BoxとDropboxをリスク視点で比較したら？ 画面で分かるCASBの魅力：IT導入完全ガイド（3/6 ページ）

[酒井洋和，てんとまる社]

DLPポリシー画面

　情報漏えいを防止するためのDLPに関するプロファイルを設定する画面。画面上ではPCI DSSやGDRP、HIPPAなどのガイドラインに沿ったポリシーやクレジットカード番号などに関連したものが設定されており、これらに違反するものをDLPとして検知し、情報流出を防ぐことができるようになる。

　ポリシー自体はローカライズが進められており、例えば日本でいえばマイナンバーに関連した情報が入ったファイルのアップロードを防ぐというコトも可能。このプロファイルは単純な桁数ではなく、アルゴリズムとして設定されている。もちろん、例えば免許書の画像イメージや見積書のフォーマットを事前に登録しておき、画像認識にてマッチングさせて情報統制を図るといった、独自のプロファイルを設定することも可能だ。

図7 DLPポリシー画面例（出典：東京エレクトロンデバイス）

設定ポリシー違反画面

　実際にDLPで設定されたポリシーに違反する行為を行った場合の警告画面。これはアップロードしてはいけない画面をアップロードしたときの警告画面だ。CASB自体の画面は日本語にローカライズされていないが、違反を通知するエラー画面はHTMLにてフォーマットが決まっているだけであり、テキスト自体はダブルバイト対応しており、自由に設定できる。

　なお、ポリシー的に問題があっても業務上一時的にアップロードする必要性があるといった場合は、その場で「今回はテスト用なのでアップロードします」といった理由を記載し、記録として残しておくことでアップロードさせる、といった運用も可能だ。

　また、DLPを設定すれば、FacebookやTwitterに書き込む文言を制御することも可能で、役員の悪口を2chに欠かせないよう、役員の名前とNGワードをCASBに登録し、And条件で双方がそろった文言はポストさせない、といった運用も可能になる。

図8 設定ポリシー画面例（出典：東京エレクトロンデバイス）

図9 違反コンテンツのアップロード画面例（出典：東京エレクトロンデバイス）

　他にも、Boxなどのサービスは企業にて契約しているものもあれば、個人で利用しているケースもあり、従業員が独自に使い分けている場合も多い。その場合、企業アカウントだけはログインさせ、個人アカウントは許可しないといった運用も可能で、以下の画面はその一例。逆にプライバシー保護の観点から、企業契約しているインスタンスだけはCASBで監視し、個人で契約しているものはCASBを経由させずに自由に利用できるようにするといった柔軟な使い方にも対応できる。

図10 未許可ドメインでのログイン画面例（出典：東京エレクトロンデバイス）

　なお、これらポリシーに照らし合わせて情報漏えいを防ぐ機能を実装するためには、リアルタイムでの対処が必要になるため、必ずCASBを通過させるインライン型の運用が必要になる。企業内で利用する許可されたサンクションITであれば十分可能だが、シャドーITや社外利用を想定した 運用を行うのであれば、エージェントを導入して全ての通信をCASB経由にするといった運用が欠かせない。