検索
特集/連載

「ファイル同期/共有」サービスはDropboxだけではない 3社の決断は?重視したのはセキュリティ

コンシューマライゼーションの時代において、IT部門は、自社のデータがどこにあるか心配する必要はない。だが、そのセキュリティを心配しないで済むようにするための万能なアプローチは残念ながら存在しない。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 データが悪の手に渡ることを考えたら、IT管理者は夜も眠れないだろう。

 企業がファイルを同期/共有するオプションは1つだけではない。全デバイスのアクセスのセキュリティを確保するためにIT部門が採用できるアプローチは多数ある。

 企業が利用するファイルの同期/共有プラットフォームを検討するときには、最優先事項にセキュリティを掲げるべきだ。そう語るのは、米Needham BankでITと運用部門の初代統括責任者を務めるジェームス・ゴードン氏だ。

 「最も大切なのはセキュリティだ。従業員が各自のデバイスで作業を効率的に行うために必要だと考えているアプリをIT管理者が持っていないとき、IT管理者が取る行動は2つ。従業員と意見交換を行うか、抵抗するのいずれかだ」(ゴードン氏)

 さまざまな規模のベンダーが、データの共同作業、共有、保存を行うための製品/サービスを提供している。クラウドベースのものもあれば、オンプレミスにインストールするものもある。また、エンタープライズモバイル管理(EMM)プラットフォームを使用して、サードパーティー製アプリのセキュリティを確保することもできる。本稿では3社の企業が採用したアプローチを紹介する。

オンプレミスと暗号化によるセキュリティ

 以前はヨーロッパでしか利用できなかった安全な企業向けのファイルの同期/共有の製品が米国でも利用できるようになっている。

 イタリアとスイスに拠点を置く金融顧問サービスを提供するBerger Groupは2年前に、同社の2つの拠点とクライアントや弁護士などとの間で、機密文書を保存、転送、編集するための安全な方法を模索し始めた。

 Berger Groupは、まずデータ損失防止の製品/サービスを提供するベンダーを調査した。その結果、実装とメンテナンスに、追加のスタッフが必要になることと、インフラに加えるべき変更は同社が許容できないものであることが判明した。そう語るのは、Berger Groupの監査役とIT運用の管理者を務めるクラウディオ・チャオペティ氏だ。

 最終的にBerger Groupがたどり着いたのは、イタリアのBoole Serverだ。Boole Serverは企業向けのファイル同期/共有の製品やサービスを提供しているベンダーである。同社が提供するオンプレミス製品では、転送中や保管中のデータを暗号化するだけではなく、アプリケーション内のデータや使用中のデータも暗号化できる機能が提供されている。256ビットの暗号方式Advanced Encryption Standardに加えて、Boole Serverは、各ファイルに2048ビットのランダムな暗号化キーを適用する特許を取得したアルゴリズムを使用している。

 Boole Serverの暗号化キーは企業が保有する。これは、米Dropboxの「Dropbox」や米Amazon Web Servicesの「Amazon Zocalo」など、一部のクラウドベースの企業向けファイル同期/共有サービスと異なる点だ。

 Boole Serverを使用することで、Berger Groupはファイルの所有権を維持している。社外からアクセスしている場合も同様だ。また、コピー、貼り付け、印刷などの操作に対して制限を設定している。

 「当社では、第三者がサーバに接続して文書を見たり、編集できるようにBoole Serverを構成している。文書はサーバに保管した状態を維持できる」(チャオベティ氏)

 最近、Boole Serverは、これまでヨーロッパでしか提供していなかった製品を米国でも提供するようにした。Boole Serverのバージョンは「Small to Medium Business(SMB)」「Corporate」「Enterprise」の3種類ある。SMBではストレージ領域が1Tバイトに制限される。一方、CorporateとEnterpriseではストレージ領域に制限はない。Enterpriseのライセンスでは、ゲストとユーザーのプロファイルを無制限に作成できる。Corporateのライセンスで作成できるプロファイル数は1000、SMBでは150に制限されている。Boole Serverはスポット購入で利用できる。SMBとCorporateは1万ドルから。Enterpriseは2万5000ドルからで2台分のサーバライセンスが含まれる。

規制が厳しい業界でセキュリティを確保する

 規制が厳しい業界では、セキュリティの重要性はさらに高くなる。このような業界向けにファイル同期/共有の製品を開発している企業がある。

 英Comfort Care Servicesは、精神疾患と学習障害のある成人にサポートを提供している。主な目的は、退院後に地域社会に復帰するためのサポートを提供することだ。同社が3年前に所有していたノートPCは全社で15台しかなかった。業務の大半は紙ベースで行われていた。そう語るのは、Comfort Care ServicesでIT運用部門のディレクターを務めるギー・バフティアル氏だ。

 「あちこちにデータを移動するのは面倒で恐ろしく時間がかかる作業だった」(バフティアル氏)

 Comfort Care Servicesは、仏Terminal Service Plusのデスクトップ仮想化サービスを実装することで技術的な転換を遂げた。だが、外部ユーザーとドキュメントの編集、共有、共同作業を行うための、より迅速で安全なオプションを必要としていた。

 これまで患者がComfort Care Servicesのサポートを受けるには、1カ月前から書類手続きを行う必要があった。このように時間がかかったのは、患者、Comfort Care Services、政府委託機関の三者間で診療記録とサポートプランの送付と返送が繰り返し行われていたからだ。Comfort Care ServicesはTerminal Service Plusを使用していたが、システムにアクセスできるのは社内ユーザーに限られていた。

