組織を超えたコラボレーション基盤に進化するオンラインストレージ最新動向：IT導入完全ガイド（2/5 ページ）

[小山健治，キーマンズネット]

エンタープライズ利用の大前提となるセキュリティ機能とデータ保護

　クラウド型のオンラインストレージをエンタープライズで利用していく上で、不安要素として挙げられる例として多いのがセキュリティの確保だ。しかし、主要なオンラインストレージのセキュリティは、エンタープライズ用途でも十分に信頼できるレベルに達している。例えば下記のような、米国や英国の政府機関がオンラインストレージを利用しているという事実からも、それを裏付けることができるだろう。

　2015年4月には米国防総省が、5月には、米国司法省もオンラインストレージの利用を発表。組織内外の情報共有や協業、モバイル端末からの情報アクセス、乱立するドキュメント管理ツールの一元化などに役立てるとしている。同年6月には英国のガバメントデジタルサービスも、オンラインストレージを使って組織内外で公式文書を共有することを承認した。

　オンラインストレージでのセキュリティ確保は、ファイルやフォルダに対する「アクセス権限」および「ダウンロード制限」、ユーザーの「アクセス監視」「アクセスログの監査」といった機能を備えていることが基本となる。また、データを預けるクラウド（データセンター）側においても、不正アクセス防止や自動バックアップなどの仕組みがしっかり整備されていることが重要な要件となる。

図1 クラウドをベースとしたセキュリティを確保（出典：Box Japan）

図2 セキュリティ管理の操作画面例（ダウンロード履歴の確認）。指定した期間内にダウンロードされたファイルとその所有者などを確認する（出典：日本IBM）

　さらに、現在もオンラインストレージのセキュリティ機能の強化は日々進んでおり、以下にその主なトピックを紹介しておきたい。

AES256による暗号化

　AES256により通信ならびにオンラインストレージに保存されているデータそのものに対しても暗号化を行う。さらに暗号化に使用した鍵をユーザー側で管理することで、オンラインストレージのベンダーでさえ解読できない信頼性を保証する（図3）。

図3 暗号鍵はユーザーが管理（出典：Box Japan）

電子透かし機能

　スマートフォンやPCの画面に表示された文書をデジカメで盗撮するといった手口に対応するため、表示内容に閲覧者の情報や日付などの「透かし」を表示する（※2015年秋以降Boxにて提供開始予定）。

図4 「透かし」の例（出典：Box Japan）

共有フォルダに対するセキュリティ強化

　特に外部の関係者（ゲスト）を招待する共有フォルダに対して、パスワードの有効期限の設定、詳細なアクセス権限の設定、特定のコンテンツにアクセスした人物のリストアップ、アクティビティログによる行動監視、監査などを可能とする。

表1 アクセス権限の種類とログの監視（出典：Box Japan）

図5 アクセス権限の種類とログの監視（上）Boxのコンテンツマネジャーで特定のコンテンツにアクセスした人を洗い出す（下）ログに記録されたアクティビティから全ての行動を可視化（出典：Box Japan）

エンドポイントのセキュリティ脆弱（ぜいじゃく）性への対応

　オンラインストレージにアクセスしようとしているユーザーのデバイスについて、ジェイルブレイクなどの違法改造の有無、ウイルス対策の実装、OSバージョン（サポート切れ）などのセキュリティレベルをチェックする。その結果、「信頼できない」と判断されたものについては接続をブロックする。

ユーザーのローカルデバイスへの情報の拡散防止

　ユーザーがオフライン環境でも作業することを考えると、オンラインストレージと自動的に同期をとりながら、ローカルデバイスにもファイルを保存できた方が便利である。これを「プッシュ型」の情報共有と呼ぶ。ただし、多くのローカルデバイスに情報が拡散することになるため、必然的にセキュリティリスクは高まる。

　これに対して常にオンラインストレージにアクセスする「プル型」の情報共有では、オフライン環境での作業には適さないが、ローカルデバイスにファイルを残すことがなく、セキュリティリスクを軽減することができる。

　ユーザーの担当業務や目的に沿って「プッシュ型」と「プル型」を適材適所で組み合わせることで、利便性と安全性のバランスのとれた情報共有を実現することができる。

「ISO27001」によるデータセンターの信頼性

　オンラインストレージを利用する上でのセキュリティに対する懸念の1つは、「実際にどんなデータセンターでサービスが運用されているのか見えない」という点ではないだろうか。そうした中での目安となるのが、データセンターにおけるセキュリティの最高基準とされる「ISO27001」およびクラウドのプライバシーとデータ保護に関する世界発の国際規格「IS27019」の認証だ。同規格の認証取得にいち早く取り組み、公表しているベンダーもある。