Box用SaaSセキュリティAPIコネクタを設定する

この記事では、アカウントのSaaSセキュリティAPIポリシーのためのBoxコネクタの設定方法と、データ保護ポリシーまたは脅威保護ポリシーでこのコネクタを使用するルールを作成する方法を説明します。

SaaSセキュリティAPIポリシーには、別々のCatoライセンスが必要です。詳しい情報については、Catoの担当者または正式なリセラーにお問い合わせください。

Boxコネクタの概要

組織のためにBoxテナント用のコネクタを作成します。次に、データ保護ポリシーでBoxコネクタを含むルールを定義し、スキャンおよび検査されるファイルを定義します。各テナントごとに1つのBoxコネクタを作成できます。

前提条件

Boxテナントの管理者または共同管理者の権限
コネクタはファイルをモニタリングし、他のアクションはまもなくサポートされます

Box用APIコネクタに必要な権限

BoxアカウントのファイルやフォルダーをスキャンするためにCatoのSaaSセキュリティAPIを有効にするには、コネクタはBoxアプリケーションと共にCatoに対して以下の権限とアクションを提供します：

Oauth2を使用してアプリへのアクセスを許可する
安全な接続を確立および維持するためにアプリからトークンを受信する
Box APIに接続し、SaaSセキュリティAPIデータ保護ポリシーに従ってデータを取得しファイルをスキャンします。これには以下を含みます：
- モニタリングアクションのために - Boxに保存されたすべてのファイルとフォルダーを読み取る
  - その他のアクションについて - Boxで保存されたすべてのファイルとフォルダーの書き込み権限
- Boxアカウント内のユーザーデータにアクセスする
- Cato管理者がBoxユーザーの代わりに通話を行うことができます

既知の制限

ルートフォルダにアップロードされたファイルは、コネクタに利用可能になるまで最大24時間かかることがあります
- サブフォルダーおよびディレクトリにアップロードされたファイルはすぐに利用できます

Boxコネクタと一緒に作業する

このセクションでは、Box用APIコネクタの作成方法と、組織のBoxテナントをCatoアカウントに接続する方法を説明します。

Boxコネクタの作成

Boxコネクタを作成するとき、Cato管理アプリケーションはそのコネクタのためのクライアントIDを生成します。次に、Boxアカウントの管理コンソールにログインし、新しいユーザー認証アプリケーションを作成します。 Cato BoxアプリでクライアントIDを入力し、その後CatoがBoxアカウントに接続することを承認します。最後に、Cato管理アプリケーションでBoxコネクタを保存し、CatoはBoxファイルおよびフォルダーの監視を開始する準備ができました。

Boxのコネクタを作成するには：

ナビゲーションメニューから、リソース > 統合を選択し、SaaSセキュリティAPIデータ保護をクリックします。
新規をクリックします。 新規コネクタ パネルが表示されます。
新しいBoxアプリケーションを作成します。

現在、参照のみ の権限とアクションのみがBoxアプリ用にサポートされています。しかし、参照と編集 の権限とアクションも間もなくサポートされる予定です。
コネクタ名を入力します。
クライアントID をOSクリップボードにコピーします。
このコネクタ用のCato Boxアプリを作成：
1. リンクをクリックして、アカウントのBox管理コンソールを開きます。
  
  Box画面が新しいブラウザタブで開きます。
2. Boxテナントにログインします。
3. Boxのナビゲーションメニューから、管理者コンソールを選択します。
4. アプリ>カスタムアプリケーションマネージャ>ユーザー認証アプリケーションを選択します。
5. アプリを追加をクリックします。
6. アプリを追加ウィンドウで、クライアントID（上記のステップ5から）を貼り付けます。
7. 次へをクリックします。
8. アプリの承認ウィンドウで、CatoがBoxアプリにアクセスできるようにするために承認するをクリックします。
  
  新しいアプリがBoxアカウントに追加されました。
Cato管理アプリケーションで、認証して保存をクリックします。

Boxの権限画面が新しいブラウザタブで開きます。
CatoアカウントがBoxアプリにアクセスできるように権限を付与します。
1. Boxへのアクセスを付与をクリックして、CatoがBoxアプリにアクセスできるようにします。
2. 画面には、テナントに対して権限を正常に適用したことが表示されます。
  
