SaaS

mxHERO ストレージの設定 − 新ダッシュボード検証ブログ

はじめに

こんにちわ、セキュリティチームのむろです。

先日にブログでもご案内しましたが、mxHEROの管理ダッシュボードのデザインや機能に対する大幅アップデートが行われています。

当社ブログでも刷新後の管理ダッシュボードの設定方法に関して連載形式で紹介していこうと思います。

今回はmxHEROと連携するクラウドストレージの改めての考え方と設定方法と改めて紹介します。

設定作業の全体像は以下の通りです。

前提

  • 本手順を実施するためには、以下のアカウントが必要です。
    • mxHERO管理者アカウント
    • mxHEROと連携するクラウドストレージの管理者権限を持ったアカウント
  • 対象のストレージは以下の3種類です。
    • Box
    • One Drive for business(Share Point Online含む)
    • Google Drive
ご注意

本ブログの内容は、2023年4月26日時点までの情報を元に作成しておりますが、クラウドサービスの仕様変更等に伴い、将来的に状況が変化することがございます。当社側で仕様変更が確認できた場合は可能な限り修正をしますが、最新の情報を常に維持することは難しい点についてはご了承ください。

考え方を理解済みで設定方法をすぐに見たい場合は以下のリンクから参照ください。
「セキュリティ定義」の作成
クラウドストレージとの接続方法

クラウドストレージとの連携方法の種類

mxHEROとクラウドストレージの連携方法としては「組織として連携」と「個人アカウントとして連携」の2種類の方法があります。

今回は「組織として連携」の設定方法について取り扱います。

「個人アカウントとして連携」は利用するケースが少ないため、今回は割愛します。

個人アカウント(individualアカウント)で認証する構成は単一の個人アカウントかつ、OAuth 2.0認証のため、アクセストークンが予期せぬタイミングで破棄され、接続エラーとなりやすい点から本番環境での利用は推奨されておりません。

組織として連携

  • クラウドストレージの管理者アカウントを用いてクラウドストレージのテナント全体と連携します。
  • テナント全体と連携するため、後に設定するFusionルール上で保存先を特定の指定したアカウントや自動的に送信メールアドレスのアカウントに保存する設定が選択できます。

個人アカウントとして連携

  • 特定の個人アカウントを用いてとしてクラウドストレージと連携します。そのため、クラウドストレージ管理者権限は不要となります。
  • 後に設定するFusionルール上では保存先は連携したアカウントに固定される為、選択する事はできません。
  • 今回、取り扱わないDropBoxやEgnyteは個人アカウントとしての連携にのみ対応しています。

クラウドストレージ共有リンクの公開範囲

mxHEROはメール内の添付ファイルをクラウドストレージのリンクに置き換えますが、そのリンクの公開範囲として4種類選択することができます。

全員アクセス可能(パブリックリンク)

  • URLを知っている場合に誰でもアクセスできます。
  • メール受信者側の負担が少ない公開範囲となります。
  • 原則、生成されたURLはランダムな文字列が使用され検索エンジンの対象外となります。
    • 厳密にはクラウドストレージ側の仕様に準じます。
  • クラウドストレージ側の設定でパブリックリンクの生成が制限されていたり、自社のセキュリティポリシーでパブリックリンクの利用が禁止されている場合は利用ができません。

メールの受信者がアクセス可能

  • 公開範囲がメール受信者のメールアドレスのアカウントのみのアクセス可能となります。
  • メール受信者側の負担が大きい公開範囲となります。
    • 該当クラウドストレージのアカウントを保持している必要があります。
      • アカウントが無い場合はアカウント作成が必要となります。原則、受信者側は無料アカウントでも問題ありません。
        • 厳密にはクラウドストレージ側の仕様に準じます。
    • クラウドストレージ側の設定でパブリックリンクの生成が制限されていたり、自社のセキュリティポリシーでパブリックリンクの利用が禁止されている場合に利用するケースが考えられます。

BoxでBusinessプラン以下の場合は外部コラボレーターもライセンスの課金対象となるため、注意が必要です。

組織内(社内)のユーザーがアクセス可能

  • 公開範囲が社内ユーザーのみとなります。
  • 社内ドメイン同士のやり取りに利用するケースが考えられます。
    • ただし、クラウドストレージ側の共有状態によっては社内同士のやり取りも後述の「アクセス不可」でも代替えできます。
  • メール受信者である社内ユーザーは組織管理のクラウドストレージアカウントを持っている必要があります。

アクセス不可能

  • 共有リンクとして作成せずに対象ファイルの直リンクが利用されます。
    • Boxであればhttps://xxxx.app.box.com/file/xxxxxxxxx形式のURL
  • 事前に所定のフォルダへアクセス権を付与している宛先の場合に利用するケースが考えられます。
  • メール受信者であるユーザーはクラウドストレージのアカウントを持っている必要があります。
「全員アクセス可能(パブリックリンク)」よりも「メールの受信者がアクセス可能」の方がセキュリティ面から望ましいのではないか?

