ゼロトラストの仕組みを活用した、Power PlatformとBox連携事例

ICTイノベーション推進室の谷口です。
いわゆる情シスで、ラック社内のIDやデバイス、ネットワーク、サーバの管理とセキュリティ運用を行っています。

今年は、日本マイクロソフト株式会社が2023年に新設したアワード、「Microsoft Top Partner Engineer Award」を受賞することができました。

Award受賞者向けのアドベントカレンダーのイベントに参加することになりました。今回はその記事も兼ねて、Microsoft 365と相性のよいPower Platformの活用事例について紹介します。ラックでは積極的にPower Platformを活用しており、その中でもBoxとの連携についてフォーカスしたいと思います。

Power Platformとは

Power Platformは、Microsoft社が提供するクラウドサービスで、Power AppsやPower Automate、Power BIなど業務プロセスの自動化やデータ分析に役立つツール群の総称です。Microsoft 365上のデータに対して、難しい操作を必要とせず直感的に扱えます。

また、難易度は上がりますがMicrosoft Graphや他社サービスのREST APIを使うことで、より広範囲かつ細かいデータ操作が可能になります。これらを使いこなせると、組織に合わせた柔軟な業務の自動化やデータ分析が可能になります。

例えば、ユーザからの入力をPower Appsで受けて、データの処理をPower Automateで実行し、その結果をPower BIでレポート化できます。

ラック社内におけるPower Platform活用事例

ラックでは、他組織とファイルを共有する場合の選択肢の一つとして、クラウドサービスの「Box」を利用しています。

他組織とやりとりをする社員もいれば、しない社員もいるため、Box利用は申請制にしています。上長が申請を承認した後に、Boxアカウントを発行する流れにしました。手動にした場合に情シスの仕事が増えてしまうため、Boxアカウントの発行は自動化したいところです。

また、Boxアカウント発行後はBox上に他組織とやりとりするためのフォルダが必要になります。Boxのフォルダのアクセス権限は、ウォーターフォール型の考えで上位フォルダの設定を下位フォルダが引継ぎます。下位で緩い制限に変えることはできず、逆に厳しい制限にすることはできます。

この特性を利用して、上位フォルダは管理者が作成して統制を効かせる（社員が緩い設定で上位フォルダを作れない）使い方^※1をラックは採用しています。しかし、社員から共有用のフォルダ作成依頼が来るたびに、情シスがフォルダ作成を行う手間が発生してしまいます。

※1 クローズドフォルダ分類法

そこで、ラックではBoxアカウントの発行と上位フォルダの作成をPower Platformで自動化することにしました。
ここからは自動化の内容について説明します。

Boxアカウント作成の自動化

Entra ID（旧称Azure AD）を使ってBoxアカウントの自動プロビジョニングとシングルサインオンができます^※2。

自動プロビジョニングにより、Entra IDの特定のセキュリティグループに対してBoxアカウントを自動作成できます。さらに、Power Platform（Power AppsとPower Automate）を使うと、「申請→上長承認→Box利用者のセキュリティグループに申請者を追加→Boxアカウント発行」の流れが自動化できます。

Boxアカウント申請の流れと仕組み

アカウント申請フォームはPower Appsで作成し、裏側の処理をPower Automateが行います。Power Automateで最低限実現することは、上長への承認処理とBox利用者のセキュリティグループに申請者を追加する処理だけでよいのですが、本格的な運用を考えると、ログの取得や一定期間利用されていないBoxアカウントを削除する処理もあった方がよいです。

それらをまとめると、下記のような仕組みになります。情シス側で行う部分はすべて自動化できます^※3。

※2 チュートリアル:Box を構成し、自動ユーザー プロビジョニングに対応させる

※3 Boxアカウントの削除処理ではBox APIを利用している。Power AutomateからBox APIを利用する部分は、Power AutomateプレミアムまたはPower Automateプロセスのライセンスが必要。

