Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

米Box、Heartbleed対策は報告から1時間 - 社内には5種類のセキュリティチーム

クラウドによるファイル共有サービスである「Box」。当初よりエンタープライズニーズを視野に入れて開発を進めているのが大きな特徴だ。

20140709_bo_002.jpg
Whitney Bouck氏

同社によれば利用企業はワールドワイドで22万5000社、利用者数は2500万人以上にのぼるという。他社ファイル共有サービスとしのぎを削るなかで、同社が強みのひとつに挙げるのが「セキュリティ」だ。

同社は7月3日に記者説明会を開催し、米Boxエンタープライズ担当シニアバイスプレジデント兼ジェネラルマネージャのWhitney Bouck氏が登壇。「サービスにおいていかに情報が守られているのか明確に示し、透明性をもたらすことがわれわれの仕事」と語り、同社のセキュリティ対策を説明した。

企業と外部のコラボレーションなども進むなか、同氏が強みに挙げたのが「ファイル転送の可視化」。アップロードしたファイルのアクセスコントロールやログ管理といった監査機能を備える。管理者がレポートとして閲覧できるだけでなく、各ユーザーが外部へ提供したファイルのダウンロード状況を確認できる。

20140709_bo_001.jpg
Boxのセキュリティ機能(図:Box)

また不正アクセスを検知する機能も用意されている。たとえば、24時間以内に日本と米国からアクセスされるといった異常なアクセスを検知することが可能だ。今後は、暗号化機能「マネージドエンクリプション」を追加する予定で、同機能によりデータに対して暗号化し、さらに暗号鍵を利用者が管理できる。利用者以外は復号できないしくみだという。

インシデント対策にも力を入れている。サービスの根幹を支えるインフラに脆弱性が発見されると大きな影響を受けるおそれがあるが、同社ではセキュリティチームが24時間体制で監視していると同氏は説明する。

OpenSSLに見つかった深刻な脆弱性「Heartbleed」の問題では、脆弱性の報告から1時間以内に対応したとしており、同氏は「エンタープライズソフトを提供している企業のなかで1番手だった」と対策の早さを強調した。

同氏によれば、インシデントレスポンスチームや将来的なセキュリティに取り組むチームなど5種類のセキュリティチームが同社に設置されているという。

クラウド利用では、データの越境問題がある。データ保管を国内に限定したサービスの提供を検討しているかという質問に対し、ボックスジャパン代表取締役社長の古市克典氏は、「現状、対応していない」としつつも、「顧客からの意見を進みながら、準備を進めている」と述べ、日本国内企業に向けたサービス展開の可能性を示唆した。

(Security NEXT - 2014/07/15 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ソフトウェアのサプライチェーンリスク対策でSBOM利用を促進 - Linux Foundation
クラウド型のウェブ閲覧環境分離サービス - 高リスクサイトだけの利用も
フィッシングメールを演習用ひな形に変換する新機能 - KnowBe4
脆弱性管理など必要時のみ利用できる新ライセンス体系 - エフセキュア
ファイル共有サービス「クリプト便」に「PCI DSS」対応オプション
教育機関でのセキュ事故対応を学ぶゲーム教材 - 沖縄県
DDoS対策専用の仮想アプライアンスを提供 - A10
Boxにマルウェア検知機能 - サンドボックス解析なども搭載予定
MacやLinuxにも対応したテレワーク端末のセキュ診断サービス
金融機関ノウハウ活用した不正検知サービス - ACSiON