表題のようなご質問をいただく事があります。
公開範囲が広いよりも狭い方が良いという考え方はそれはそれで正しいのですが、以下の運用面の観点でも考慮が必要となります。
・メール受信者側の負担が増える可能性が高い
・クラウドストレージのアカウント作成方法について送信者側に問い合わせがある可能性がある
 ・環境依存による動作不備の場合は自社外のユーザーとなるため、解決が困難

また、機微な情報はそもそもmxHEROを介さずに、クラウドストレージ上で適切な権限管理の元で共有する考え方もあります。

クラウドストレージによる機能差

連携するクラウドストレージによって機能差があります、これらは原則的にはクラウドストレージ側の仕様に準じた制限となります。

代表的なものとしては以下の2つです。

パブリックリンクへの自動的なパスワード設定

  • 公開リンクを生成する際にパスワードもmxHERO側で自動生成し、パスワード通知メールを別メールとして宛先に送付します。
    • Boxのみ対応

パブリックリンクの有効期日設定

  • 公開リンクを生成する際に事前に設定した公開期間を設定します。
    • Box、OneDrive for Business(SharePoint Online)が対応

Google Driveでパブリックリンクを運用する場合に有効期限が設定できません。
Google Drive自体の仕様として共有リンク機能の有効期限は共有先のアカウント別のみに設定可能なため、mxHERO上でもパブリックリンクでは期限設定は行えず、「メールの受信者がアクセス可能」設定時のみ利用が可能です。

保存容量や最大アイテム数の考慮

クラウドストレージはプランによって全体の保存容量が決まっています。

必要に応じて保存容量の追加も検討します。

Boxの場合、Business Plusプラン以上は全体の保存容量は無制限です。

また、クラウドストレージによって容量とは別に最大アイテム数の制限があります。

従来のファイルに加えて、メールの添付ファイルによって、どれくらいアイテム数が消費されるかも気にしておく必要があります。

保存されるメールの添付ファイル数が多い場合はアイテム数に対して影響が中長期的に影響を受ける可能性を考慮し、対応策の検討や添付ファイルを1つのアカウントに集約保管を予定している場合は運用が可能かどうか確認・検討する必要があります。

これは製品の厳密な制限でなく、最大のパフォーマンスでBoxを実行するための推奨事項です。
・1フォルダの項目数の上限は、15,000です。 これにはサブフォルダのコンテンツは含まれません。1フォルダの直下にあるファイルまたはフォルダのみの数です。
・1ユーザーの項目数の上限は、1,000,000です。

Boxへの移行に向けたコンテンツの準備

mxHEROとクラウドストレージの関係性

これまでの説明からすでにお気づきだと思いますが、mxHERO側の設定よりもクラウドストレージ側の設定が優先されます。

つまり、mxHEROが無理やりクラウドストレージ側の制限や設定を捻じ曲げることは無い、できないということです。

そのため、クラウドストレージ側の制限設定や仕様とmxHERO側の設定は整合性を取る必要があります。

これらの設定についてはこの後の「セキュリティ定義」で行う事ができます。

「セキュリティ定義」の作成

考え方の前置きが長くなりましたが、「セキュリティ定義」を作成していきます。

汎用的な定義がプリセットが3つ準備されていますが、クラウドストレージ別の制限が意識しやすくなる為、個別に作成しましょう。

  • mxHEROの左側のメニュー「自動ファイルリング」 > 「セキュリティ定義」を選択し、右上の「作成」ボタンを選択します。
  • 「セキュリティ定義」設定の画面が表示されます。
  • 「定義名」を入植し、利用する「クラウドストレージ」を選択して、公開範囲やクラウドストレージ毎に設定が可能な有効期限などを設定し、保存します。

