急速に成長するエンタープライズでのユーザーアクセスとセキュリティの管理
Boxは、グローバルなコラボレーションを支援し、優れた成果を生み出すインテリジェントなコンテンツ管理ソリューションの大手プロバイダーです。同社のクラウド・プラットフォームはBox AIを活用し、マーケティング資料から財務諸表まで、非構造化データから洞察を引き出し、企業が業務を賢く自動化できるように支援しています。事業の成長に伴い、同社のセキュリティ要件やIT環境も進化しています。2012年当時、Boxは複数のプラットフォームを併用し、複雑な規制コンプライアンスや業界基準への適合、そして全アプリケーションのデータ保護を行っていました。
その結果、Boxのアイデンティティは複数のソリューションでサイロ化しており、プロビジョニングやコンプライアンス対応に一貫性がありませんでした。ITチームはカスタムスクリプトで手作業によるアイデンティティ管理を行っていましたが、この方法は非効率で、管理や開発が数千時間に及んでいました。
Boxにとって、アイデンティティは、コンテンツを顧客や従業員に円滑に届けつつ、不正アクセスから保護するための重要な要素であり、セキュリティ戦略の中核を担っています。BoxのITオペレーション&エンジニアリング担当シニアディレクターであるMark Schooley氏は、「すべてのアプリケーションでアクセスをセキュアに保つ必要があるだけでなく、急成長する会社全体にわたって拡張可能でなければなりません」と述べます。同社には、成長に合わせて共に発展し、将来にわたってミッションを支えるためにアイデンティティ管理を統合できるパートナーが必要でした。そこでBoxはOktaを採用し、13年以上にわたり信頼に基づくパートナーシップを築いています。
ITワークフローを効率化しながらアイデンティティ管理を統一
Boxとのパートナーシップの初期において、Oktaは150個以上の業務アプリケーション間でのサイロ化を解消し、アイデンティティ・インフラストラクチャを統合する支援を行いました。BoxはOkta Workforce Identityを導入し、強固なアイデンティティ管理とセキュリティ基盤を構築することができました。Universal Directoryの活用により、Workdayなどの人事プラットフォームを含む複数のアイデンティティ・ソースを一元管理できるようになりました。「時間を大幅に節約できます。これは、Universal Directoryにより必要な属性を柔軟に取得でき、アイデンティティ管理における単一の信頼できる情報源を確立できるためです」とSchooley氏は語ります。この単一の情報源により、属性・タスク・権限の割り当てがシームレスになりました。さらに、新たなアプリケーションのOktaへの統合はわずか15~20分で完了できるようになり、以前は数日かかっていた作業が大幅に短縮されました。
統合されたアイデンティティにより、Boxの従業員はシングルサインオン(SSO)を介して主要なアプリケーションに迅速かつセキュアにアクセスできるようになりました。SSOによりビジネスアプリへのアクセスが確保されると同時に、シームレスなログインプロセスによってユーザーの生産性も向上しています。SSOのパスワードを忘れた場合は、Oktaのセルフサービス・パスワード・リセット・フローを使用すると、ITサポートの介入なしに、自分のタイミングでアクセスを管理できます。
チームの生産性をさらに向上させるために、Boxはアイデンティティ関連の業務自動化を幅広く活用しています。コード不要の自動化ツールOkta Workflowsを導入し、ITチームのスキル向上と時間節約を実現しています。「Workflowsにより誰でもカスタムスクリプトが使えるようになります。スクリプトの書き方を学ぶのに何日も費やす代わりに、チームメンバーは数分で自動化を作成できるようになりました」とSchooley氏は説明します。Workflowsにより、アカウントやパスワード関連のサポートチケットなどの自動化によって、年間数千時間の工数が削減されました。「組織に従業員が増えるほど、自動化による時間とコストの節約効果はさらに高まっています」と同氏は述べています。
進化する攻撃対象領域によって試されるセキュアなアイデンティティ基盤
統合されたアイデンティティ・アクセス管理により、Boxは当初のアイデンティティに関する課題を解決し、Oktaという長期的なアイデンティティ・パートナーを得ました。しかし、事業拡大に伴い、攻撃対象領域も進化していきました。
