業界のベストプラクティスに基づいた分類ラベルの作成と使用

未分類のコンテンツは、管理されていないコンテンツです。 コンテンツを分類することにより、コンテンツを管理できます。 コンテンツを分類する際は、まず、分類ラベルを作成します。このトピックでは、基本的な分類体系に加え、法曹/M&A、金融サービス、医療など、いくつかの業界の分類体系のベストプラクティスについても説明します。 このトピックのセクションは以下のとおりです。

• 基本的な分類ラベルの体系
  • 公開の分類ラベル
  • 個人用の分類ラベル
  • 内部の分類ラベル
  • 機密の分類ラベル
• 業界固有の分類ラベルの体系
  • 法曹/M&A業界の組織の分類ラベル
    • クライアントコンテンツ/クライアントコラボレーションの分類ラベル
  • 金融サービス機関の分類ラベル
    • コラボレータ専用の分類ラベル
    • 極秘の分類ラベル
    • PCIの分類ラベル
  • 医療組織の分類ラベル
    • コラボレータ専用の分類ラベル
    • 機密 - 匿名化されたPHIの分類ラベル
    • 制限付きPHI、制限付き機密の分類ラベル
• 分類ラベルの色
• 分類ラベルの定義
  • 一般的な分類: シンプルに保つ
  • コンテンツ/コンテンツの一覧の把握
  • 既存の分類
• コンテンツの分類の自動化
• Shieldアクセスポリシーでの分類の使用
  • Shieldアクセスポリシーの制限
• Shieldアクセスポリシーの構成

Boxの分類ラベルの名前は自由形式のテキストです。 40文字以内であれば、分類ラベルに任意の名前を付けることができます。 ただし、必ずしも任意の名前を付ける必要はありません。

セキュリティ業界では、さまざまなセキュリティレベルに対して命名規則を用意しており、他の業界では、その命名規則に独自の命名規則を重ねて使用することで、業界固有のセキュリティニーズに対応します。 これらの規則は要件でもなければ、何らかの規制に準拠するものでもありません。 しかし、これらの規則に従うと、他のシステムとの相互運用が容易になります。

基本的な分類ラベルの体系

基本的な分類ラベルの体系では、共通の命名規則を使用します。コンテンツセキュリティの分野に詳しいユーザーは、この規則を通じて、これらの分類ラベルを使用するコンテンツに適用される可能性のあるセキュリティレベルを推測することができます。 この体系では、以下のラベル名が使用されます。

• 公開 - 一般に公開できるコンテンツ向け
• 個人用 - 公開または共有することを目的としていない、業務と関係のないコンテンツ向け
• 内部 - 組織内で保持することを目的としたコンテンツ向け
• 機密 - アクセスに特定の承認が必要なコンテンツ向け

基本的な分類体系は優れているだけでなく、コンテンツのセキュリティレベルを高める必要がある他の業界では、多くの場合、まずこの分類体系をベースラインとして使用してから、よりきめ細かい具体的な分類やこれらの分類のサブ分類を追加します。

多くの基本的なコンテンツの分類体系では、内部と機密のみが使用されます。 これらの分類は、ある程度の管理を必要とするコンテンツを識別するには十分ですが、使用する分類が内部と機密だけだと、一部のコンテンツが未分類のままになる可能性があるため、すべてのコンテンツを適切に管理したい場合には最適とは言えません。

これらの分類には、通常、以下のセクションで説明するような目的があります。

公開の分類ラベル

公開の分類は、通常、直接配布または公開によって一般に普及することを目的としたコンテンツに使用されます。 このタイプのコンテンツの例として、発表されたプレスリリース、製品サポートドキュメント、ソーシャルメディアの公式の記事などが挙げられます。

個人用の分類ラベル

個人用の分類は、通常、公開または共有することを目的としていない、業務と関係のないコンテンツに使用されます。 ビジネス環境で使用されることはめったにありませんが、組織のBoxインスタンスに個人のコンテンツを保存することを許可すると、この分類を使用する必要が生じる場合があります。

