Boxの情報バリアは、倫理的境界を定義します。 倫理的境界とは、利益相反につながる可能性があり、結果として倫理的または法的に問題のあるビジネス活動につながる可能性があるやり取りまたは通信を防ぐメカニズムです。
このトピックのセクションは以下のとおりです。
倫理的境界の用途
倫理的境界は、以下のように、多くの業界やさまざまな種類のシナリオで使用されています。
- 事業単位を基に固定的な少数の内部関係者を分離する
- 金融サービス。倫理的境界は、投資銀行における企業アドバイザリ部門と証券部門の間で最も一般的に使用されています。これにより、買収について企業にアドバイスする人と、株式の購入についてクライアントにアドバイスする人を分離します。
- 損害保険。請求に関わる両方の当事者 (空港や航空会社など) が同じ保険会社の保険に加入している場合、 請求処理プロセスは、利益相反を回避するために保険会社の組織内で分離する必要があります。
- ジャーナリズム。編集部門と広告部門は分離する必要があります。
- プロジェクトを基に流動的な多数の内外のチームを分離する
- 法務。事務所内で、取引や訴訟の当事者を代表するグループを、相反する利益や相手方の機密情報を有するグループから分離する必要があります。
- コンサルティング。企業内で、ある当事者のプロジェクトに参加しているグループを、競合相手の別のプロジェクトに参加しているグループから分離するために使用されます。
Boxの情報バリア
コラボレーションは、Boxを使用してコンテンツを管理するうえで基本となる機能です。 Boxでは、ファイルやフォルダでコラボレーションするための正式な招待とファイルやフォルダへのアクセスを提供する共有リンクの両方により、コラボレーションが容易になります。 そのコラボレーションに対してバリアを作成することは、Boxの精神に矛盾しますが、上記のような一部の業界やユースケースに加え、場合によっては他の業界やユースケースにも必要なことです。 情報バリアは、コラボレーションを防止して倫理的境界を作成する必要がある場合に使用するBoxの機能です。
注
情報バリアは、組織単位で有効にします。 情報バリアの使用をご希望の場合は、Box担当者にお問い合わせください。
情報バリアを作成するプロセスの一環として、詳細な [コラボレーション] レポートが必要になります。このレポートで、現在は存在するものの、情報バリアを構成して有効にする際に削除される予定のコラボレーションと共有をすべて確認できます。
Boxでは、Enterpriseごとに1つの情報バリアを有効にすることができます。 その情報バリアは、次の2つの要素で構成されます。
- セグメント
- セグメント間の権限
権限を設定すると、Box Driveでは、設定した権限に基づきユーザーグループ間でのデータのやり取りができなくなります。
セグメント
情報バリアのセグメント (単にセグメントとも言います) は、定義されたユーザーのグループです。 ただし、セグメントはユーザーグループとは異なります。セグメントでは、ユーザーがメンバーになれるのはただ1つのセグメントのみであるためです。
このようにセグメントに対して一意である必要があるため、セグメントに追加できるのは個々のユーザーのみで、ユーザーグループは追加できません。
定義できるセグメントは最大10個で、1つのセグメントに追加できるユーザーは最大10,000人です。
情報バリアを作成するには、まず、セグメントを定義します。 その後、各セグメント間の権限を定義します。
セグメント間の権限
作成したセグメントごとに、そのセグメントとその他すべてのセグメントとの間の関係を定義します。 この関係では、あるセグメントから別のセグメントが所有するコンテンツに
- アクセス可能か
- アクセス不可か
を定義します。 2つのセグメント間の関係がアクセス不可と定義されている場合、それは倫理的境界になります。 この場合、セグメントに含まれるユーザーは、他のセグメントに含まれるユーザーが所有するコンテンツを表示することも、そのコンテンツにアクセスすることもできません。
