8月入社でセキュリティチームの ぐっちー です。現在、キャッチアップも兼ねてmxHeroの様々な機能を片っ端から試す取り組みをしているのですが、その中でやったことを紹介していきたいと思います。本日は、BoxとmxHeroを使って、メールの添付ファイルに多要素(2要素)認証を実装する方法を紹介します。この設定は利便性が落ちるため使い所が難しいですが、「漏洩したID/Passを利用した不正アクセス」などというリスクを低減することが可能になります。
実現方法
メール添付ファイルの2要素認証の実現方法ですが、Boxの2FA機能を利用して実現します。前提としてBoxの2FA機能は、Boxなどへのアクセスの許可を得るために2種類以上の証拠(例えばパスワードと認証アプリを利用した認証の組み合わせ)を要求する機能です。Boxでは2FA機能を社内のユーザーだけではなく、自社のテナントにアクセスする社外のコラボレーターに対しても要求することができます。
後ほど紹介する設定を終えた後は、mxHeroの通常の仕様通りメールで送付したファイルがmxHeroの機能でBoxに格納され、分離された状態で受信者に届きます。その後、Boxに格納されたファイルにアクセスする際に、Boxへのログインと2要素認証が要求されるようになるという流れとなります。
実施する意義
Box単体での2FAのメリット
まず、Box単体で見た時の2要素認証(2FA機能)を実施するメリットをお話しします。
Boxへのアクセス制御を実施する際は、基本的にIPアドレス制御を実施せずに利用します。(もちろん、IPアドレスで制限は可能ですが、代表的なユースケースとしては利用しないことが多いです。)IPアドレス制限をしないということはインターネットからアクセスが可能となるということなので、認められていないユーザーからのアクセスを防止するための対策が別途必要になります。
その時に有効な手段として、ID/Pass認証に加えて2FAを実施することが一般的です。パスワードのみを利用した認証だと、そのパスワードが漏洩している場合はログインされることがありえるので、そのような対策を実施した上で利用することが望まれます。
mxHeroと組み合わせるメリット
次にBox 2FA機能とmxHeroを組み合わせるメリットをお話ししたいと思います。mxHeroと組み合わせるメリットとしては、「パートナー企業や外部委託先を狙った攻撃のリスクを削減できる」という点があります。前述の通り、BoxをはじめとするSaaS型のサービスでは漏洩したパスワードに関連するリスクがあり、それらのリスクに対して自社では対策をしていても、パートナー企業や外部委託先が対策を実施しているとは限りません。しかし、Box 2FA機能とmxHeroの組み合わせを実施すると、添付ファイルに対して2要素認証を実施できるので、パートナー企業や外部委託先からの漏洩のリスク軽減になります。
もちろん、セキュリティの話なので「2要素認証をつけたので100%安心」ということはありません。ただ、機微な情報をメールで送らざるを得ない場合や、外部委託先を狙った攻撃のリスクを軽減したい場合、またその組織が準拠すべきレギュレーションで求められている場合など、特定のユースケースにおいては有効な手段になりえると考えています。
留意事項
ここでは、メールの添付ファイルに2要素認証を実施する際の留意点をご紹介します。
利便性の低下
利用者(メール受信者も送信者も両方)の利便性を下げることになるため利用する際には注意が必要です。具体的には、以下のような手間が発生するため、ユーザーにとって負担とならないか注意する必要があると考えています。
- メール受信者がBoxのアカウントを持っていない場合はBoxアカウントを作成する
- メール受信者が作成したBOXアカウントにおいて、2要素認証を設定する
- メール受信者のリテラシーが低かった場合(2要素の設定の仕方がわからないなど)、メール送信者がサポートしなければならなくなる
宛先のメールアドレスの間違いへの対応はできない
宛先のメールアドレスを間違えてしまうなどのケースは保護することができません。この機能はいかにも誤送信対策に「効果がある感」がありますが、実際は送信先メールアドレスにアクセス権が付与されてしまいますので、宛先ミスをリスクと捉えるなら別の手段を検討しましょう。
一方で、宛先ミスに後から気づいた場合は、受信者がファイルをダウンロードする前であればファイルを削除することで漏洩したリンクを無効にしてしまえば、それ以上ダウンロードしたり閲覧ができないようにすることができます。
設定手順
前提条件
- mxHeroの初期設定が完了していること
ご参考: Exchange OnlineとBox環境でのmxHero Fusionの初期設定
①mxHero側の設定
- Fusionルールの設定で以下の設定をする。
- クラウドストレージは「Box Service Account」を選択。
- Security Options において、Access Scopeは「Only the recipients of the email」に設定。
※「Anyone(public links)」の設定だとBoxの認証を必要とせず、URLを知っていれば誰でもアクセスできるため、2要素認証を実装する今回のケースでは利用することができません。
②BOX側の設定
- [管理コンソール] > [Enterprise設定] > [セキュリティ] に移動します。
- [2段階ログイン認証] セクションの [外部ユーザー] で、[構成] をクリックします。
- [外部コラボレータ向けの2段階認証] ダイアログボックスで、以下を設定する。
- 「認証アプリ」は「認証アプリ(TOTP)」に設定。
- 「要求レベル」は「すべての外部コラボレータに対して有効にする」に設定。
- [保存] をクリックします。
- ページの上部で、[保存] をクリックします。
期待動作
- 添付ファイル付きのメールを送信した後、メール受信者側ではファイルをダウンロードする際にBoxのログインが求められる。
- ログインした後、Box側で2要素認証を設定すると、ファイルをダウンロードできるようになる。
実施結果
- 今回設定したテナントから、別のテナントにメールを送った結果、メール受信者側ではBoxにログインする前、mxHeroで表示されるメールのリンクを踏んでもアクセスすることができません。
- Boxにログインすると、下記の通り2要素認証の設定を促す表示が掲載される。
- 設定をした後は、ファイルを閲覧することができるようになりました。
終わりに
留意事項にも書いてきた通り、この機能は万人受けする機能ではなく、ユースケースは限定的であると思っています。特に利便性が下がるということで、大規模に展開することはなかなか難しいとは思いますが、リスク分析を元に必要となった場合のオプションとして、こんな機能があると紹介する趣旨でまとめさせていただきました。これからも色々な機能を検証して、積極的に情報発信をしていきたいと思います。