内部の分類ラベル

内部の分類は、通常、組織内での使用を目的としたコンテンツに使用され、一般向けや外部関係者向けではありません。 場合によっては、この分類が適用されたコンテンツへのアクセスは、特別に承認された外部関係者に許可することができます。 このタイプのコンテンツの例として、方針や業務のマニュアル、チームの議事録、社内プロジェクトの計画書、社内ニュースレター、従業員の研修資料、社内連絡が挙げられます。

機密の分類ラベル

機密の分類は、業界によって別の意味合いや追加の層が付加されます。 基本的な定義としては、厳しいセキュリティ対策下に置かれている、アクセスに特定の承認が必要なコンテンツが対象となります。 業界や組織が機密という分類の定義に追加できるその他の説明は以下のとおりです。

• 業務上の機密データを含み、権限のない人 (一般の人々や大半の従業員を含む) と共有した場合に企業に損害をもたらす可能性のあるコンテンツ。
• 個人情報を保護するためにPHI/PII (個人の健康情報/個人識別情報) が削除され、引き続き研究、方針決定、医療制度管理に使用される健康情報を含むコンテンツ。
• 従業員全員が利用できるものの、保護が必要な機密データを含むコンテンツ。
• 組織内外の信頼できる人々との共有が許可されている機密データを含むコンテンツ。

このタイプのコンテンツの例として、PII (個人識別情報) を含むコンテンツ、財務記録と財務報告書、自社の研究および開発に関するドキュメント、契約書、共有プロジェクトのドキュメント、未公開のスクリプト、契約上の合意、財務諸表、非公開のマーケティングプラン、匿名化された臨床試験データおよび患者調査、公衆衛生の研究に使用する匿名データ、戦略や将来的な計画が挙げられます。

業界固有の分類ラベルの体系

法曹/M&A、金融サービス、医療といった業界の組織では、通常、基本的な分類体系で対応できないコンテンツセキュリティを必要としています。 以下のセクションでは、上記の基本的な分類体系を基に作成された、業界固有の分類体系のベストプラクティスを説明します。

法曹/M&A業界の組織の分類ラベル

法曹業界では、かなりの量のコンテンツを、限られた数の人に制限する必要があります。 法曹/M&A業界の組織のニーズに対応した分類体系では、3つの基本的な分類ラベル (公開、内部、機密) に加えて、次の分類ラベルが使用される場合があります。

クライアントコンテンツ/クライアントコラボレーションの分類ラベル

この分類は、通常、組織外の明確に定義された人に制限する必要がある、組織内の人が使用できるコンテンツや、クライアントまたはパートナーと作成、共有、コラボレーションするコンテンツに使用されます。 例として、クライアント用に開発中のスクリプト、ストーリーボード、共有プロジェクトのタイムライン、納品スケジュールが挙げられます。

金融サービス機関の分類ラベル

金融サービスの業界では、守秘義務とガバナンスの両方が求められます。 コンテンツには、個人識別情報 (PII) と機密性の高い金融情報の両方を含む情報が含まれる場合があります。 金融機関のニーズに対応した分類体系では、3つの基本的な分類ラベル (公開、内部、機密) に加えて、以下の分類ラベルが使用される場合があります。

コラボレータ専用の分類ラベル

この分類は、通常、信頼できる外部関係者とのみ共有することを目的としたコンテンツに使用されます。 例として、パートナー会社との共同プロジェクトのレポート、共有する財務分析情報、共同研究が挙げられます。

極秘の分類ラベル

極秘の分類は、通常、開示された場合に個人または会社に相当な損失やリスクをもたらす可能性のある、極めて機密性の高いコンテンツに使用されます。 このタイプのコンテンツの例として、従業員や顧客の情報、パスワード、ソースコード、契約書、発表前の財務データ、取引報告書、M&Aの詳細、幹部向けの連絡が挙げられます。

PCIの分類ラベル

この分類は、通常、クレジットカード業界のセキュリティ基準 (Payment Card Industry Data Security Standard: PCI DSS) が適用される情報 (クレジットカードやカード保有者の機密性情報など) を含むコンテンツに使用されます。 このタイプのコンテンツの例として、クレジットカード番号、カード保有者の名前、カード保有者の認証データ (CVVやPIN番号など) を含むコンテンツが挙げられます。

