ピンボール戦車少女

LAC WATCH

セキュリティとITの最(zui)新(xin)情報

RSS

株式会社ラック
テクニカルレポート | 

ゼロトラストの仕組みを活用した、Power PlatformとBox連携事例

シェアボタンを表示

ICTイノベーション推進室の谷口です。
いわゆる情シスで、ラック社(she)内のIDやデバイス、ネットワーク、サーバの管理とセキュリティ運用(yong)を行(xing)っています。

今年は、日本(ben)マイクロソフト株式(shi)会(hui)社が2023年に新設したアワード、「Microsoft Top Partner Engineer Award」を受賞することができました。

Award受(shou)賞者向けのアドベントカレンダーのイベントに参加することになりました。今回はその記(ji)事も兼ねて、Microsoft 365と相性のよいPower Platformの活用(yong)事例について紹(shao)介します。ラックでは積極的にPower Platformを活用(yong)しており、その中でもBoxとの連携についてフォーカスしたいと思います。

Power Platformとは

Power Platformは、Microsoft社が提供するクラウドサービスで、Power AppsやPower Automate、Power BIなど業務プロセスの自(zi)動化やデータ分析に役立つツール群の総称です。Microsoft 365上のデータに対して、難(nan)しい操作を必要(yao)とせず直感的に扱えます。

また、難易(yi)度は上(shang)がりますがMicrosoft Graphや他社サービスのREST APIを使うことで、より広範囲かつ細(xi)かいデータ操作が可(ke)能(neng)になります。これらを使いこなせると、組織(zhi)に合わせた柔軟(ruan)な業務(wu)の自(zi)動(dong)化やデータ分析が可(ke)能(neng)になります。

例(li)えば、ユーザからの入力をPower Appsで受けて、データの処(chu)理(li)をPower Automateで実行し、その結果をPower BIでレポート化(hua)できます。

ユーザからの入力をPower Appsで受けて、データの処理をPower Automateで実行し、その結果をPower BIでレポート化が可能

ラック社内におけるPower Platform活用事例

ラックでは、他(ta)組織とファイルを共(gong)有する場合の選択肢の一つとして、クラウドサービスの「Box」を利(li)用しています。

他組織とやりとりをする社員(yuan)もいれば、しない社員(yuan)もいるため、Box利(li)用は申(shen)請(qing)制にしています。上長(chang)が申(shen)請(qing)を承認(ren)した後に、Boxアカウントを発行する流(liu)れにしました。手(shou)動(dong)にした場(chang)合に情シスの仕事が増えてしまうため、Boxアカウントの発行は自動(dong)化したいところです。

また、Boxアカウント発(fa)行後はBox上(shang)に他組(zu)織とやりとりするためのフォルダが必要になります。Boxのフォルダのアクセス権限は、ウォーターフォール型の考えで上(shang)位フォルダの設定を下位フォルダが引継ぎます。下位で緩い制(zhi)限に変えることはできず、逆に厳しい制(zhi)限にすることはできます。

この特性を利用して、上位フォルダは管理者が作成して統制を効かせる(社員が緩い設定で上位フォルダを作れない)使い方※1をラックは採用しています。しかし、社員から共有用のフォルダ作(zuo)成(cheng)依頼が来(lai)るたびに、情シスがフォルダ作(zuo)成(cheng)を行う手間が発生してしまいます。

統制タイプの使い方。組織が決めたポリシーが下位フォルダにも強制される。

※1

そこで、ラックではBoxアカウントの発行と上位フォルダの作成をPower Platformで自動化することにしました。
ここからは自動化の内容について説明します。

Boxアカウント作成の自動化

Entra ID(旧称Azure AD)を使ってBoxアカウントの自動プロビジョニングとシングルサインオンができます※2

自(zi)動(dong)プロビジョニングにより、Entra IDの特定のセキュリティグループに対してBoxアカウントを自(zi)動(dong)作(zuo)成できます。さらに、Power Platform(Power AppsとPower Automate)を使うと、「申(shen)請→上長承認→Box利用者のセキュリティグループに申(shen)請者を追加→Boxアカウント発(fa)行」の流れが自(zi)動(dong)化できます。

Boxアカウント申請の流れと仕組み

アカウント申請フォームはPower Appsで実装。上長への承認処理とBox利用者のセキュリティグループに申請者を追加する処理は、Power Automateで実装。

アカウント申請(qing)フォームはPower Appsで作成し、裏側(ce)の処(chu)(chu)理(li)(li)をPower Automateが行います。Power Automateで最低限(xian)実現することは、上長への承認処(chu)(chu)理(li)(li)とBox利用(yong)者(zhe)のセキュリティグループに申請(qing)者(zhe)を追加する処(chu)(chu)理(li)(li)だけでよいのですが、本格的な運用(yong)を考えると、ログの取得や一定(ding)期間利用(yong)されていないBoxアカウントを削除する処(chu)(chu)理(li)(li)もあった方がよいです。

それらをまとめると、下記のような仕組みになります。情シス側で行う部分はすべて自動化できます※3

「Box利用の仕組み(Boxアカウント申請)」アカウント発行はEntra IDの自動ユーザープロビジョニングとPower Automateで実装。120日間ログインしていない不要なBoxアカウント削除もPower Automateで実装。

