不審な場所の検出ルールは、Box Shield内の機能です。 これは、Box Shieldの管理者が「不審」と見なした場所からユーザーがコンテンツにアクセスしていることを特定しようとします。
Boxは、プラットフォーム全体で発生する操作のIPアドレスを監視します。 ユーザーがこのルールの構成で追加された (または除外された) 場所から操作を実行すると、アラートが生成されます。
普段とは異なるスケジュールで移動しているユーザーや、特別な例外が必要なユーザーには、管理者が除外を作成できます。 一時的または永続的なこれらの除外は、個々のユーザーまたはユーザーグループに割り当てることができます。
不審な場所の検出ルールは、管理対象ユーザー、外部ユーザー、匿名ユーザーのアクティビティを監視します。
不審な場所の検出ルールの作成、編集、削除
この検出ルールを有効にするには、Box Shieldアドオンが有効になっているアカウントで管理者権限 (または [会社のShield構成を作成、編集、削除する] 権限が有効になっている共同管理者権限) が必要です。
注: 各Boxアカウントに対して、最大25の不審な場所の検出ルールを作成できます。
一連の手順を説明したガイドについては、脅威検出ルールの作成、編集、削除に特化したBoxのページを参照してください。 不審な場所固有の設定については、以下を確認してください。
不審な場所固有の設定
監視する場所
不審な場所の検出ルールで監視する場所を決定します。 以下のような場所を選択します。
- 既知のリスクがある場所
- 組織が取引を行っていない場所
- 組織の出張ポリシーの対象外の場所
有効な国名またはShieldの場所リストを1つ以上入力します。 フィールド内で名前の入力を開始すると、有効な国名とShieldの場所リストがドロップダウンで表示され、その中から選択できます。
場所のリストが完成したら、これらの場所のいずれかが確認対象である場合の監視ポリシーを定義する必要があります。
- 警告する (デフォルト): 選択した場所のいずれかが確認対象である場合にアラートが実行されます。
- 警告しない: 選択した場所以外の場所が確認対象である場合にアラートが実行されます。
監視するアクティビティ
不審な場所の検出ルールで監視するユーザーアクティビティを決定します。 次のいずれかを選択します。
- [すべてのアクティビティ] (デフォルト): Box全体でユーザーアクティビティを監視します。
- [次の分類が適用されたコンテンツのアクティビティのみを監視する]: 選択したShieldの分類ラベルが適用されたコンテンツのユーザーアクティビティのみを監視します。
フィルタ条件
検出から除外するアクティビティを決定します。 以下を選択できます。
- [公開共有リンクを除外する (推奨)]: 公開共有リンクをこのルールの対象外とするかを定義します。 デフォルトではオンになっています。
- [IPアドレスを除外する]: ルールで無視するIPアドレスを定義します。 信頼できることがわかっているIPアドレスを入力してください。 1つ以上の有効なIPアドレス、CIDR (Classless Inter-Domain Routing) ブロック、ShieldのホストIPアドレスリストをコンマで区切って入力します。 デフォルトではオフになっています。
- [統合を除外する]: ルールで無視する統合を定義します。統合名を1つ以上入力します。 フィールド内で名前の入力を開始すると、ドロップダウンリストに有効な統合名がすべて表示されるので、そのリストから選択できます。 デフォルトではオフになっています。
- [ユーザーまたはユーザーグループを除外する]: ルールで無視するユーザーおよびグループを定義します。 ユーザーを1人以上入力します。 ユーザーの名前の入力を開始すると、一致するすべての名前がドロップダウンリストに表示されるので、そのリストから選択できます。 デフォルトではオフになっています。
- [ドメインを除外する]: ルールで無視するドメインを定義します。 ドメインを1つ以上入力します。 ドメイン名の入力を開始すると、一致するすべての名前がドロップダウンリストに表示されるので、そのリストから選択できます。 デフォルトではオフになっています。
ターゲットユーザーのアクセス制限
不審な場所のルールをトリガーする管理対象ユーザーに対して自分のBoxアカウントへのアクセスを制限するかどうかを決定します。 詳細については、ターゲットユーザーのアクセス制限を参照してください。
不審な場所のアラート
