はじめに
企業や学校などの組織でBoxを使う際に、セキュリティと利便性のバランスを上手く取っていくうえで、適切なフォルダ設計と各フォルダへのセキュリティ設定がとても重要です。この記事ではBoxにおけるフォルダ共有設定の基礎と、それを利用した定石パターンについて紹介します。
なお、初心者〜中級者のBox管理者を読者として想定しています。
コラボレーション(フォルダ共有)と共有リンク
Boxにおいてファイルやフォルダを組織内外のユーザーと共有する場合、主に以下の2つの方法があります。
- コラボレーション(フォルダ共有)
- 共有リンク
まずはこの2つの共有方法について解説します。「そんなの知ってるよ!」という方は、スキップしていただいて結構です。
コラボレーション(フォルダ共有)
コラボレーションはフォルダに対して組織内外の他のユーザーを「招待」することで、複数のユーザーがそのフォルダにアクセスできるようになり、そこでファイルの閲覧や編集などの共同作業をできるようにするものです。招待されたユーザーのことを「コラボレーター」と呼んだりします。
コラボレーションは、SIerと顧客企業におけるITプロジェクトや、大学間での共同研究など、ある程度の期間に渡って複数のユーザーが一緒に作業をするような場合に利用されます。
コラボレーターを招待する際にそのアクセス権レベルを指定できるのですが、Boxでは以下の7段階のアクセス権があります。共同でファイルの作成・編集をするような場合は「編集者」で招待することになります。ファイルを見せるだけ(ダウンロードもさせたくない)という場合には「プレビューアー」が適切です。PC上で作成したファイルをアップロードさせるだけ、フォルダ内のファイルを見せる必要もないというケース(あまり数は多くないかもしれませんが)においては、「アップローダー」が妥当でしょう。
なお、あまり知られていませんが、実はBoxではフォルダではなくファイル単位でコラボレーションを行うことも可能です。ただ実際のところファイル単位でのコラボレーションが利用されるケースは非常に稀で、99%以上のケースではフォルダ単位のコラボレーションを利用するのが適切と言えます。よって、ここではフォルダ単位のコラボレーションを前提としてお話を進めていきます。
共有リンク
共有リンクはファイルやフォルダに外部共有用のURLを設定し、そのURLをメールやチャットで相手に送ることでそのファイルを参照させる、というものです。
共有リンクには以下の3段階のアクセス権設定があります。
- リンクを知っている全員
- URLをクリックすれば誰でも(Boxアカウントを持っていなくても)アクセスできる
- 会社のユーザー
- 同一組織(企業・会社)のユーザーのみがアクセスできる
- 招待されたユーザーのみ
- そのフォルダにコラボレーターとして招待されているユーザーのみがアクセスできる
一つめの「リンクを知っている全員」の共有リンクは、通称オープンリンクと呼ばれたりします。オープンリンクはBoxユーザーでない相手にもファイルを閲覧させられるのでとても便利なのですが、一方でURLが分かってしまえば誰でもアクセスができてしまうので、機密度の高いファイルにオープンリンクを設定することは好ましくありません。
フォルダ設定
あまりご存じない人もいるかもしれませんが、フォルダごとの「設定」という画面があり、ここで各フォルダでのコラボレーター招待や共有リンク設定に色々な制限をかけることができます。ここでは、この中で特に重要な3つについてご紹介します。
一般ユーザーによるコラボレーション招待を禁止する
先述の通り、Boxでフォルダを共有して共同でファイルを作成・編集する場合は「編集者」権限でコラボレーター招待をすることになります。ただしBoxでは「編集者」権限を持つコラボレーターは、他のユーザーをコラボレーターとして招待する権限を持ちます。
ただ、特にセキュリティレベルの高いフォルダでは、コラボレーターの招待を一般のユーザーにはさせず、特定のユーザー(IT部門とか役職者とか)だけがコラボレーター招待をできるようにしたい、というケースもあります。その場合は**「コラボレーターへの招待を送信できるのは、フォルダの所有者または共同所有者のみ」**をチェックしてください。これにより、このフォルダでは編集者はコラボレーター招待ができなくなり、所有者/共同所有者に依頼してコラボレーターを招待してもらうことが必要になります。