医療組織の分類ラベル

医療業界には、病院や診療所から、製薬会社や医療機器開発会社、公立や民間の研究機関まで、さまざまな種類の組織があります。 単純な分類体系が効果的な組織もあれば、特に政府機関と協力する場合など、よりきめ細かなレベルのコンテンツセキュリティを必要とする組織もあります。 多くの組織では、基本的な体系に加え、個人の健康情報 (PHI) を含むコンテンツには固有の分類を定めています。 医療組織のニーズに対応した分類体系では、3つの基本的な分類ラベル (公開、内部、機密) に加えて、以下の分類ラベルが使用される場合があります。

コラボレータ専用の分類ラベル

この分類ラベルは、組織が信頼できる外部関係者のみと共有したいコンテンツに使用されます。 例として、パートナー組織と共有する調査結果、共同の臨床試験データ、診察や照会を目的として共有される患者データが挙げられます。

機密 - 匿名化されたPHIの分類ラベル

これは業界固有の専門的な分類で、個人情報を保護するために識別情報が削除されているものの、引き続き研究、方針決定、医療制度管理に使用される健康データを含むコンテンツに使用されます。 例として、匿名化された臨床試験データおよび患者調査、公衆衛生の研究に使用する匿名データが挙げられます。

制限付きPHI、制限付き機密の分類ラベル

これらは業界固有の専門的な分類です。 制限付きPHIは、直接または間接的に個人を特定できる健康データを含み、HIPAA (Health Insurance Portability and Accountability Act) の規制下で保護されているコンテンツに使用されます。 例として、個人の医療記録 (患者の氏名や生年月日などを含む)、医療費の支払い情報、PHIを含むコンテンツが挙げられます。

制限付き機密は、不正アクセスにより、関係する個人に重大な損害、苦痛、不公平をもたらす可能性がある、機密性の高い健康関連情報または個人情報を含むコンテンツに使用されます。 例として、患者の診療記録、臨床検査結果、遺伝情報やメンタルヘルス情報などのリスクの高い健康データが挙げられます。

分類ラベルの色

Box Shieldでは、分類ラベルの作成時に定義する特徴の1つとして、色を割り当てます。 色には特に意味はありませんが、一般的に、特定の色が特定の制御レベルと関連付けられています。 さらに、一部の色は、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁のTraffic Light Protocol Definitions and Usage (トラフィックライトプロトコルの定義と利用方法) に準拠しています。これは、「機密情報を確実に適切な組織または人に共有するために使われる一連の標示」であり、「情報の受信者に求められる情報共有の境界を示すために4つの色を用いること」を示しています。

当然ながら、組織用に作成する分類ラベルには独自の配色を関連付けることができます。 ただし、名前付けの場合と同様に、ラベルが示すコンテンツのセキュリティレベルを一般に連想させる色を選択すると、他のシステムとの相互運用に役立ちます。 配色のベストプラクティスを以下に示します。

• 公開: 緑色
• 個人用: 黄色
• 内部: 黄色、オレンジ色、青色
• 機密: 黄色、赤色
• 極秘: 赤色
• コラボレータ専用/クライアントコンテンツ/クライアントコラボレーション: 黄色、紫色
• 制限付き (PHI、機密): 黄色、赤色

分類ラベルの定義

これは、コンテンツの安全性を確保するための第一歩になります。 自分の組織にはどの分類が適しているかという質問に回答してください。

Boxの分類ラベルは、最初は白紙の状態で、 自分の状況に合わせて自由に定義できます。 ただし、分類ラベルに一般的な分類を使用することは、コンテンツに合っているのであれば、社内外で共同作業を行っている相手やコンテンツの共有相手がコンテンツのセキュリティについて共通の認識を持つことを意味します。

また、組織に必要な分類ラベルの数を教えてください、という質問がよくあります。 これは、状況によって異なります。 ただし、原則として、分類を必要以上に作成する必要はありません。 定義が非常に似た分類ラベルを多数作成すると、分類が乱雑な状態になりがちです。

一般的な分類: シンプルに保つ

上のセクションにある多くのオプションを見たうえで、コンテンツを分類して制御する方法を考え始めると、多ければ多いほどよい、つまり、広範囲にわたるきめ細かな構造が最適であると考えるかもしれません。 ただし、それは当てはまらない場合があります。 シンプルにすることで、以下のような多くの利点があります。

