Box Trust Center

Boxにおけるデータ暗号化では、HIPAA/HITECH法、PCI DSS、ISO 27001などの標準規格に基づき、NISTが推奨するアルゴリズムや手法などを遵守しています。

Boxにアップロードされるコンテンツの転送時の暗号化には、TLS 1.3が標準プロトコルとして使用されます。 TLS 1.3をサポートしていないブラウザでは、TLS 1.2が使用されます。 また、保存データは、AESアルゴリズムによるキーサイズ256ビットのAES-256で暗号化されます。

Boxには、セキュリティインシデントに対処する専任のレスポンスチームを中核とするインシデント管理プロセスがあります。これにより、セキュリティ(機密性を含む)や可用性に関わるインシデントに対処するための一貫した組織的なアプローチを提供します。 お客様のデータに関わるインシデントが確認された場合には、該当する法律あるいはBoxとそのお客さまとの契約内容に基づいて、定められた時間内にお客さま(アカウントリストで指定されているBox管理者)に通知します。

Boxでは、データへの不正アクセスのリスクを最小限に抑えるために、さまざまな対策を施しています。 Boxへのアクセスは「最小権限の原則」に基づいて許可されており、対象となるユーザーが業務を遂行するための必要最小限の権限のみが与えられます。 さらに、Boxのサービスを支えるシステムへのアクセスには、VPN経由での二要素認証を義務づけています。

Boxでは、本番環境の認証済みおよび未認証のネットワーク脆弱性スキャンを実施しています。これには、ネットワーク、OS、データベースのスキャンが含まれ、少なくとも月に1回、または主要な変更があった場合に実施しています。 また、認証済みのWebアプリケーションの脆弱性スキャンを、少なくとも月に1回、または主要な変更があった場合に実施しています。 重大度の高い問題については、セキュリティへの影響の大きさに応じて3～30日以内に修正します。

Boxでは、複数の独立系セキュリティサービス企業との連携を通じて、Boxサービスのペネトレーションテストを実施しています。 BoxのWebアプリケーション、ネットワーク、その他のサービスのテストは、年次で実施しています。 NDAに基づき、希望されるお客さまに対してペネトレーションテストのエグゼクティブサマリーレポートの開示を行っています。 ご希望の場合は、担当アカウントチームにお問い合わせください。

Boxのサーバールームやデータセンターへの物理的なアクセスは、業務上の正当性を有する許可された者のみに制限されており、Box技術オペレーション部門の管理者による承認が義務づけられています。 また、RFIDバッジ、個人識別番号(PIN)、生体スキャン、24時間365日体制で監視するセキュリティカメラなどの仕組みにより、許可された者だけが施設にアクセスできるようになっています。

Boxには、Boxと取り引きするベンダーを評価するためのベンダーレビュープロセスがあります。 Boxのデータ分類基準に基づいて各ベンダーのリスクを評価し、その評価に基づいてベンダーレビューが実施されます。

セキュアなソフトウェア開発は、Boxのソフトウェア開発ライフサイクル(SDLC)の最重要要件の1つとして位置付けています。 Boxでは、セキュアなコーディングのために以下を実施しています。

• セキュアなソフトウェア開発のための開発者向けトレーニング(例: OWASP Top 10のトレーニング)
• 脅威モデリング
• 動的コード分析
• 静的コード分析
• Webアプリケーションのペネトレーションテスト
• 重要な製品とサービスに対するセキュリティ、法務、コンプライアンスの各観点からのレビュー

Boxでは、以下のセキュリティコンプライアンス認証、基準、レポートを取得・維持しています。

• Cloud Computing Compliance Controls Catalogue (C5)
• 国防総省(DoD)クラウドコンピューティングセキュリティ要件ガイド(SRG)インパクトレベル4の認可
• FedRAMP Moderate
• FINRA/SEC 17a-4
• FIPS 140-2
• G-Cloud Framework
• GxP Validation
• HIPAA/HITECH
• 国際武器取引規則(ITAR)と米国輸出管理規則(EAR)
• ISMAP
• IRS-1075
• ISO 27001
• ISO 27017
• ISO 27018
• ISO 27701
• NIST 800-53
• NIST 800-171
• PCIデータセキュリティ基準
• SOC 1 (SSAE 18) Type II
• SOC 2 Type II
• SOC 3