 Comfort Care Servicesは、ファイルの同期/共有サービスとして米Boxと米Citrix Systemsのサービスを使用することを検討してみた。だが、どちらも必要な監査機能に対する詳細なコントロールが提供されていなかったとバフティアル氏は振り返る。一方、英Workshareは規制が厳しい業界向けにセキュリティが確保されたコラボレーション製品やアプリケーションを専門に提供している。具体的には、法律機関、政府機関、金融機関、医療機関などが対象だ。Workshareは、顧客が暗号化キーを保持できるようにしている。

 そのため、Comfort Care Servicesは「Workshare Connect」の採用を決定。Workshare Connectは、許可されたアクセスに従って従業員と外部の関係者が共同作業を行いファイルを共有できるようにするクラウドベースのアプリケーションだ。Workshare Connectでは特定の社内ユーザーと社外ユーザーのアクセスを細かく制御することができる。また、ドキュメントの変更履歴を追跡する機能も用意されている。これらは他のプラットフォームにはない機能だとバフティアル氏は話す。

 当初、デバイスが紛失や盗難に遭った場合または社員が退職した場合にWorkshareでファイルのリモートワイプを実行することはできなかった。だが、Workshareには、後にリモートワイプの機能が追加されている。

 「妥協は付き物だと思っていた。だが、Workshareに関しては妥協しないといけないことが非常に少なかった」(バフティアル氏)

 Workshareを使用することで、Comfort Care Servicesは指定した人にドキュメントを開示できるようになった。必要な作業は、その人を招待して、そのドキュメントに対するアクセス権を一定期間付与するだけだ。また、セキュリティと監査の目的で、どのような変更が行われ、誰が変更を行ったのかを確認できるようにもなった。

 Comfort Care Servicesは、ドキュメントの処理を簡略化することで、新しい患者の承認にかかる期間を従来の2分の1に短縮した。従業員は、ノートPCやモバイルデバイスでWorkshareのWeb版またはモバイル版のアプリを使用して、安全にドキュメントを編集して共有できる。

 Workshareには4つの種類がある。価格は1ユーザー当たり年間30〜175ドルだ。「Protect」にはメタデータの削除とポリシーの機能が搭載されている。「Compare」にはドキュメントのバージョン管理機能、「Connect」には安全なファイルの共同作業の機能が搭載されている。それから、「Workshare Pro 8」は上述の3つの種類を1つのプラットフォームにまとめたものだ。

EMMプラットフォームでセキュリティを確保する

 IT部門にはEMMプラットフォームから直接ファイルの同期/共有製品を使用するという選択肢もある。例えば、Ctrixの「ShareFile」、米VMware傘下の米AirWatchの「AirWatch Secure Content Locker」、米Good Technologyの「Secure Mobility Solution」、米MobileIronの「Docs@Work」などだ。

 MobileIronは最近Docs@Workを更新している。その結果、企業は、Box、Dropbox、米Microsoftの「Office 365」や「SharePoint Online」などのクラウドサービスとDocs@Workを接続できるようになっている。ユーザーは、別のクラウドサービスにあるドキュメントをDocs@Workのブラウザ画面から直接検索してダウンロードしたり、他のクラウドサービスにドキュメントを保存したりすることが可能だ。ドキュメントはデバイスのローカルで編集することも、ブラウザからリモートで編集することもできる。

 一方、Secure Content LockerとShareFileは、ファイルにアクセスするためにコンテンツリポジトリと統合することが可能だ。ShareFileでは「Personal Cloud Connectors」を使用して、Box、Dropbox、米Googleの「Google ドライブ」、Microsoftの「OneDrive」などのアカウントにアクセスする。ユーザーはSharePointや米EMCの「EMC Documentum」などのコンテンツリポジトリに格納したファイルを編集することができる。

 このアップデートによって、MobileIronは複数のプラットフォームで一貫した操作性を実現しているとNeedham Bankのゴードン氏は指摘する。Needham Bankでは、Docs@Workと併せてMobileIronのEMMプラットフォームを使用している。

 Docs@WorkによりNeedham Bankの従業員は、各自が所有する米Appleの「iOS」やGoogleの「Android」搭載デバイスやMicrosoftの「Windows Phone」でSharePointにあるファイルに安全にアクセスできる。また、ゴードン氏が統括するIT部門は、どのユーザーがファイルにアクセスしたかを追跡管理できるようになり、アクセス日時がログに記録される。

 「ユーザーだけでなくデバイスも認証している。というのも、ユーザーは既にMobileIronの証明書に登録されているからだ」(ゴードン氏)

 これらのクラウドサービスとDocs@Workの接続は、MobileIronが現在開発中のセキュリティコンテンツ/コラボレーションプラットフォームの全体像の半分にすぎない。このプラットフォームは2015年にリリースされる予定だ。クラウドプラットフォームにあるファイルに対してファイルレベルの暗号化機能も提供するとMobileIronは発表している。

 Docs@Workはスタンドアロン製品として購入することはできない。MobileIronのEMMプラットフォームのGold/Platinumバンドルとして購入する必要がある。一方、AirWatch Secure Content LockerとShareFileはスタンドアロン製品として購入可能だ。既存のMobileIronユーザーは追加のコストを支払うことなくDocs@Workを利用できる。バンドルの価格は、1デバイス当たり月額4ドルからだ。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る