※2

※3 Boxアカウントの削除処理ではBox APIを利(li)用している。Power AutomateからBox APIを利(li)用する部分は、Power AutomateプレミアムまたはPower Automateプロセスのライセンスが必要(yao)。

Boxフォルダ作成の自動化

Boxフォルダ作成の自動化もPower Platform(Power AppsとPower Automate)を使って実現できます。「申請→Boxフォルダの作成・アクセス権限の付与」の流(liu)れです。

Boxフォルダ作成申請の流れと仕組み

フォルダ申請フォームはPower Appsで実装。Boxフォルダの作成・アクセス権限の付与は、裏側の処理をPower Automateで実装。

フォルダ申請フォームはPower Appsで作成(cheng)し、裏側の処理(li)をPower Automateが行います。Power Automateで最低限実現(xian)することは、フォルダの作成(cheng)と申請者が利用できる権限を付(fu)与(yu)する処理(li)だけです。こちらも本(ben)格(ge)的な運用を考えると、ログの取得(de)処理(li)があった方がよいです。

それらをまとめると、下記のような仕組みになります。情シス側で行う部分はすべて自動化できます※4

「Box利用の仕組み(Boxフォルダ作成申請)」フォルダ作成はPower AutomateとBox APIで実装。Box側の設定で第2階層に勝手にフォルダを作れないように制限。

※4 フォルダ作成と権限付与(yu)の処理ではBox APIを利(li)用(yong)している。Power AutomateからBox APIを利(li)用(yong)する部分は、Power AutomateプレミアムまたはPower Automateプロセスのライセンスが必要。

その他の自動化

Boxアカウントが発行されたタイミングで、社用(yong)スマートフォンに「Box for EMM」アプリをIntuneで自動(dong)配(pei)布(bu)しています。Intuneでアプリを配(pei)布(bu)する際に、対(dui)象をセキュリティグループで指定できます。前述したように、Power Automateでセキュリティグループを操(cao)作できるので、Intuneと連動(dong)してアプリの自動(dong)配(pei)布(bu)ができるというわけです。

ページの都合上、詳細は割愛しますが、「Box for EMM」アプリは業務データを制御するモバイルアプリケーション管理(MAM)をサポートしています。IntuneによってMAMを有効にしています※5

※5

その他、ログの取り込みをSentinelに集約する部分も自動化しています。ログ取り込みのコネクタが用意されているので、そちらを使えば定期的にBoxのログがSentinelに取り込まれます。取り込みの裏側ではBox APIが利用されています※6

※6

ゼロトラストとの関連性

さて、ここまで読んで「記事のタイトルに『ゼロトラスト』と書(shu)かれていたのだけれど、いつその説明になるの?」と思われた方もいそうです。お待たせいたしました、ここからPower Platformとゼロトラストとの関連(lian)について説明します。

情シス必見!社員を狙ったフィッシングから見る3つの対策例」の記事の最後に、本人(ren)確(que)認(ren)(ren)(ren)の認(ren)(ren)(ren)証強度(du)を高めることが重要であると書きましたが、これはゼロトラストの肝(gan)の部分(fen)です。本人(ren)確(que)認(ren)(ren)(ren)の要素を増やし、さらに適(shi)宜確(que)認(ren)(ren)(ren)することで、多様(yang)な働き方(fang)を実(shi)現(xian)しながらサイバー攻(gong)撃から守りやすい仕組みができます。未読の場合(he)はご一読いただくと本人(ren)確(que)認(ren)(ren)(ren)の必(bi)要性の理解がより深(shen)まると思います。

今回のPower Platformの事例は、ゼロトラストの仕(shi)組みを活用したものになります。複数の要素(su)をもとに本人確認をしているEntra IDとBoxアカウントを紐づけているため、Entra IDのセキュリティ機(ji)構であるサインインに関(guan)するリスク判定(ding)を行う「Identity Protection」やアクセスを許可する条件を細かく指定(ding)する「条件付きアクセス」も機(ji)能します。

その結果、ゼロトラストの恩恵を受けつつ、Microsoft 365のデータやREST APIを使ったBox連携などの自(zi)動化・省(sheng)力(li)化を実現しています。Microsoft社が唱える「Do more with less(より少ないリソースで多くのことを成し遂(sui)げること)」にも繋がるアプローチだと考えています。

本記事で紹介したラック社内のシステム構成

さいごに

今回(hui)は、Power Platformの活用事例としてBox連(lian)携を紹介しました。Power PlatformはIntuneとの相(xiang)性もよいため、外部記憶媒体の書き込み制(zhi)御やクラウドサービスのアクセス制(zhi)御などにも利(li)用できます。別の機会(hui)にラック社(she)内の活用事例を紹介したいと思(si)います。

業(ye)務に関わる人、デバイス、データなどがデジタルデータとして管理されると、いわゆるゼロトラストの考え方(fang)が適(shi)用しやすくなります。業(ye)務プロセスがデジタル化されるとDXの推(tui)進にも役立ちますし、結果的に自動化・省力化もしやすくなります。多(duo)様な働(dong)き方(fang)に対(dui)応するにはより多(duo)くのコストがかかります。人手不足に陥りがちですが、コンピュータにたくさん働(dong)いてもらう方(fang)向で対(dui)処すべきだと日々感じます。

本記事がセキュリティ施策を導入する際の参(can)考になれば幸いです。

この記事は役に立ちましたか?

はい いいえ