Boxでは、主にISO 27001とNIST 800-53に基づく情報セキュリティ管理システムプログラムを策定しています。 このプログラムの一環として、ポリシーと手順を設定しています。その中で、セキュリティとコンプライアンスを維持し、お客さまのデータを保護するためのルールと要件を定義しています。 これらのポリシーと手順は、Boxの社員および、Boxのシステムへのアクセスを行うサードパーティに伝達されています。 また、少なくとも年次でレビュー(必要に応じて更新)を行い、経営陣による承認を受けています。 Boxの情報セキュリティポリシーについてさらに詳しい情報が必要なお客さまに対しては、NDAに基づき、情報セキュリティポリシーに関するナレッジペーパーの開示が可能です。詳しくは担当アカウントチームにお問い合わせください。

Boxでは、教育と啓蒙のためのプログラムをグローバルに実施しています。全社員が、新入社員オリエンテーションの一環として、さらに入社後も年次で、セキュリティとプライバシーに関するコースを受講することを義務づけています。 また、役割に応じたさまざまなトレーニングを少なくとも年次で実施しています。

Boxでは、Boxの本番環境におけるセキュリティ関連のイベントおよびアクティビティを記録・監視する手順が確立されています。 また、適切なチームへのアラート通知により、必要に応じた対応を可能にしています。 本番環境のログは、少なくとも1年間保持されます。

Box ビジネスプラン以上のアカウントをお持ちのお客さまは、管理コンソールからオンデマンドでレポートを生成できます。これにより、アクティビティの監視や、Boxアカウントおよびアカウントが所有するコンテンツに関するデータの可視化を可能にしています。 詳しくはこちらのページをご覧ください。

Boxでは、Boxのビジネス目標達成能力に重大な影響を及ぼすおそれのあるリスクの識別、評価、定量化、対応、監視を行なうための全社的なリスク管理プログラムを策定しています。 リスク管理手法は、ISO 31000:2018、COSO 2017 Enterprise Risk Management Framework、ISO 27001/27005、NIST 800-30、HIPAA/HITECHの各標準に基づいています。 Boxのエンタープライズリスク管理チームは、戦略的リスクアセスメントとオペレーショナルリスクアセスメントを全社的に年次で実施しています。 アセスメントの結果は、監査委員会または取締役会により精査されます。 必要に応じてリスク低減戦略が策定・実施されます。

Boxは、定期的に独立系サードパーティによる監査を実施し、保有するセキュリティコンプライアンス認証の維持を図っています。 さらに、Boxには、内部統制の評価を担当する内部監査部門があります。 また、該当する規則や規制を法務部門が定期的に精査し、法規制の変更によって情報セキュリティポリシー・手順の更新が必要になる場合は、ガバナンス・リスク・コンプライアンス部門に通知しています。

Boxのサービス稼働状況は、status.box.comで確認できます。 このページでは、Boxがインシデントを作成、更新、解決した際にメール通知を受け取るよう設定できます。

Boxでは、エンタープライズレジリエンスチームにより、事業継続、災害復旧、緊急対応、危機管理に関する計画を策定しています。これには、有害事象による障害が発生した場合に使用する戦略、手順、連絡先情報などが含まれます。 これらの計画は、適切に実施できることを確認するために毎年テストされ、プロセスや環境の重大な変更については文書化されます。 NDAに基づき、Boxディザスタリカバリ訓練レポートの最新版の開示が可能です。 詳しくは、担当アカウントチームにお問い合わせください。

Boxでは、複数のデータセンターから同時にコンテンツをサポートするアクティブ/アクティブのデータセンターモデルを採用しています。 特定のデータセンターに影響を及ぼす有害事象が発生した場合には、影響を受けていないデータセンターがBoxのサービスをサポートします。 広範な地域で有害事象が発生し、主要なデータセンターに影響が及ぶようなケースでは、Boxのサービスは代替拠点によって運営されます。