「リモートワークの拡大に伴い、攻撃者は従来のセキュリティ保護を回避し、従業員のデバイスで企業の機密データへ直接アクセスする方法を模索し始めました」と、エンタープライズ・セキュリティ担当ディレクターのAkhila Nama氏は説明します。「重要なデータへのアクセスを得るため、攻撃者が恒久的なローカル管理者権限を悪用するケースが増えています」。こうした脅威に対応するために、ITチームは、エラーが発生しやすい、手作業でのユーザーアクセス・ログの確認に何百時間も費やす必要がありました。「不正アクセスを特定して取り消すまでの時間が長引くほどリスクは高まります」とNama氏は述べます。一方で、すべての管理者アクセスを削除するという選択肢は現実的ではありませんでした。
Boxは潜在的なリスクを見極め、迅速に対処しつつ、ユーザー・エクスペリエンスを損なわずにリスクを軽減する必要がありました。同社はアイデンティティ・ガバナンスのソリューションを求め、長年のパートナーであるOktaに目を向けました。「Oktaはすでに、Okta Identity Governance(OIG)で私たちが必要としていたソリューションを提供していました。Oktaと継続的に連携できたことは、大きな成果でした」とNama氏は語ります。
信頼できるパートナーとともにガバナンスとアイデンティティの自動化を簡素化
OIGによる集中管理型のアイデンティティ・ガバナンスと統合アクセス管理により、Boxは、恒久的なローカル管理者権限の維持か管理者権限の完全な廃止という二者択一ではなく、その間にある最適解を見いだしました。恒久的な管理者権限を、必要なときだけ昇格権限を付与する動的なフレームワークへと置き換え、自動化されたアドホックなアクセスリクエストや認定を通じてゼロスタンディング権限を適用したのです。
ITチームはゼロスタンディング権限の方針をエンドユーザーのデバイスまで拡張し、Boxの従業員が一時的な管理者権限をリクエストできるようにしました。Boxは、Oktaを同社のデバイス管理アプリKandjiに統合し、セキュリティ脆弱性を軽減しつつ、ユーザーに時間制限付きの管理者権限を付与しました。「エンドユーザーには、管理者権限を1時間、1日、あるいは1週間だけ取得できるオプションを提供しました。不審な管理者権限リクエストが発生した場合に、SlackやJira上でITマネージャーに通知する仕組みを組み込むなど、十分な保護策を設けています」とNama氏は述べています。 これにより、セルフサービス式アクセスリクエストが利便性と柔軟性を高める一方で、ITチームは権限を容易に管理・剥奪でき、ユーザー側の摩擦を最小限に抑えつつセキュリティを向上できます。
さらにBoxは、定期的なガバナンス施策を通じて、オフボーディングやアクセス管理のセキュリティを強化しました。OIGにより、ITチームは機密データへのアクセス権を持つユーザーをいつでも確認できます。重要なアプリケーションへのアクセスが引き続き必要かを確認し、権限を検証するために、Boxはアクセス認定キャンペーンを実施し、必要に応じてアクセスを取り消します。これらのキャンペーンは定期的に設定され、不審な場所からのログインなど一般的な行動トリガーに基づくステップアップMFAチャレンジによって補強されています。
OIGとWorkflowsを通じてアクセスリクエストと認定を組み合わせることで、Boxは従業員に必要なときだけ一時的な管理者権限を付与できるようになりました。この戦略により、Boxはゼロスタンディング特権を適用し、生産性を損なうことなくセキュリティ態勢を強化しています。
アイデンティティ管理を一元化して脅威対応を迅速化
Oktaの導入により、Boxはアイデンティティ・インフラストラクチャを統合し、ITワークフローを効率化するとともに、ゼロスタンディング権限を適用するためのガバナンス施策を実施しました。現在Boxは、エンドユーザーに対して一貫性のあるシンプルなアイデンティティ・エクスペリエンスを提供しながら、アクセスリクエストと認定プロセスの自動化を実現しています。OIGをより大きなアイデンティティ・エコシステムに統合したことで、時間制限付きのローカル管理者権限を従業員に付与できるようになり、潜在的なアクセスポイントの制限によるゼロスタンディング特権を通じて攻撃対象領域を縮小しました。
今後、Boxは特権アクセス管理に注力し、アプリケーション全体でのゼロスタンディング権限の適用をさらに強化する計画です。Nama氏は次のように述べています。「今後数年以内に、ジャストインタイム認証情報がパスワードレスな未来を支えることになるでしょう。これが、私たちの次のアイデンティティ戦略の行き先だと考えています」。
Boxについて
Box(NYSE: BOX)は、インテリジェントなコンテンツ管理分野のリーダーです。Boxのプラットフォームは、コラボレーションの促進、コンテンツ・ライフサイクル全体の管理、重要なコンテンツの保護、そしてエンタープライズAIによるビジネス・ワークフローの変革を実現します。現在、Boxは115,000社、Fortune 500企業の67%にサービスを提供しています。仕事のあり方が進化し続ける中、同社は世界中の組織にイノベーションを届け、日々お客様の期待を上回ることに注力しています。