倫理的境界は1つの情報バリア内に複数作成することができ、作成できる数により、情報バリア内に存在するセグメント数が決まります。これは、各セグメントには相互関係があるためです。
情報バリアによるコラボレーションへの影響に関するレポート
情報バリアを有効にするプロセスの一環として、コラボレーションへの影響に関するレポートを実行します。 このレポートには、情報バリアを有効にしたときに完全に削除される既存のコラボレーションを示す情報が含まれます。 コラボレーションが削除されるファイルまたはフォルダごとに、以下の情報がレポートに記載されます。
- 所有者の名前、ログイン、セグメント
- 項目の名前、ID、種類、パス
- コラボレータの名前、ログイン、セグメント、権限
- コラボレータの種類 (ユーザーまたはグループ)、招待主のメールアドレス、招待の送信日と承認日
情報バリアのステータス
情報バリアのステータスを以下に示します。
ステータス | 説明 |
---|---|
ドラフト | 情報バリアは構成中で、まだ有効ではありません。 |
保留中 | 情報バリアを有効にした直後の一時的な状態。 情報バリアの構成により、新しいコラボレーションとアクセスが制限され、情報バリアで禁止される既存のコラボレーションが削除されています。 |
有効 | 情報バリアの構成により、新しいコラボレーションとアクセスが制限されます。 情報バリアの構成に違反する既存のコラボレーションはありません。 |
無効 | 情報バリアの構成は無効です。 |
情報バリアのユーザーエクスペリエンス
情報バリアを有効にすると、Box内でさまざまなタスクを実行しようとするユーザーのエクスペリエンスが変わる場合があります。 このセクションでは、こうした変化の一部について説明します。
情報バリアとコンテンツへのアクセス
ユーザーセグメント間でアクセス不可の権限を定義すると、情報バリアによって情報にアクセスできなくなります。 例えば、情報バリアを以下のように設定したとします。
- セグメントは2つ (セグメントAとセグメントB)
- セグメントAにはユーザーA、セグメントBにはユーザーBが含まれる
- セグメントAからセグメントBにはアクセス可能、セグメントBからセグメントAにはアクセス不可
ユーザーAは、ユーザーBのコンテンツへのアクセスが一切制限されていません。 一方、ユーザーBは以下のことができません。
- ユーザーAが所有するファイルをプレビューする
- ユーザーAが所有する項目を共有する
- ユーザーAが所有する項目を編集する
- ユーザーAが所有する項目を削除する
- ユーザーAが所有するフォルダまたはユーザーAが所有するフォルダ内の項目にコラボレータとして招待される
- ユーザーAが所有する項目への共有リンクでコンテンツを表示する
- ユーザーAが所有するフォルダにコンテンツをアップロードする
- ユーザーAが所有するフォルダ内の項目名のリストを表示する
- ユーザーAが所有するコンテンツのスニペットを検索結果に表示する
- ユーザーAが所有するコンテンツの名前を [すべてのファイル] リスト、検索結果、通知、または履歴に表示する。
情報バリアは、コンテンツ (ファイルまたはフォルダ) の所有者に基づいてアクセス制限を適用します。 別のセグメントへのアクセスが不可になっているセグメントに含まれるユーザーは、その別のセグメントのユーザーが所有するコンテンツにアクセスできません。
情報バリアと既存のコラボレーション
セグメントには、ユーザーのみが明示的に含まれますが、そのセグメントのメンバーが所有するBoxコンテンツも暗黙的に含まれます。 そのため、情報バリアを作成すると、Boxでは、各セグメントのユーザーおよびすべてのユーザーが所有するコンテンツが分析されます。そのうち潜在的な情報バリアをまたぐ既存のコラボレーションや共有は、情報バリアが有効になると、削除されます。
情報バリアと新規のコラボレーション
ユーザーがファイルまたはフォルダのコラボレーションを作成し、情報バリアによりそのファイルまたはフォルダにアクセスできないユーザーを追加すると、コラボレーションはできなくなります。また、エラーメッセージでその理由が示され、コラボレーションを作成する前に削除する必要があるユーザーのリストも表示されます。