  ブラウザーのタブを閉じて、Cato管理画面に戻ることができます。 Boxがリクエストを処理するには数秒かかることがありますので、エラーが発生した場合はブラウザをリフレッシュしてください。
  
  Box がリクエストを処理している間、コネクタのステータスは ユーザ承諾の保留 です (以下の コネクタのステータスの理解 を参照)。
Box SaaS アプリケーションは SaaS APIs データ保護 ページに追加されます。

コネクタのステータスの理解

コネクター設定画面の ステータス 列には、Box アプリとCatoアカウント間の接続状況が表示されます。 These are the explanations of the statuses:

接続済み - アカウントはアプリケーションに接続され、正常に動作しています
接続の警告 - Box テナント内の一部のユーザーが CatoのSaaSセキュリティAPIをサポートするために正しく設定されていません。 Please open a ticket with Support.
接続エラー - Boxコネクタとの接続や権限の問題です。 Please open a ticket with Support.

Box は各テナントで1つのコネクタのみを作成することがサポートされています。
ユーザ承諾の保留 - Boxコネクタは接続設定画面で作成されているが、Boxアカウントへの接続をCatoに認可するプロセスを完了していません。

データ保護ポリシーへのBoxルールの追加

このセクションでは、ユーザーがBoxでアップロードおよびダウンロードするファイルとフォルダを監視および管理するためにデータ保護ポリシーを使用する方法について説明します。

Boxアクションの理解

データ保護ルールを作成するときは、ルールに一致した場合にポリシー違反を監視または修正するためのさまざまなアクションを定義できます。各アクションは自動的にイベントを生成し、電子メール通知を受け取ることも選択できます。 SaaS セキュリティ API イベントについて詳しくは、以下の SaaS セキュリティ API イベントの分析をご覧ください。

データ保護エンジンがルールに一致したときに実行できるアクションは次のとおりです：

モニタ - ルールと一致するトラフィックを監視できるイベントを生成します。
共有を削除する - ユーザーがファイルを共有しようとすると、SaaSセキュリティAPIエンジンが未承認の共有権限を削除し、共有ファイルへのリンクを受け取ったユーザーにはアクセス権がありません。

注意

注: ルートフォルダに追加された新規ファイルは、スキャンされてルールアクションが適用されるまでに最大24時間かかることがあります。サブフォルダ内のファイルはアップロード後すぐにスキャンされます。

Boxルールの構成

データ保護ページを使用してデータ保護ポリシーにSaaSアプリケーションルールを追加します。

データ保護ルールを作成して、SaaSセキュリティAPIによってスキャンされるトラフィックを定義します。各SaaSアプリケーションコネクタに対して個別のルールを作成し、スキャンされるトラフィックを決定する基準を定義します。

Boxルールの設定の詳細については、以下の「Boxルールの理解」をご覧ください。

Boxアプリの新しいデータ保護ルールを作成するには：

ナビゲーションペインからセキュリティ > SaaS セキュリティ API ポリシーを選択し、データ保護を選択または展開します。
新規をクリックします。 新規ルール パネルが表示されます。
アプリケーションコネクタでBoxアプリを選択します。
一般セクションで、ルールの設定を入力します。
所有者で、監視している1人以上のBoxユーザを選択します（デフォルト値は任意です）。

複数のユーザーを選択すると、それらの間にはまたは関係があります。
共有オプションで、スキャンされるファイルおよびフォルダの許可レベルを選択します（デフォルト値は任意です）。

複数のオプションを選択すると、それらの間にはまたは関係があります。
ファイル属性で、スキャンするファイルを指定するための基準を定義します (デフォルト設定はすべてのファイルをスキャンします)。
コンテンツプロファイルで、このルールのDLPコンテンツプロファイルを選択します。

DLPコンテンツプロファイルについてさらに詳しくは、DLPコンテンツプロファイルの作成を参照してください。
アクションを選択します。
(オプション) ルールのメール通知を生成するためのトラッキングオプションを定義します。

イベントとメール通知についての詳細は、アカウントレベルのアラートとシステム通知を参照してください。
保存をクリックしてください。このルールはデータ保護ポリシーに追加されます。