なお、保存されたセキュリティ定義は後で編集し、変更する事は可能です。ただし、プリセットの3つの事前定義は編集できません。

各定義の右端の三角マークを展開し、設定の概要を確認する事も可能です。

ここで作成した「セキュリティ定義」は後ほど作成するFusionルール内で指定します。

以下に各クラウドストレージを選択した際のセキュリティ定義の設定画面を参考に貼り付けておきます。

クラウドストレージによって設定できる設定値が異なることがわかります。

Boxのセキュリティ定義例

OneDrive for Business(SharePoint Online)のセキュリティ定義例

Google Driveのセキュリティ定義例

クラウドストレージとの接続方法

次に各クラウドストレージとの接続方法を紹介します。

注意

予期せぬアカウントで接続する可能性があるのでクラウドストレージ側のアカウントは作業前にログアウトしておく事をお勧めします。

ここで接続設定が完了したクラウドストレージが後ほど設定するFusionルールで選択する事ができるようになります。

  • mxHEROの左側のメニュー「設定」 > 「ストレージ」から設定画面を開きます。
  • 連携するクラウドストレージに対して設定を進めます。

Boxの場合

mxHEROと接続するためにはBox側にmxHEROのアプリを追加し、Enterprise IDを控える必要があります。

  • Boxの管理者画面を開き、左メニュー「アプリ」を選択し、右上の「アプリの追加」を選択します。
  • クライアントIDに3qjybyfh5w6ah97qn1oddmmjtcjxit6tを入力します。
  • アプリ名が「mxHERO B2B」であることを確認し、アプリを承認します。
  • アプリを承認したら、以下のようにmxHERO B2B アプリが追加されます。
  • 承認ステータスが「承認済み」、有効化ステータスが「有効」になっている事を確認します。
  • 次にBoxのEnterprise ID(数字)を控えます。
    • 「アカウントと請求」メニューから確認できます。
  • mxHEROの管理ダッシュボードに戻り、控えたEnterprise IDを入力し、「確認」を選択します。
  • Boxとの連携が完了すると「同期済み」となります。
    • エラーになる場合はEnterprise IDが正しいか、Box側にmxHEROアプリが追加されているか再確認してください。

Google Driveの場合

  • Google Workspace側に「mxHero Domain Sync and Outbound Configuration」のインストールが必要となります。
  • 組織のGoogle Drive内の「インストール」を選択します。
  • 「インストール」を選択すると、以下のURLが開きます。
  • Google Workspaceの管理者権限でログインし、「管理者によるインストール」を選択します。
  • 管理者によるインストールを「続行」します
  • アクセス許可画面が表示され、インストール対象の組織を選択します。
    • 組織で限定しない場合は「組織内の全ユーザー」を選択します。
  • 利用規約に内容を確認し、同意するにチェックし、「完了」を選択します。
  • アプリがインストールされたら「次へ」を選択します。
  • 次の画面で「完了」を選択し、ウィンドウを閉じます。
  • mxHEROの管理ダッシュボードに戻り、組織のGoogle Drive内の「確認」を選択し、「インストール済み」が表示される事を確認します。
    • 補足:「mxHero Domain Sync and Outbound Configuration」のインストールを行った同じアカウントでmxHEROへログインし、同じブラウザセッション上で操作してください。

OneDrive for Business(SharePoint Online)の場合

  • 組織のOneDrive内の「インストール」を選択します。
  • Microsoftアカウントのログイン画面が表示されるため、OneDrive for Business(SharePoint Online)の管理者権限を持ったアカウントでログインします。
  • ログイン後にmxHEROからのアクセス要求を「承諾」します。
  • 承認すると「インストール済み」と表示されます。

SharePoint Onlineを保存先に指定する設定は後ほど設定する「ルール」側で行います。

おまけ:複数のクラウドストレージを使い分けることができるか?

連携するストレージは後ほど設定するFusionルール別に指定するため、ルールによって使い分けることはできます。

ただ、情報(データ)の集約という観点では望ましい状態ではありません。

特定の要件があり、使い分けが必要な場合は複数種のクラウドストレージを設定します。

  • 例:社外はBox、社内はGoogle Driveを利用する

なお、1つのmxHEROテナントに対して、同じ種類のクラウドストレージを複数「組織として連携」することはできません。

  • 例:1つのmxHEROテナントに対して、BoxテナントAとBoxテナントBの複数の連携設定は不可

次のステップ

ストレージ設定が終わったら、次はアカウントとグループの設定に進みます。

終わりに

これからもmxHEROの新管理ダッシュボードに関する記事を書いていくので、ご不明点等があればお気軽にご連絡ください。また、新管理者ダッシュボードに関する記事一覧については、下記ブログにまとめているので、そちらも併せてご覧いただけると嬉しいです。

むろ

おいしいおつまみとお酒が好きです。
最近ハマっているのは芋焼酎のソーダ割り。

履き物の基本は下駄の人です。
好きな漫画はワールドトリガーです。