Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

米Box、Heartbleed対策は報告から1時間 - 社内には5種類のセキュリティチーム

クラウドによるファイル共有サービスである「Box」。当初よりエンタープライズニーズを視野に入れて開発を進めているのが大きな特徴だ。

20140709_bo_002.jpg
Whitney Bouck氏

同社によれば利用企業はワールドワイドで22万5000社、利用者数は2500万人以上にのぼるという。他社ファイル共有サービスとしのぎを削るなかで、同社が強みのひとつに挙げるのが「セキュリティ」だ。

同社は7月3日に記者説明会を開催し、米Boxエンタープライズ担当シニアバイスプレジデント兼ジェネラルマネージャのWhitney Bouck氏が登壇。「サービスにおいていかに情報が守られているのか明確に示し、透明性をもたらすことがわれわれの仕事」と語り、同社のセキュリティ対策を説明した。

企業と外部のコラボレーションなども進むなか、同氏が強みに挙げたのが「ファイル転送の可視化」。アップロードしたファイルのアクセスコントロールやログ管理といった監査機能を備える。管理者がレポートとして閲覧できるだけでなく、各ユーザーが外部へ提供したファイルのダウンロード状況を確認できる。

20140709_bo_001.jpg
Boxのセキュリティ機能(図:Box)

また不正アクセスを検知する機能も用意されている。たとえば、24時間以内に日本と米国からアクセスされるといった異常なアクセスを検知することが可能だ。今後は、暗号化機能「マネージドエンクリプション」を追加する予定で、同機能によりデータに対して暗号化し、さらに暗号鍵を利用者が管理できる。利用者以外は復号できないしくみだという。

インシデント対策にも力を入れている。サービスの根幹を支えるインフラに脆弱性が発見されると大きな影響を受けるおそれがあるが、同社ではセキュリティチームが24時間体制で監視していると同氏は説明する。

OpenSSLに見つかった深刻な脆弱性「Heartbleed」の問題では、脆弱性の報告から1時間以内に対応したとしており、同氏は「エンタープライズソフトを提供している企業のなかで1番手だった」と対策の早さを強調した。

同氏によれば、インシデントレスポンスチームや将来的なセキュリティに取り組むチームなど5種類のセキュリティチームが同社に設置されているという。

クラウド利用では、データの越境問題がある。データ保管を国内に限定したサービスの提供を検討しているかという質問に対し、ボックスジャパン代表取締役社長の古市克典氏は、「現状、対応していない」としつつも、「顧客からの意見を進みながら、準備を進めている」と述べ、日本国内企業に向けたサービス展開の可能性を示唆した。

(Security NEXT - 2014/07/15 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

APIゲートウェイ向けにOSSのセキュリティプラグインを公開
「WarpDrive」に「攻殻機動隊」の世界観でセキュリティ学べるゲーム機能
主要ベンダー製品と連携するXDRを7月に提供 - Cisco
ビルシステムのセキュリティ対策カタログをリリース - CSSC
米CISA、レッドチーム演習の可視化ツールを公開 - 意思決定など支援
インシデント関連データの可視化ツールをGitHubで公開 - WithSecure
クラウド設定不備による情報漏洩対策で協業 - KCCSとラック
「Box」がマルウェア対策を強化 - 機械学習ベースの検知に対応
ソフトウェアのサプライチェーンリスク対策でSBOM利用を促進 - Linux Foundation
クラウド型のウェブ閲覧環境分離サービス - 高リスクサイトだけの利用も