機密性の高いコンテンツが誤って漏えいするのを防ぐために、スマートアクセスを使用すると、Shieldで自動的に適用されるアクセスポリシーを設定できます。スマートアクセスを使用した場合、自動制御を使用すると、コンテンツの分類に基づいた共有の制限、表示の制限、ダウンロードと印刷の制限が可能になります。
ユーザーの観点から、Boxがどのようにアクセスポリシーを適用するかについては、こちらの動画を参照してください。また、アクセスポリシーの作成方法については、こちらの動画を参照してください。
アクセスポリシーの上限
次の表では、アクセスポリシーにおける上限について説明します。
項目 | 上限 |
---|---|
名前 | 80文字 |
説明 | 255文字 |
ポリシー数 | 26 (各分類用に25個 + 未分類コンテンツ用に1個) |
アクセスポリシーの適用と 監視
アクセスポリシーがユーザーのBox内のコンテンツへのアクセスに影響することや、Boxに大量のコンテンツを保持している場合があることから、アクセスポリシーを適用する前に、このポリシーによるアクセス制限の詳細を確認することもできます。5種類のアクセスポリシーのうち、[外部コラボレーションの制限]、[ダウンロードと印刷の制限]、[アプリケーションの制限]、[FTPの制限] の4つでは、ポリシーを有効にする際に、ポリシーの制限をすぐに適用するのではなく、監視するように選択できます。その後、イベントAPIを使用してポリシーの制限の違反を監視することができます。
アクセスポリシーの作成
スマートアクセスでは、共有とダウンロードを対象として、分類に基づくアクセスポリシーを最大25個まで作成および適用し、アクセス範囲を制限できます。
アクセスポリシーを作成すると、次のことが可能になります。
- 分類ラベルを選択する。
- 定義したドメインのリストに基づいて、外部ユーザーにコラボレーションの制限を指定する。
- コンテンツの共有リンクにアクセスできるユーザーを指定する。
- ユーザータイプ別に、ダウンロードと印刷をすべてのプラットフォームから実行するか選択したプラットフォームから実行するか、制限を選択する。
- サードパーティ製アプリケーションがAPI呼び出しを使用してコンテンツをダウンロードしないように制限する。
- FTPダウンロードを制限する。
Shieldでは、選択内容に応じて、分類ラベルでマークされたすべてのコンテンツまたはその時点で分類ラベルが付いていないコンテンツにこのアクセスポリシーが適用されます。
アクセスポリシーの作成方法
- 管理コンソールの左側のペインで、[Shield] をクリックします。
- ウィンドウ上部で、[アクセスポリシー] をクリックします。
- 右上の [ポリシーの作成] をクリックします。[アクセスポリシーの作成] ウィンドウが表示されます。
- [ポリシー名] に、ポリシーの名前を入力します。
- [説明] に、説明を入力します (省略可)。
- [コンテンツの種類] で、次のいずれかを選択します。
- [分類ラベルがないすべてのコンテンツに適用する]
- [次の分類ラベルを含むコンテンツにのみ適用する] の後に分類ラベルを選択します。
- [セキュリティコントロール] で、[セキュリティコントロールを追加] をクリックし、追加するセキュリティコントロールを選択します。セキュリティコントロールの種類ごとの設定方法の詳細については、セキュリティコントロールの種類を参照してください。
- セキュリティコントロールの [制限に対する操作] セクション ([共有リンクの制限] を除く) で、以下を選択します。
- [制限を適用する] - アクセスポリシーを開始後に有効にします。ユーザーにポリシーを適用する準備ができている場合は、このオプションを選択します。
- [制限の違反のみ監視する] - ユーザーに警告や制限を行わずに、アクセスポリシーに違反するユーザー操作を監視します。このアクセスポリシーがユーザーに及ぼす影響についてデータを収集する場合は、このオプションを選択します。
- ウィンドウの右上で、[次へ] をクリックします。ポリシーの確認ウィンドウが表示されます。
- ポリシーを適用するには、確認ウィンドウの右上で [ポリシーの開始] をクリックします。
セキュリティコントロールの種類
Box Shieldには、アクセスポリシーに追加できるセキュリティコントロールがいくつかあります。
以下のセクションでは、各セキュリティコントロールとそのオプションについて説明します。
外部コラボレーションの制限
外部コラボレーションの制限を使用すると、すべての外部コラボレーションを制限するか、ドメインやユーザーに基づいて一部の外部コラボレーションを制限することができます。また、外部コラボレーションの制限に対して例外を定義することもできます。そのためには、外部コラボレーションの制限に認める例外について業務上の正当な理由を入力します。