Boxルールの理解

このセクションでは、正しいBoxトラフィックをスキャンするためのデータ保護ルールの設定方法について説明します。各ルールは以下の条件に基づいて定義できます：

所有者 - ワークスペースのBoxユーザー (デフォルト値は任意)
- 内部 - 所有者は会社のすべてのユーザー
- Boxユーザ - 所有者は特定のユーザー
共有オプション - このルールに一致するファイルおよびフォルダーの共有権限の種類を選択します (デフォルト値は任意)
- プライベート - ユーザーのみがアクセス可能
- リンクを持つ全員 - リンクを持つ誰でもが閲覧可能 (Boxにサインインする必要はありません)
- 会社の人々 - リンクを持っている会社のすべてのユーザー
- 招待された会社の人々のみ - リンクを持っている会社のすべてのユーザー
- 招待された外部の人々のみ - リンク付きの招待を受け取った外部ユーザー
ファイル属性 - スキャンされる添付ファイルの基準 (デフォルト値はすべての添付ファイル)
- ファイルタイプ
- ファイル名
- ファイルサイズ (最大ファイルサイズは20 MB)
コンテンツプロファイル - DLPコンテンツ検査を定義するDLPコンテンツプロファイル

セキュリティ > DLPプロファイル > DLPプロファイル > コンテンツプロファイルでコンテンツプロファイルを作成または編集できます
アクション - ルールが一致したときにイベントまたはメール通知を生成するか選択します

ルール用のファイルまたは添付ファイルの定義

特定のファイル（または添付ファイル）をルールに定義し、SaaSセキュリティAPIエンジンを指定されたファイルのみをスキャンするように制限して、DLPコンテンツプロファイルに一致するかどうかを確認できます。

複数のファイルをルールに追加する場合、それらの関係を選択します：

いずれか満たす (OR) - ルール内のファイルタイプのうち一つだけを一致させる
すべて満たす (AND) - ルール内のすべてのファイルタイプに一致させる（そうでないと、ルールは無視される）

ルールでファイル名設定を使用して正確なファイル名を定義するか、ワイルドカードを使用してキーワードを定義できます。例えば、ファイル名を内部と定義して、内部という単語を含むすべてのファイル名に一致させることができます。

順序付けされたデータ保護ルールの作業

SaaSセキュリティAPIエンジンはデータを順次検査し、ルールに一致するかどうかを確認します。データがルールに一致しない場合は、検査されません。ルールベースの上位にあるルールは優先順位が高く、ルールベースの下位にあるルールよりも先に適用されます。各アプリケーションまたはコネクタタイプは、データに対して1回のみ適用されます。

ベストプラクティス - ルールベースの効率を最大化するため、各コネクタタイプについて、特定のユーザーに対するルールがいずれかのユーザーに適用されるルールよりも優先されることをお勧めします。

例えば、データがルール #2 のコネクタと一致すると、SaaS セキュリティ API エンジンによってデータが検査されます。エンジンは、同じコネクタのルール #3 以下を適用し続けません。ただし、データは別のコネクタを使用して、低い優先度のルールに一致することがあります。

コネクタへの脅威保護の追加

コネクタの脅威保護ルールを作成して、アカウントに対して有効化されたアンチマルウェアおよび次世代アンチマルウェアエンジンを使用して、ファイルおよび添付ファイル内のマルウェアとウイルスをスキャンできます。 SaaSセキュリティAPIエンジンはコネクタトラフィックをスキャンし、ルール用に設定したアクションおよび追跡オプションを適用します。

ルールが一致した場合に脅威保護エンジンが実行できるアクションは次のとおりです：

モニタ - ルールに一致するトラフィックを監視するためのイベントを生成します。
共有を削除する - ユーザーがファイルを共有しようとすると、SaaS セキュリティ API エンジンは無許可の共有権限を削除し、共有ファイルのリンクを受け取ったユーザーはファイルへの権限を持たなくなります。

各アクションは自動的にイベントを生成し、電子メール通知を受け取ることも選択できます。 SaaS セキュリティ API イベントについて詳しくは、以下の「SaaS セキュリティ API イベントの分析」をご覧ください。