不審な場所のアクティビティが検出されると、Shieldダッシュボードにアラートが表示されます。
アラートには、アラートID、日付、アラートの原因になったアクティビティを行ったアカウント所有者の名前とメールアドレス、リスクスコア、アラートの原因になったアクセスが行われたIPアドレスが含まれます。
アラートの詳細を確認するには、次の手順に従います。
- [管理コンソール] > [Shield] に移動します。
- [ダッシュボード] タブをクリックします。
- (省略可) アラートに [不審な場所] でフィルタをかけます。
- アラートの一覧表で、アラートをクリックします。
- アラートの詳細ページが表示されます。
アラートの詳細ページには、次の内容が表示されます。
- アラートの概要: アラート名、アラートID、アラートタイプ、リスクスコア、アラートの作成日、ルールの構成情報、適用されたすべての制限、ターゲットユーザーを含む、アラートの概要。
- 地理的位置情報別アクティビティ: IPアドレス、IP登録者、利用可能な地域/国のデータを含む、アラートの原因になった場所に関する情報。
- ユーザーアクティビティ: アラート発生時の当該アカウントのアクティビティに関する概要がアクティビティタイプ別に表示されます。
注: 過去1週間のアラート数は、[検出ルール] ページから確認できます。 さらに長い期間については、Shieldダッシュボードを確認してください。
ダッシュボードでは、アラートの後にフィードバックボックスが表示されます。 これを使用すると、機能の改善に役立つ提案やコメントをBoxに提供できます。
エンドユーザーへの影響
- 不審な場所の検出アラートが実行されても、ユーザーには通知されません。
- ユーザーの制限がアクティブな場合、エンドユーザーは、既存のすべてのBoxセッションからログアウトし、承認済みの場所からBoxにアクセスするまで再ログインが制限されます。 エンドユーザーの受信トレイには、この制限について通知するメールが届きます。
アラートの処理と是正
この検出ルールには、管理者が不審と見なした場所からコンテンツにアクセスしたユーザーが特定された場合に考えられる次の処理が用意されています。
ターゲットユーザーのアクセス制限
この設定を有効にした状態でこのルールをトリガーした管理対象ユーザーは、以下のようになります。
- 制限されている場所からアクセスしようとしても、Boxにログインできなくなります。
- Shieldによって、Boxのアクティブなセッションから自動的にログアウトされます (これにはウェブ統合、Box Drive、モバイル統合が該当します)。
- アカウントで発生した不審な場所のアクティビティについて警告するメールが送られます。受信理由が不明な場合は、メールに記載されたBoxの管理者まで問い合わせるように記載されています。
アクセスの制限は、ユーザーがこの不審な場所のルールで定義されていない場所からログインを試みるまで維持されます。 この制限は、外部ユーザーには適用されません。
注:
- 管理者は、制限対象の場所にいるユーザーにコンテンツへのアクセスを許可したい場合、そのユーザーをルールのユーザー除外リストに追加できます。追加されたユーザーはすぐにBoxにログインできるようになります。
- 管理者が特定の分類ラベルが適用されたコンテンツのみを監視するよう不審な場所のルールを設定した場合、Shieldは制限対象国からのユーザーのログインがブロックされません。
- [ターゲットユーザーのアクセス制限] の設定を有効にしても、制限されている場所にいる受信者は、自分のメールからアクセスすれば、Box Signから送信された署名リクエストを完了できます。 ただし、署名リクエストでBoxアカウントへのログインが求められる場合、受信者は制限される可能性があります。
- 外部ユーザーはこの設定の影響を受けません。 外部ユーザーは、制限されている場所から組織のコンテンツにアクセスする場合にも不審な場所のルールをトリガーできますが、Shieldによってアクセスが制限されることはありません。
重要:
[ターゲットユーザーのアクセス制限] の設定が有効になっている場合は、不審な場所のルールからShieldの共同管理者 ([会社のShield構成を作成、編集、削除する] 権限が有効になっている共同管理者) を1人以上除外することをお勧めします。 これにより、他のすべての管理者/共同管理者がこの設定を有効にして不審な場所に関するアラートをトリガーした場合でも、組織は引き続きBoxにアクセスすることができます。