クラウドコンテンツ管理の米Boxは10月3日から2日間、米サンフランシスコで年次カンファレンス「BoxWorks 2019」を開催。今年のキーワードは「セキュリティ」と「ビジネスプロセス」で、製品では「Box Shield」と「Box Relay」にスポットが当たった。

プロダクトの基調講演を行った同社のCPO(最高製品責任者)Jeetu Patel氏はまず、クラウドコンテンツ関連の各種調査会社(Gartner、Forrester Research、IDC)でBoxがリーダーになっている図を見せた。

  • 米Box CPO(最高製品責任者)Jeetu Patel氏

クラウドストレージベンダーとして最初から法人を狙った同社の戦略は奏功しており、ここ数年はコンテンツを中核としたコラボレーションプラットフォームとしての機能を強化してきた。

Patel氏は現在の機能強化の柱として次の3つを挙げた。

(1)セキュリティと規制遵守(コンプライアンス)
(2)社内・外のコラボレーションとワークフロー
(3)他のSaaSやシステムとの統合

(1)のセキュリティは、作業を中断しない”ストレスのなさ”がポイントだ。それを実現するために、インフラと機能の両方で取り組みを進めてきた、とPatel氏。インフラはクラウドストレージとして創業した当初からの取り組みで、回復力と拡張性のあるクラウドインフラを構築している。ここではデータの暗号化、どこに保存するのかを特定できるBox Zonesなどの特徴がある。その土台の上に、暗号鍵を企業が管理できるBox KeySafeなどのセキュリティ、そして各地域のプライバシー規制や業界の規制などの規制遵守を実現していると説明する。

先に発表済みの「Box Shield」は、このようなセキュリティの取り組みをさらに前進させるものとなる。Box Shieldの背景について、Patel氏は、現在のセキュリティソリューションがクラウド時代を想定したものではない点を指摘した。デジタルコンテンツが増えているだけでなく、コンテンツの共有が簡単に行われ、社内外を問わずやり取りされる機会が増えている。機密性の高いコンテンツも増えているという。これに伴い、攻撃も増えている。「1回のデータ漏洩で平均すると2万5000件の記録がリークしており、平均損害額は390万ドル」とPatel氏は言う。

これまでのように、セキュリティ機能を追加する"ボルトオン"アプローチは「もはや機能していない」とPatel氏。個人を特定できる情報(PII)の漏洩の2大原因である「不注意な行動」(デバイスをなくす、誤って情報を開示してしまったなど)と「悪意ある行動」(マルウェアや悪意あるハッキング、社内の悪意ある人による開示)を防ぐことはできないと述べる。なお、2018年に14億件にも及んだPIIのうちの55%が不注意な行動、45%が悪意ある行動だったとのことだ。

Box Shieldは、このような状況に対するBoxの回答となる。「より精緻なセキュリティコントロール、内部と外部のユーザー向けのガードレール、体験の中にセキュリティを入れる」とPatel氏。機能としては、「スマートアクセス」「脅威の検出」の2つに分類される。スマートアクセスは、情報の機密度を分類するラベルを作成することで、共有などを管理できるもの。脅威の検出は、機械学習を利用してダウンロードやアクセスなどで異常があればそれを検出するというものだ。

「たくさんのクラウドがあり、ユーザーは複数のデバイスから、様々なアプリケーションにアクセスして仕事をしている。複雑性は増しており、コンテンツレイヤが効果的に全てのアプリケーションを統合できる必要がある」とPatel氏。

BoxWorkdでは、2019年10月末にBox Shieldの一般提供を開始することを発表した。

  • Box Shieldでは分類によりセキュリティポリシーを強制できる。画面ではフォルダに対して、「公開」「機密」「パートナーのみ」から分類を選択しているところ。外部とのコラボレーションについても「NDA契約をしたパートナー」などと設定できる。

  • Box Shieldの脅威の検出機能のデモ。通常ニューヨークからアクセスしているのに、ウクライナからダウンロードがあったことを異常と検出して通知している。ダッシュボードを使って、アラートのルール(地理、ダウンロードなどの行動、セッションなど)を設定することもできる。