SaaS セキュリティ API 脅威保護ルールを作成する際に、あなたのアカウントに対して有効になっているマルウェア対策エンジン（セキュリティ > アンチマルウェア）が、そのコネクタアプリケーションに送信されるファイルに対してマルウェアスキャンを実行します。

以下のスクリーンショットは、内部ユーザーまたはゲストによって送信されたファイルをスキャンするOneDriveコネクタの脅威保護ルールを示しています：

ファイルに対する例外を作成する

時々、Cato の SaaS セキュリティ API エンジンによってブロックされたファイルが安全であることを知っている場合、そのファイルをネットワークに許可する必要があります。イベントページでは、ファイルハッシュを使用して脅威保護スキャンをバイパスする例外を作成することができます。ブロックされた特定のファイルのイベントを開いた後、ファイルハッシュをクリックして例外の構成パネルを開き、ファイルをアカウントの例外として追加します。ファイル例外の期間を選択するか、例外が永久に続くように構成することができます。

アンチマルウェアとSaaS セキュリティ API のファイル例外

ファイル例外は、アンチマルウェアとSaaS セキュリティ API 脅威保護ポリシーに適用されます。アンチマルウェアとNGアンチマルウェアイベントから例外を作成すると、これらの例外はSaaS セキュリティ API 脅威保護ポリシーにも適用されます。同様に、SaaSセキュリティAPIマルウェア対策イベントからファイル例外を作成すると、それらの例外はマルウェア対策ポリシーにも適用されます。完全なファイル例外リストは、アンチマルウェアページとSaaSセキュリティAPI脅威からの保護ページの両方に表示されます。

ファイルの例外を作成するには：

ナビゲーションメニューから、ホーム > イベントを選択します。
SaaSセキュリティAPIマルウェア対策のサブタイプを使用してイベントをフィルタします。
時間列から、イベントを展開します。
イベント内で、ファイルハッシュリンクをクリックします。

例外の構成パネルが開きます。
期間ドロップダウンメニューから、ファイルがマルウェア対策と次世代アンチマルウェアエンジンから除外される期間を選択します。

永続的な例外を作成するには、永遠を選択します。
適用をクリックします。

例外が作成され、脅威保護タブのファイル例外セクションとアンチマルウェアページに追加されます。

ファイル例外の削除

脅威保護ポリシーの例外が不要になったら削除してください。

脅威保護ポリシーのファイル例外を削除するには：

ナビゲーションメニューから、セキュリティ > SaaS セキュリティ API ポリシーをクリックします。
脅威保護タブを選択します。
ファイル例外セクションで、削除したい例外に対してをクリックします。
保存をクリックします。

例外が削除されます。

SaaSセキュリティAPIイベントの分析

ホーム > イベントページには、アカウントのすべてのSaaSセキュリティAPIイベントが表示されます。強力な検索ツールにより、必要な関連データを含むわずかなイベントを深堀りして特定することができます。

SaaSセキュリティAPIイベントは、以下の項目で識別できます：

イベントタイプ - セキュリティ
サブタイプ - SaaSセキュリティAPIデータ保護 and SaaSセキュリティAPIマルウェア対策

イベント画面の使用についてもっと知りたい場合はサイナー証明書の拇印コードを 40 文字で入力してください。チーム識別子を入力してください。をご覧ください。 SaaSセキュリティAPIデータ保護プリセットを使用してイベントをフィルターできます。

SaaSセキュリティAPIイベント項目の説明

フィールド名	説明
コネクタ名	ルールに定義済みのコネクタの名前
コネクタ種類	このコネクタのために定義済みのSaaSアプリケーション
DLPプロファイル	このイベントを生成するDLPコンテンツプロファイル
ファイル名	添付ファイルの名前
ファイルサイズ	添付ファイルのサイズ
ファイルタイプ	添付ファイルのファイルタイプ
一致したデータ種類	ルールに一致したコンテンツプロファイル内のデータ種類
協力者	ファイルを受け取ったユーザーのメールアドレス
ルール	データ保護ポリシーのルール名
所有者	ファイルの所有者
セベリティ	ルールに定義済みのセベリティ
共有スコープ	Box添付ファイルの共有オプション