外部コラボレーションの制限に例外を認める場合は、業務上の正当な理由を1つ以上入力します。その後、ユーザーが社外のユーザーとコンテンツを共有しようとすると、[共有] ダイアログボックスで、アクセスポリシーの例外に対して正当な理由を選択できるようになります。
オプション | 説明 |
---|---|
ドメイン/ユーザーのオプション | |
指定されたドメインと外部ユーザーのみを許可する | スマートアクセスポリシーで外部コラボレーションを許可する対象のみを指定します。外部コラボレーションは、指定された対象のみに限定され、それ以外に対してはブロックされます。 [選択] をクリックし、ドメイン名、メールアドレス、またはShieldリストを1つ以上入力します。 |
指定されたドメインをブロックする | スマートアクセスポリシーで外部コラボレーションを阻止するドメインのみを指定します。外部コラボレーションは、指定されたドメインではブロックされ、それ以外に対しては許可されます。 |
すべての外部コラボレーションをブロックする | スマートアクセスポリシーが適用されているBox内のすべてのドメインとユーザーの外部コラボレーションがすべてブロックされます。 |
適用先 | |
新規の外部コラボレーションのみ | スマートアクセスポリシーが適用された後に作成された外部コラボレーションのみが制限されます。 |
既存および新規の外部コラボレーション | 新規および既存の外部コラボレーションすべてが制限されます。注: コンテンツの既存のコラボレータは、アクセスポリシーが適用されて制限されると、コラボレータのままであるにもかかわらず、コンテンツにはアクセスできなくなります。その制限が解除されると自動的に、再度コンテンツにアクセスできるようになります。 |
ユーザーの正当な理由 | |
ユーザーの正当な理由を許可する | [ユーザーの正当な理由を許可する] の切り替えをクリックして有効にすると、[外部コラボレーションのユーザー例外] ダイアログボックスが表示されます。
正当な理由を変更、追加、削除する場合は [正当な理由を編集] をクリックします。 [プレビュー] をクリックすると、ユーザーに表示される内容のサンプルが表示されます。 |
共有リンクの制限
共有リンクの制限を使用すると、選択された条件の共有リンクにアクセスできるユーザーを制限できます。選択できるオプションは以下のとおりです。
- [リンクを知っている全員] - 社外のユーザーを含む全員がリンクにアクセスでき、サインインは不要です
- [会社のユーザーと招待されたユーザー] - 会社のすべてのユーザーやファイルまたはフォルダに招待されたユーザーがリンクにアクセスできます
- [招待されたユーザーのみ] - ファイルまたはフォルダに招待されたユーザーのみがリンクにアクセスできます
共有リンクの制限を含むアクセスポリシーをコンテンツに適用すると、Shieldは、それ以降作成される新しい共有リンクにそのセキュリティコントロールを適用するほか、既存のすべての共有リンクにも遡って適用します。 例えば、機密コンテンツに関するアクセスポリシーを作成し、リンクの共有をコラボレータのみに制限した場合、ユーザーは、招待されたユーザーに対してのみ、機密コンテンツの共有リンクを有効にできます。さらに、そのコンテンツへの既存の共有リンクが、招待されていないユーザーと過去に共有されていても、その招待されていないユーザーは、そのリンクを使用してコンテンツにアクセスすることができなくなります。
ダウンロードと印刷の制限
ダウンロードと印刷の制限を使用すると、さまざまなプラットフォームの管理対象ユーザーや外部ユーザー別に、コンテンツのダウンロード、印刷、オンラインアクセス、オフラインアクセスを制限できます。 例えば、Boxウェブアプリのポリシーを有効にすると、制限されたユーザーでは以下のようになります。
- Box Drive、Box Tools、Box Sync、またはBox for Office経由のデスクトップでのダウンロードオプションとローカル編集が無効になります。
- Boxプレビューに印刷オプションが表示されず、ブラウザからの印刷も制限されます。ブラウザから印刷した場合は白紙ページのみが出力されます。
- ウェブ版のMicrosoft Officeでの編集は許可されますが、ウェブ版のMicrosoft Officeに印刷オプションは表示されません。また、ブラウザからの印刷も制限され、ブラウザから印刷した場合は白紙ページのみが出力されます。
- Office OnlineとiWorkからのコピーの保存が制限されます。
- [管理対象ユーザーを制限する] > [所有者/共同所有者を除くすべてのユーザーを制限する] が選択されている場合は、編集者とビューアーのファイルの移動およびコピー操作ができなくなります。
- [管理対象ユーザーを制限する] > [所有者/共同所有者と編集者を除くすべてのユーザーを制限する] が選択されている場合は、ビューアーのファイルのコピー操作ができなくなります。