情報バリアとファイルの移動/コピー
情報バリアによりアクセスできないフォルダにユーザーがファイルやフォルダを移動またはコピーしても、移動またはコピーは許可されず、その操作がセキュリティポリシーによって禁止されていることがエラーメッセージで表示されます。
注
ファイル/フォルダのコラボレータは移動してもコラボレータのままになります。そのため、情報バリアによって、既存のコラボレータが移動先フォルダの所有者のセグメントにアクセスできないかどうかが遡って確認され、状況に応じて削除されます。 確認が完了するまでは、違反しているコラボレータがコンテンツにアクセスできる可能性があることに注意してください。ただし、ユーザーのアクセスイベントはすべて記録され、イベントAPIを使用して照会できます。
情報バリアと所有権の移管
フォルダの所有権の移管先となるのは、そのフォルダですでに直接コラボレーションしているユーザーのみで、情報バリアにより、制限されているユーザーは招待できないため、所有権の移管が行われるシナリオは稀です。情報バリアを有効化し、ステータスが [保留中] の際が、その考慮すべき稀なシナリオです。 そのステータスの場合、違反しているコラボレータがまだ削除されていない可能性があるため、該当フォルダでコラボレーションしているものの別々のセグメントに属しているユーザーの間で所有権の移管が行われる場合があります。 情報バリアの有効化プロセスでは、このようなコラボレーションの違反が遡って確認され、存在する場合、そのコラボレーションは削除されます。 ただし、所有権の移管は実行されます。
例えば、ユーザーAとユーザーBがフォルダでコラボレーションしているとします。 ユーザーAとユーザーBは情報バリア内の異なるセグメントに追加し、2つのセグメント間のアクセスを制限します。 情報バリアを有効にすると、削除する必要のある既存のコラボレーションがないかスキャンされ、このコラボレーションは削除対象となります。 その際、情報バリアの有効化が完了するまでの間に、ユーザーAがフォルダの所有権をユーザーBに移管したとします。 情報バリアの有効化が完了した時点で、ユーザーBがフォルダの所有者となり、ユーザーAはフォルダのコンテンツにアクセスできなくなります。
情報バリアとファイルのアップロード
情報バリアによりアクセスできないフォルダにユーザーがファイルをアップロードしても、アップロードはブロックされ、その操作がセキュリティポリシーによって禁止されていることがエラーメッセージで表示されます。
情報バリアと共有リンク
ユーザーが [リンクを知っている全員] 権限または [会社のユーザー] 権限を指定して共有リンクを作成する際に、情報バリアが有効になっている場合は、セキュリティポリシーにより一部のユーザーのコンテンツへのアクセスが制限されるというメッセージが表示されます。
情報バリアとBox Signの署名リクエスト
ユーザーが署名リクエストを送信する際に、そのリクエストの受信者の1人が競合するセグメントに存在する場合、リクエストの送信者には、セキュリティポリシーによりリクエストを送信できませんでしたというメッセージが表示されます。
この制限は、以下の機能に適用されます。
- 署名用ドキュメントの送信
- リクエストの一括送信
- 署名リクエスト用のテンプレートの使用
既知の制限
- この制限は、現在、以下の機能を使用する場合には適用されません。
- 署名リクエストの変更
- 署名リンクの使用 (管理コンソールで無効になっている可能性があります)
情報バリアとユーザーグループ
ファイルまたはフォルダをグループに追加する際に、情報バリアによってグループのメンバー間のアクセスが不可になっている場合、この追加はブロックされ、その操作がセキュリティポリシーによって禁止されているというエラーメッセージが表示されます。
情報バリアとShieldトライアル
情報バリアは、Shieldトライアルでは使用できません。 情報バリアのテストを実行するには、サンドボックスを作成した後、サンドボックスで情報バリアを構成します。
関連情報