヒアリングシートベースでの回答を追加でいただきます。 |
| ファイル共有 | 外部コラボレーションにおける許認可の設定、コラボレータに対する制限などを調査確認いたします。 |
| アプリケーション連携 | 公開アプリケーションにおける許認可設定や既存連携アプリの確認、Box Signなどの設定状況を確認いたします。 |
| 特権管理・監査 | 管理者を有するアカウントに関して設定やログ監査および運用について設定確認およびヒアリングシートベースで確認させていただきます。 |
お客様がご利用中のBoxについて、グローバルなセキュリティ基準である、『NIST SP 800-171』および『NIST SP800-207 ゼロトラストネットワークアーキテクチャ』をベースに現状のセキュリティ設定に関するアセスメントを実施いたします。
なぜ『NIST SP 800-171』をベースにしているのか?
経済産業省主導によりサプライチェーン強化に向けたセキュリティ対策評価制度について、以下のような目的で格付けを検討しております。
“将来的な国際連携や相互承認も視野に、サプライチェーン企業のセキュリティ対策の強化が図れるよう、業種横断的に活用できる「サプライチェーン強化に向けたセキュリティ対策評価制度」の検討を進めてはどうか。” (*1)
そういった流れの中で海外での取り組み例として当然米国社のCMMCが取り上げらえれており、CMMC(*2)の構成要素としてはNIST SP 800-171となっているため、上記フレームワークを採用し、関連する項目に準拠しているかを重視したアセスメントを実施いたします。
*1.引用 サプライチェーン強化に向けたセキュリティ対策評価制度の構築について((独)情報処理推進機構セキュリティセンター)
*2.CMMC(Cybersecurity Maturity Model Certification):「サイバーセキュリティ成熟度モデル認証」米国国防総省が発行しているフレームワーク
“将来的な国際連携や相互承認も視野に、サプライチェーン企業のセキュリティ対策の強化が図れるよう、業種横断的に活用できる「サプライチェーン強化に向けたセキュリティ対策評価制度」の検討を進めてはどうか。” (*1)
そういった流れの中で海外での取り組み例として当然米国社のCMMCが取り上げらえれており、CMMC(*2)の構成要素としてはNIST SP 800-171となっているため、上記フレームワークを採用し、関連する項目に準拠しているかを重視したアセスメントを実施いたします。
*1.引用 サプライチェーン強化に向けたセキュリティ対策評価制度の構築について((独)情報処理推進機構セキュリティセンター)
*2.CMMC(Cybersecurity Maturity Model Certification):「サイバーセキュリティ成熟度モデル認証」米国国防総省が発行しているフレームワーク
「NIST SP 800-171」とは
米国国立標準技術研究所(NIST)が発行した、非連邦機関が扱う「Controlled Unclassified Information(CUI)」を保護するためのセキュリティ要件を定めたガイドラインです。この文書は、連邦契約を持つ企業や組織が、政府と情報を共有する際に必要なセキュリティ対策を具体化することを目的としています。
NIST SP800-207 ゼロトラストアーキテクチャ について
ゼロトラストとは、「無条件に信頼(Trust)できるものは存在しない(Zero)」というセキュリティの考え方です。これまでの「社内ネットワークの中は信頼できる」とする境界防御では限界があるため考案されました。ゼロトラストの考え方を知る資料として世界的に広く参照されているのは、アメリカの工業規格の国家標準を所管する政府機関であるNISTが発表している「NIST SP800-207文書」であり、クラウドストレージに関するセキュリティアーキテクチャとしては最適であると考えます。
