はじめに
本記事はBox アドベントカレンダー2023、3日目の記事です。
Boxのセキュリティ監視を楽に行いたい
Boxはその使いやすいUIと、容量が無制限ということもあり、社のデータをなんでもいれておく場所となるケースが多いと思います。各種設定や、運用でデータセキュリティ、データガバナンスを担保しつつも、最低限の監視もしておきたいというのがBox管理者の悩みではないでしょうか。
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Appsは、CASBとして説明されているものをよく見かけますが、下図のように、SaaSのファイル単位でのトランザクション監視をしたうえでのアラート通知、またそれに対する自動応答ができるなど、SaaS監視に必要な機能が様々含まれます。
サービスとしてのソフトウェア (SaaS) アプリは、ハイブリッド作業環境全体で広く普及しており、SaaS アプリとそれらが格納する重要なデータを保護することは、組織にとって大きな課題となっています。 アプリの利用が増加し、従業員が企業境界の外で企業リソースにアクセスするようになったことで、新たな攻撃ベクトルも登場しました。 これらの攻撃に効果的に対処するために、セキュリティ チームには、従来のクラウド アクセス セキュリティ ブローカー (CASB) の範囲を超えて、クラウド アプリ内のデータを保護するアプローチが必要です。
ライセンス
Microsoft E5 に内包されています。個別に買う場合にはEMS E5があればよいようです。
詳しくは下記リンクの資料や、営業担当者に問い合わせをしてみてください。
(2023/12現在)
設定方法
設定 → クラウドアプリ → アプリコネクタ → 新規追加
Box管理者の権限を持っているユーザーで認証すれば、接続は完了です。
設定するとどうなるか
接続が完了すると以下のようなダッシュボードが作成されます。
代表的な3つを紹介。
サービスの情報
(これは接続しなくても見られます)
アクティビティ
分析情報
テナント全体でのファイルの種類や共有状況がわかります。
アラート監視
BoxをMicrosoft Defender for Cloud Appsと統合すると、アクティビティを監視して、アラートを吐き出すように設定できます。
事前構築済みのアラートは以下の4種類(2023/12時点)あります。
また、このアラートに引っかかったファイルやユーザーなどのアクティビティに対して、以下の対応を自動的に行うことも可能です。
例えば、テナント全体で共有リンクの有効期限を無制限まで設定可能にしている場合でも、パスワード設定がされていないものについては365日で有効期限が付与されるように自動設定する…とか、
公開リンクを作成したら念のためユーザーに通知を吐き出すようにする…とか、
Box標準の機能だけでは管理しきれないタスクを自動的に処理することができます。
Microsoft 365 Defender製品全体とも統合
Microsoft 365 Defender製品全体とも統合されることになるため、SharePointなども含めて、大量のデータをダウンロードしたユーザーがいるとランサムウェアの疑いや内部リスクが高いことも考えられるため、総合的な調査も可能です。
楽なセキュリティ運用を😊
この記事を読んでいる方は、恐らくBoxなしでは仕事が行えない状況でしょう。Box単体のレポート機能だけで運用監視していると、「木を見て森を見ず」状態になることもありえます。
Microsoft Defender for Cloud Appsとの統合を活用して楽に全体監視ができる状況をつくってみてはいかがでしょうか。