- ユーザーがウェブアプリ、モバイルアプリ、デスクトップアプリなどからコンテンツを移動またはコピーすることが制限されている場合、そのユーザーがRelayを使用して作成したワークフローもコンテンツの移動またはコピーが制限されます。
- Box Driveのある場所にあるファイルをコピーしてBox Driveの別の場所に貼り付けた場合は、新規アップロードと見なされます。そのため、元のファイルの分類ラベルが新しいファイルにコピーされることはありません。
さらに、Boxが埋め込まれているアプリケーションのBox埋め込みウィジェットにも同じ制限が適用されます。
注:
[ダウンロードと印刷の制限] はBox Notesではサポートされていません。
ダウンロードと印刷の制限は、以下のいずれに対しても選択できます。
- Boxウェブアプリ
- Boxモバイル
- Boxデスクトップ
それぞれについて、制限するユーザーを選択できます。
- 管理対象ユーザー (所有者/共同所有者を除くすべてのユーザー、または所有者/共同所有者と編集者を除くすべてのユーザー)
- すべての外部ユーザー
アプリケーションの制限
アプリケーションの制限を使用すると、公開カスタムアプリケーションを含む、組織が統合されているサードパーティ製アプリケーションによるダウンロードをすべて制限することも、一部制限することもできます。ユーザーがBoxウェブアプリでファイルを開く際に選択できるウェブ版のMicrosoft Office、Google Workspace、Apple iWork、Adobe Acrobatオンラインサービスは、このアプリケーションの制限が適用されないことに注意してください。選択できるオプションは以下のとおりです。
- すべてのアプリケーションに対してコンテンツのダウンロードをブロックする - 統合アプリケーション (ウェブ版のMicrosoft Office、Google Workspace、Apple iWork、Adobe Acrobatオンラインサービスを除く) または公開カスタムアプリケーションでは、アクセスポリシーで保護されたコンテンツをダウンロードできなくなります。
- 指定したアプリケーションに対してコンテンツのダウンロードをブロックする - 指定した統合アプリケーションと公開カスタムアプリケーションのみで、アクセスポリシーで保護されたコンテンツをダウンロードできなくなります。このオプションを選択した場合は、アプリケーションまたはアプリケーションのShieldリストを1つ以上入力します。
- 指定したアプリケーションにのみコンテンツのダウンロードを許可する - 指定した統合アプリケーションと公開カスタムアプリケーションに加え、ウェブ版のMicrosoft Office、Google Workspace、Apple iWork、およびAdobe Acrobatオンラインサービスのみで、アクセスポリシーで保護されたコンテンツをダウンロードできるようになります。このオプションを選択した場合は、アプリケーションまたはアプリケーションのShieldリストを1つ以上入力します。
注:
[アプリケーションの制限] はBox NotesのアプリケーションAPIではサポートされていません。
FTPの制限
FTPの制限を使用すると、FTPプロトコルを介したダウンロードを制限できます。これは有効と無効を切り替えるだけで、アクセスポリシーで保護されたすべてのコンテンツにグローバルに適用されます。
注:
[FTPの制限] はBox Notesではサポートされていません。
電子すかしの適用
選択した分類ラベルに該当するファイルに電子すかしを自動的に適用するには、[電子すかしを有効にする] スライダボタンをクリックします。
電子すかしを有効にすると、現在の表示ユーザーの名前とアクセス時刻を示す半透明のオーバーレイがファイルのコンテンツ全体に適用されます。
電子すかしは、すべてのコラボレータのロールでファイルをプレビューしたときに表示されるほか、特定のコラボレータのロールでダウンロードしたファイルと印刷したファイルにも適用されます。 Box Notesおよび一部のファイルの種類では、電子すかしはサポートされていません。 Boxの電子すかしの詳細については、こちらの記事を参照してください。
アクセスポリシーの変更
アクセスポリシーを変更するには、次の手順に従います。
- 管理コンソールの左側のペインで、[Shield] をクリックします。
- [Shield] ウィンドウの上部で、[アクセスポリシー] タブをクリックします。
- アクセスポリシーの名前をクリックします。
- 右上の [編集] をクリックします。
アクセスポリシーの削除
アクセスポリシーを削除するには、次の手順に従います。
- 管理コンソールの左側のペインで、[Shield] をクリックします。
- [Shield] ウィンドウの上部で、[アクセスポリシー] タブをクリックします。
- アクセスポリシーの名前をクリックします。
- 右上の [削除] をクリックします。