Boxフォルダ作成の自動化

Boxフォルダ作成の自動化もPower Platform（Power AppsとPower Automate）を使って実現できます。「申請→Boxフォルダの作成・アクセス権限の付与」の流れです。

Boxフォルダ作成申請の流れと仕組み

フォルダ申請フォームはPower Appsで作成し、裏側の処理をPower Automateが行います。Power Automateで最低限実現することは、フォルダの作成と申請者が利用できる権限を付与する処理だけです。こちらも本格的な運用を考えると、ログの取得処理があった方がよいです。

それらをまとめると、下記のような仕組みになります。情シス側で行う部分はすべて自動化できます^※4。

※4 フォルダ作成と権限付与の処理ではBox APIを利用している。Power AutomateからBox APIを利用する部分は、Power AutomateプレミアムまたはPower Automateプロセスのライセンスが必要。

その他の自動化

Boxアカウントが発行されたタイミングで、社用スマートフォンに「Box for EMM」アプリをIntuneで自動配布しています。Intuneでアプリを配布する際に、対象をセキュリティグループで指定できます。前述したように、Power Automateでセキュリティグループを操作できるので、Intuneと連動してアプリの自動配布ができるというわけです。

ページの都合上、詳細は割愛しますが、「Box for EMM」アプリは業務データを制御するモバイルアプリケーション管理（MAM）をサポートしています。IntuneによってMAMを有効にしています^※5。

※5 EMMとは - Box Support

その他、ログの取り込みをSentinelに集約する部分も自動化しています。ログ取り込みのコネクタが用意されているので、そちらを使えば定期的にBoxのログがSentinelに取り込まれます。取り込みの裏側ではBox APIが利用されています^※6。

※6 Microsoft Sentinel 用 Box (Azure Functions を使用) コネクタ

ゼロトラストとの関連性

さて、ここまで読んで「記事のタイトルに『ゼロトラスト』と書かれていたのだけれど、いつその説明になるの？」と思われた方もいそうです。お待たせいたしました、ここからPower Platformとゼロトラストとの関連について説明します。

「情シス必見！社員を狙ったフィッシングから見る3つの対策例」の記事の最後に、本人確認の認証強度を高めることが重要であると書きましたが、これはゼロトラストの肝の部分です。本人確認の要素を増やし、さらに適宜確認することで、多様な働き方を実現しながらサイバー攻撃から守りやすい仕組みができます。未読の場合はご一読いただくと本人確認の必要性の理解がより深まると思います。

今回のPower Platformの事例は、ゼロトラストの仕組みを活用したものになります。複数の要素をもとに本人確認をしているEntra IDとBoxアカウントを紐づけているため、Entra IDのセキュリティ機構であるサインインに関するリスク判定を行う「Identity Protection」やアクセスを許可する条件を細かく指定する「条件付きアクセス」も機能します。

その結果、ゼロトラストの恩恵を受けつつ、Microsoft 365のデータやREST APIを使ったBox連携などの自動化・省力化を実現しています。Microsoft社が唱える「Do more with less（より少ないリソースで多くのことを成し遂げること）」にも繋がるアプローチだと考えています。

さいごに

今回は、Power Platformの活用事例としてBox連携を紹介しました。Power PlatformはIntuneとの相性もよいため、外部記憶媒体の書き込み制御やクラウドサービスのアクセス制御などにも利用できます。別の機会にラック社内の活用事例を紹介したいと思います。

業務に関わる人、デバイス、データなどがデジタルデータとして管理されると、いわゆるゼロトラストの考え方が適用しやすくなります。業務プロセスがデジタル化されるとDXの推進にも役立ちますし、結果的に自動化・省力化もしやすくなります。多様な働き方に対応するにはより多くのコストがかかります。人手不足に陥りがちですが、コンピュータにたくさん働いてもらう方向で対処すべきだと日々感じます。

本記事がセキュリティ施策を導入する際の参考になれば幸いです。