• 明確化: 分類の数が少ないほど、各分類が何を意味するかを明確にすることができます。
• 使いやすさ: ユーザーの選択肢が増えると、どの選択肢が適切かを判断するのが難しくなる場合があります。 選択肢が少ないほど、適切なラベルが選択される可能性が高くなるだけでなく、ユーザーがファイルの分類をスキップしなくなる可能性も高くなります。

コンテンツの分類体系をまだ導入していない場合は、分類の数が3個または4個以下のシンプルな体系から始めることを検討してください。 基本的な体系として、まず、以下の3つを使用することをお勧めします。

• 内部
• 機密
• 制限付き

大規模な組織の中には、使用する分類が2つだけで、それを成功させているところもあります。

コンテンツ/コンテンツの一覧の把握

組織に役立つ分類ラベルを把握するには、まず、組織が作成、受信、保管しているコンテンツの種類を把握する必要があります。 組織の種類によっては、すでに思い浮かんでいるかもしれませんが、医療組織の場合は個人健康情報 (PHI) を含むコンテンツ、法務組織の場合はクライアントまたは契約書の情報を含むコンテンツ、報道組織の場合はNDA (秘密保持契約) 下のコンテンツなどがある場合があります。一方、インサイトダッシュボードを確認することにより、組織がBox内に保存しているファイルの数を把握できるほか、包括的な [フォルダとファイル] レポートでは、これらのファイルに関するインサイトが示されます。

既存の分類

コンテンツの分類体系をすでに導入しているかもしれません。その場合は、その分類体系を簡単にBoxに反映することができます。  Microsoft Information Protectionを使用すると、さらにこれが容易になります。

コンテンツの分類の自動化

コンテンツの分類の基本的な体系は設定できましたが、 Box内のコンテンツはまだ分類されていません。 分類されるまでは、コンテンツの安全性を確保できません。

コンテンツの分類を手動で行う必要はありません。 Boxの分類ポリシーを使用すると、定義したファイルの条件に基づいて自動的に分類ラベルを適用できます。

これを考えるのに最も簡単な方法として、コンテンツXを含むファイルに分類Yを適用する、などが挙げられます。 以下に例を示します。

• クレジットカード番号を含むファイルは、機密として分類する必要があります。
• メールアドレスまたは電話番号を含むファイルは、内部として分類する必要があります。
• クレジットカード番号を含むファイルは、制限付きとして分類する必要があります。

この簡単な例では、Boxの分類ポリシーがどのようにファイルの条件を使用してコンテンツを自動的に分類するかを少しだけ説明したにすぎません。

Shieldアクセスポリシーでの分類の使用

コンテンツに使用できる分類体系を定義し、分類ポリシーを使用してコンテンツを分類したら、次の手順では、分類に基づいてアクセスレベルを決定するShieldアクセスポリシーを定義します。 Shieldアクセスポリシーの重要な要素は、ポリシーでコンテンツへのアクセスを制限する方法です。 重要なのは、業界のベストプラクティスに合うようにアクセス制限と適切な分類ラベルを組み合わせることです。

Shieldアクセスポリシーの制限

Boxでは、Shieldアクセスポリシーを使用することにより、以下のようないくつかの方法でコンテンツを制御および制限することができます。

• 外部コラボレーションの制限。これにより、コンテンツでのコラボレーションを許可するユーザーとブロックするユーザーを定義します。
• 共有リンクの制限。これにより、共有リンクにアクセスできるユーザーとアクセスできないユーザーを定義します。
• ダウンロードと印刷のブロック (管理対象ユーザーと外部ユーザーの両方が対象)。
• サードパーティ製アプリケーションの使用のブロック。
• FTP経由でのBoxへのアクセスのブロック。
• Box Signの使用のブロック。
• 電子すかしの適用。

Shieldアクセスポリシーの構成

分類を定義し、コンテンツの分類を構成して自動化したら、コンテンツを保護するShieldアクセスポリシーを構成できます。 詳細については、業界のベストプラクティスに合わせたShieldアクセスポリシーの構成を参照してください。