国内19,000社(*)で導入されているストレージサービス「Box」をセキュアに利用するための GSXオリジナル「Box設定診断サービス」を丸紅I-DIGIOホールディングスと連携し提供開始
GSX
グローバルセキュリティエキスパート株式会社(本社:東京都港区海岸1-16-1、代表取締役社長:青柳 史郎、証券コード:4417、
https://www.gsx.co.jp/、以下、GSX)は、資本業務提携を結んでいる丸紅I-DIGIOホールディングス株式会社(本社:東京都文京区後楽2-6-1、代表取締役社長:徳田 幸次、
https://www.marubeni-idigio.com/、以下、丸紅I-DIGIO)と連携し、国内19,000社(*)に導入されているクラウドストレージソリューション「Box」をセキュアに利用するためのGSXオリジナル「Box設定診断サービス」の提供を開始しました。
DXの推進等におけるクラウドサービス、特にクラウドストレージの導入が企業規模を問わず進んでいる一方で、設定の不備などに起因した意図しない情報漏洩事故が起こっています。そのような背景から、クラウドサービス導入企業から同サービスに対し第三者による監査を要望する声が多数寄せられており、この度GSXのコンサルティング知見を基にした独自の診断サービスを開発、提供を開始しました。
*株式会社Box Japan Webサイトより引用:
https://www.boxsquare.jp/box/implementation-results-and-case-studies
利用者による設定不備に起因するクラウドサービスのセキュリティ事故
クラウドサービスでは利用者による権限設定不備に起因し、共有されるべきではない情報が公開されてしまうなど、情報漏洩事故が発生しています。初期設定時から権限が適切に設定されていないケースもあれば、運用時に誤って情報が公開されてしまうケースもあります。これらの事故はクラウドサービス自体がどれほどセキュアであってもユーザーの設定不備や誤操作により起こることから、第三者による客観的かつ定期的な診断ニーズが年々高まっており、GSXはクラウドシステムに関する診断サービス(*)を提供してきました。中でも、多くの企業が機微な情報を含めコンテンツを集約しているBoxに対する診断ニーズが高まっており、この度、Boxの一次代理店である丸紅ITソリューションズ株式会社をグループに抱える丸紅I-DIGIOと連携することで、「Box設定診断サービス」の提供を開始しました。
*クラウドセキュリティ診断サービス:
https://www.gsx.co.jp/services/incidentavoidance/cloud.html
GSXの「Box設定診断サービス」の特徴
− NIST SP800-171およびNIST SP800-207「ゼロトラストネットワークアーキテクチャ」フレームワークに基づいた診断
NIST SP 800-171は、米国国立標準技術研究所(NIST)が発行した、非連邦機関が扱う「Controlled Unclassified Information(CUI)」を保護するためのセキュリティ要件を定めたガイドラインです。アクセス制御、認証、監査、インシデント対応、システムと通信の保護など、110の個別要件で構成され、網羅性などの観点からチェックリストとして最適なガイドラインになっています。
NIST SP800-207「ゼロトラストアーキテクチャ」は、アメリカの工業規格の国家標準を所管する政府機関であるNISTが発表している「NIST SP800-207文書」であり、ゼロトラストとは、「無条件に信頼(Trust)できるものは存在しない(Zero)」というセキュリティの考え方です。これまでの「社内ネットワークの中は信頼できる」とする境界防御では限界があるため考案されました。クラウドストレージに関するセキュリティアーキテクチャとしては最適であると考えます。
本ガイドラインの該当項目を抽出し、現状のセキュリティ設定に関するアセスメントを実施いたします。設定を考慮すべき項目(カテゴリ)の明確化や、ガイドライン準拠できていない項目、他製品との組み合わせを考慮すべき項目、その理由などをまとめてレポーティングすることで、セキュアなBox利用を実現します。
− GSX診断実績に基づくコンサルティングノウハウ
GSXは1997年にシステム監査の一環としてペネトレーションテストを開始、2001年にはWebアプリケーション脆弱性診断を開始するなど、診断サービスに対する長い歴史と知見を有しています。サービス提供開始以来、時代の流れとともにお客様のご要望にお応えし、時勢に適した診断サービスを開発・ご提供して参りました。Box設定診断サービスのご提供にあたっても、Microsoft365などクラウドサービスに対する診断に基づく豊富な診断知見、コンサルティング知見に基づきサービス提供いたします。
「Box設定診断サービス」診断項目
- テナント基本設定設定による表示項目や通知など基本設定の確認をいたします。- 識別・認証・認可SSOの設定やサインアップ等の設定項目による認証の制限や、デバイス制限などの確認いたします。※他SSO連携の場合、必要項目についてヒアリングシートベースでの回答を追加でいただきます- ファイル共有外部コラボレーションにおける許認可の設定、コラボレータに対する制限などを調査確認いたします。- アプリケーション連携公開アプリケーションにおける許認可設定や既存連携アプリの確認、 Box Signなどの設定状況を確認いたします。- 特権管理・監査管理者を有するアカウントに関して設定やログ監査および運用について設定確認およびヒアリングシートベースで確認させていただきます。
ご提供プラン
- Box設定診断ご利用中のBoxについてグローバルのセキュリティ基準である、NIST SP 800-171およびNIST SP800-207ゼロトラストネットワークアーキテクチャをベースに現状のセキュリティ設定に関するアセスメントを実施- 監査ログの調査 (追加プラン 個別見積)クラウドの利用基準に基づく実施ができているのか、アクティビティレポートの分析を追加- Box連携アプリ診断(追加プラン 個別見積)特にスクラッチ開発されているようなアプリケーションに対してのAPI診断やBox側のScopeの適用状況などを、現状の連携アプリケーション一覧化し調査
サービス詳細
Box設定診断サービスの詳しい内容についてはWebサイトよりご確認いただけます。
https://www.gsx.co.jp/services/incidentavoidance/diagnosis_box.html
グローバルセキュリティエキスパート株式会社
社名:グローバルセキュリティエキスパート株式会社
東京本社:〒105-0022 東京都港区海岸1-16-1 ニューピア竹芝サウスタワー10F
代表者:代表取締役社長 青柳 史郎
証券コード:4417
上場証券取引所:東京証券取引所グロース市場
資本金:545,737千円(2024年9月末)
設立:2000年4月(グローバルセキュリティエキスパートへの商号変更日を設立日として記載)
コーポレートサイトURL:
https://www.gsx.co.jp/プレスリリース提供:PR TIMES
記事提供:PRTimes
