GSX、設定不備に起因するセキュリティ事故防止を支援する「Box設定診断サービス」

　グローバルセキュリティエキスパート株式会社（GSX）は25日、資本業務提携を結んでいる丸紅I-DIGIOホールディングス株式会社（以下、丸紅I-DIGIO）と連携し、クラウドストレージ「Box」をセキュアに利用するための「Box設定診断サービス」を提供開始したと発表した。

　「Box設定診断サービス」は、Boxをセキュアに利用できるよう、その設定状況を診断するサービス。事前のヒアリング内容に基づいてBox環境の設定を診断し、課題を抽出するとともに、設定を考慮すべき項目（カテゴリ）の明確化や、ガイドラインに準拠できていない項目、他製品との組み合わせを考慮すべき項目、その理由や対応方法などをまとめてレポーティングするとした。レポートは報告書として提出するのみならず、報告会も実施する。

　診断では、米国政府機関が定めたセキュリティ基準を示すガイドライン「NIST SP800-171」や、ゼロトラストアーキテクチャ導入のためのフレームワークである「NIST SP800-207」に基づき、設定を考慮すべき項目を5つのカテゴリに分類。それぞれの評価内容を明確化し、評価内容に準拠しているかどうかを確認する。

　具体的な項目は以下の通り。

・設定による表示項目や通知など基本設定の確認を行う「テナント基本設定」
・SSO（シングルサインオン）の設定やサインアップ等の設定項目による認証の制限、デバイス制限などの確認を実施する「識別・認証・認可」
・外部コラボレーションにおける許認可の設定、コラボレータに対する制限などを調査・確認する「ファイル共有」
・公開アプリケーションにおける許認可設定や既存連携アプリの確認、Box Signなどの設定状況を確認する「アプリケーション連携」
・管理者を有するアカウントに関して、設定やログ監査および運用について設定確認およびヒアリングシートベースで確認を行う「特権管理・監査」

　なおプランとしては、NIST SP 800-171およびNIST SP800-207をベースに、現状のセキュリティ設定に関するアセスメントを実施する「Box設定診断」を基本とし、アクティビティレポートの分析により、クラウドの利用基準に基づいて利用できているのかどうかを診断する「監査ログの調査」、現状の連携アプリケーションを一覧化したうえで、特にスクラッチ開発されているようなアプリケーションに対してのAPI診断やBox側のScopeの適用状況などを調査する「Box連携アプリ診断」の両オプションを用意した。