コラボレーションを組織内に限定する
フォルダを組織外のユーザーと気軽に共有できるのはBoxのメリット一つですが、中には「このフォルダは絶対に組織外とは共有してはいけない」というものもあると思います。その場合は**「コラボレーションを(自組織)内に制限する」**をチェックしてください。こうすると、このフォルダで組織外のユーザーをコラボレーターとして招待しようとするとエラーになります。
オープンリンクを禁止する
オープンリンクはクイックにファイルを共有するうえでとても便利ですが、セキュリティ上好ましくないケースもあります。Boxテナント全体でオープンリンクを禁止することもできるのですが、そうするとBoxの利便性が大きく損なわれてしまいます。機密度の高いフォルダに限って、オープンリンクを禁止するのがベストプラクティスです。
「このフォルダに共有リンクからアクセスできるのはコラボレーターのみに制限する」をチェックすると、フォルダ内で作成できる共有リンクは「招待されたユーザーのみ」だけになり、オープンリンクを作成することができなくなります。
フォルダ設計・設定の定石パターン
この3つの設定項目を利用することで、いろいろな要件に対応することができます。一般的な企業におけるBoxフォルダ設計の定石パターンとして、以下のようなものが考えられます。
| フォルダ種別 | 一般ユーザーによる コラボレーション 招待を禁止する |
コラボレーションを (自組織)内に 制限する |
このフォルダに 共有リンクから アクセスできるのは コラボレーター のみに制限する |
|---|---|---|---|
| A. 社内専用フォルダ | Yes | (Yes) | |
| B. 社外共有フォルダ | (Yes) | ||
| C. 機密フォルダ | Yes | (Yes) | Yes |
A. 社内専用フォルダは社内での自由なコラボレーションのために一般ユーザーにもコラボレーション招待を許可しますが、社外のユーザーを招待することはできません。オープンリンクを禁止すべきかどうかは議論の分かれるところですが、オープンリンクを作成したいファイルは社外共有フォルダに置くというルールにして社内専用フォルダではオープンリンクを禁止、というのも理にかなった設計と言えるかもしれません。
B. 社外共有フォルダについては、一般ユーザーによる社外コラボレーター招待を許可するかどうかは各組織のポリシー次第で判断することになります。オープンリンクは当然許可すべきでしょう。
C. 機密フォルダについては、一般ユーザーによるコラボレーションは禁止することが妥当かもしれません。機密フォルダといっても、特定の他組織と共有する機密情報の場合もあるかもしれません。オープンリンクは禁止が妥当でしょう。
なおこれらのフォルダ設定は、Boxでは下位のフォルダに自動的に継承されます。なので、「B.社外共有フォルダ」の下にX社との共有フォルダやY社との共有フォルダをサブフォルダを作っていけばよいのです。
そして、ここがポイントなのですが、上位のフォルダで設定された内容を下位のフォルダでより緩い設定にすることはできません。**つまり、上位のフォルダでオープンリンクを禁止したら、その下位のフォルダでオープンリンクを許可することはできません。**ちなみに、逆は可能です。つまりオープンリンクが許可されたフォルダのサブフォルダでオープンリンクを禁止することは可能です。
なので、上記の3つのフォルダを作り、それぞれに適切なフォルダ設定を施したうえで、その下に各チームや各プロジェクトごとのフォルダを作っていくことで、適切なフォルダ設定が自然と(でも強制的に)適用されるようになります。
さいごに
Boxはとてもシンプルで使いやすいツールですが、ユーザーにより便利かつセキュアに使ってもらうためには、フォルダ設計と各フォルダへの設定を管理者が正しく行っておくことが重要です。上記は一つの考え方ですが、これが唯一の正解というわけでもないので、ぜひ自分の組織のポリシーや運用にあったフォルダ共有設定を考えてみてください。
以下のセミナーもとても参考になると思うので、よろしければぜひ。