Boxでは、重要なサービスの復旧におけるRTOは8時間、RPOは4時間に設定しています。 さらに、Boxでは、複数のデータセンターから同時にコンテンツをサポートするアクティブ/アクティブのデータセンターモデルを採用しています。 特定のデータセンターに影響を及ぼす有害事象が発生した場合には、影響を受けていないデータセンターがBoxのサービスをサポートします。 広範な地域で有害事象が発生し、主要なデータセンターに影響が及ぶようなケースでは、Boxのサービスは代替拠点によって運営されます。

Box上のコンテンツがランサムウェアの被害を受けた場合は、お客さまはBoxサポートに連絡することで修復のための支援が受けられます。 Boxでは、お客さまのファイルを未破損の最新バージョンにロールバックできるよう、全てのコンテンツのバックアップコピーを1セット保存し、アクティブ/アクティブのデータセンターモデルを採用しています。 また、ランサムウェアがお客さまのファイルを削除し、代わりに悪意のあるファイルをアップロードした場合には、ごみ箱から元のファイルを戻し、悪意のあるファイルを削除することもできます。 詳しくはこちらのページをご覧ください。

Boxは、お客さまのプライバシー権を尊重し、お客さまの情報を保護することの重要性を認識しています。 Boxがどのように情報を収集、保持、使用、開示、転送しているかについて詳しくは、プライバシーポリシーをご覧ください。

2021年6月21日付けで発行された欧州データ保護委員会(EDPB)の最終版ガイダンスを受けて、Boxは、Boxにおける個人データ保護に関するお客さまの懸念を理解しています。

Boxは、お客さまが一般データ保護規則(GDPR)に基づく管理者としてのデューデリジェンスの義務を果たすことを支援し、また処理者(プロセッサ)として当社の第28条の義務に準拠するために、「デューデリジェンスと補完的措置に関するレポート」を発行しました。このレポートは、お客さまのご希望に応じて提供しています。 このレポートには、Boxが現在実施している技術的・組織的な保護措置、Boxが利用している合法的なデータ転送手法、GDPRへの準拠を維持すると同時に公的機関からの要請をどのように処理しているかについての詳細な情報が含まれています。

レポートをご希望の方は、 privacy@box.com 宛てにご連絡ください。

Boxは、一般データ保護規則(GDPR)、アジア太平洋経済協力会議(APEC)、越境プライバシールール(CBPR)、プロセッサ向けプライバシー識別(PRP)、カリフォルニア州消費者プライバシー法(CCPA)など、地域固有のデータプライバシー規制を遵守しています。 詳しくは、地域別情報のページをご覧ください。

Boxは、初期の段階から、業界標準を満たすだけでなく、それを上回るクラウドベースのコンテンツ管理プラットフォームと製品をお客さまに提供することを公約してきました。 また、これまでに、EEA(欧州経済領域)域外へのデータ転送について、重複を含む一連の法的メカニズムとフレームワークをお客さまに提供してきました。 これには、(1)コントローラとプロセッサの拘束的企業準則(BCR)および、(2)標準契約条項(SCC)が含まれます。 CJEUは、データ転送手法におけるプライバシーシールドを無効化しました。しかし、Boxでは、今後もプライバシーシールドの原則を遵守し、コンプライアンス維持のための年次の独立評価を引き続き実施します。 Boxにおけるデータ保護に関する法的な取り組みと、データプライバシー保護に関するコミットメントについて詳しくは、ブログで解説しています。

Boxでは、データ処理業務を補完するためのサブプロセッサを使用しています。使用しているサブプロセッサの一覧は、 こちらに記載されています。 このページでは、各サブプロセッサが提供するサービスとサービス提供場所の概要および、サブプロセッサを採用する際にBoxが実施するデューデリジェンスの手順についても説明しています。 Boxは、Boxのサービスをサポートする以外の目的で、サブプロセッサがお客さまのデータ、コンテンツ、個人情報を使用することを固く禁じています。