ADVERTISEMENT

【Box】Box Shieldの分類ラベルが反映されない時の監査ログで原因を確認する方法

【Box】Box Shieldの分類ラベルが反映されない時の監査ログで原因を確認する方法
🛡️ 超解決

Box Shieldで自動分類ラベルを設定しても、期待通りにファイルにラベルが付与されないことがあります。特に企業のコンプライアンス要件を満たすために分類ラベルを活用している場合、ラベルが付かないとデータ保護に穴が生じる可能性があります。この問題の原因を特定するには、Boxの監査ログ(Admin Consoleのイベントログ)が非常に有効です。本記事では、分類ラベルが反映されない原因を監査ログから調べる方法を、具体的な手順と失敗パターンを交えて解説します。

【要点】この記事で確認すること

  • 最初に見る場所: 管理コンソールの「監査ログ」で「CLASSIFICATION_VIOLATION」や「POLICY_APPLICATION」イベントを検索します。
  • 切り分けの軸: ユーザー権限・ライセンス不足、ポリシー設定ミス、ラベル定義の不備、ファイルの種類・場所の制限の4軸で検討します。
  • 注意点: 分類ラベルが適用されない原因は複数にわたるため、監査ログのエラーコードを必ず確認し、管理者に共有できる形で記録しておいてください。

ADVERTISEMENT

Box Shieldの分類ラベルが反映されない主な原因

分類ラベルが反映されない原因は、大きく分けてユーザー側の権限・ライセンス、ポリシー設定、ラベル定義、ファイル属性の4つに分類できます。それぞれを監査ログで確認するポイントを説明します。

ユーザー権限やライセンスの問題

Box Shieldの自動分類機能は、ユーザーに適切なライセンス(Enterprise Plusなど)が割り当てられていることが前提です。また、ファイルをアップロードしたユーザーに分類ラベルを設定する権限がない場合、ラベルは付与されません。監査ログで「ACCESS_DENIED」や「INSUFFICIENT_PRIVILEGES」といったエラーが記録されることがあります。

分類ラベルの設定ミス

管理者が作成した分類ラベル自体が正しく設定されていない場合もあります。例えば、ラベルの適用先(フォルダ、ファイルタイプ)が誤っていたり、ラベルの有効期限が切れているケースです。監査ログの「POLICY_APPLICATION」イベントで、適用に失敗した理由として「INVALID_LABEL」や「LABEL_DISABLED」が表示されます。

ポリシーの適用条件の誤り

Box Shieldのポリシーで自動ラベル付与の条件を設定する際、対象となるフォルダやファイル拡張子、コンテンツの条件が間違っているとラベルが付きません。監査ログでは「POLICY_APPLICATION_SKIPPED」や「CONDITION_NOT_MET」というイベントが記録されます。

監査ログの確認の重要性

上記のような原因を一つ一つ手動で確認するのは非効率です。Boxの監査ログには、自動分類の試行結果が詳細に記録されます。原因に応じたエラーコードとメッセージが含まれているため、まずは監査ログを検索することで、問題の所在を迅速に特定できます。

監査ログで原因を特定するための具体的な手順

以下の手順に沿って、管理コンソールで監査ログを確認します。手順は、管理者権限を持つユーザーでBox管理コンソールにログインしていることを前提とします。

  1. ブラウザでBox管理コンソール(https://admin.box.com)にアクセスし、管理者アカウントでサインインします。
  2. 左側のメニューから「監査ログ」をクリックします。監査ログは「レポート」カテゴリ内にある場合もあります。
  3. 「イベントタイプ」のフィルターで、分類ラベル関連のイベントを選択します。主なイベントタイプは「POLICY_APPLICATION」「CLASSIFICATION_VIOLATION」「CONTENT_POLICY_VIOLATION」です。必要に応じて「カスタムイベント」を選択し、該当するイベント名を入力することもできます。
  4. 「日付範囲」を設定します。ラベルが付与されなかったファイルのアップロード日時を中心に、前後数時間から1日程度の範囲を指定します。
  5. その他のフィルターとして「影響を受けたユーザー」や「ファイル名」を指定すると、特定のファイルやユーザーに絞り込めます。ただし、ファイル名が不明な場合は、まずユーザーで絞り込んでから結果を確認します。
  6. 「検索」ボタンをクリックすると、該当するイベントが一覧表示されます。各イベントの「詳細」をクリックすると、エラーメッセージや追加情報が表示されます。

注意点として、監査ログは通常数分から最大1時間程度の遅延が発生します。そのため、ファイルをアップロードした直後に検索してもイベントが表示されない場合があります。時間を置いて再度確認してください。

監査ログで確認すべき主要なイベントとその意味

監査ログで表示されるイベントのうち、分類ラベルに関連する主要なものとその意味を以下の表にまとめました。エラーコードを確認することで、原因を迅速に特定できます。

イベントタイプ エラーメッセージ(例) 意味
POLICY_APPLICATION “Policy application failed: User does not have license for Box Shield.” ユーザーにShieldライセンスが割り当てられていません。
POLICY_APPLICATION_SKIPPED “Policy skipped: File type is not supported.” ファイルの拡張子がポリシーの対象外です。
CLASSIFICATION_VIOLATION “Classification label not applied: Label definition is inactive.” 分類ラベルが無効化されています。
CONTENT_POLICY_VIOLATION “File content does not match any classifier.” ファイルの内容がポリシーの条件(機密情報など)に一致しませんでした。

これらのエラーは、監査ログのイベント詳細画面で確認できます。また、「影響を受けたアイテム」としてファイル名やフォルダパスが表示されるため、どのファイルが問題だったのかも特定できます。

よくある失敗パターンとその対処法

実際の運用でよく発生する失敗パターンを3つ紹介します。それぞれの監査ログでの確認ポイントと対処法を説明します。

パターン1:ユーザーにShieldライセンスがない

あるユーザーがファイルをアップロードしても、分類ラベルが付かないとします。監査ログで「POLICY_APPLICATION」イベントを確認すると、「User does not have license for Box Shield」というエラーが記録されていました。この場合、そのユーザーにEnterprise Plus以上のライセンスが割り当てられているかどうかを管理者に確認してください。対処法は、管理コンソールの「ユーザー」画面から該当ユーザーのライセンスを変更することです。

パターン2:分類ラベル自体が無効化されている

管理者が新しい分類ラベルを作成したが、アップロードしてもラベルが付かない。監査ログで「CLASSIFICATION_VIOLATION」のエラーとして「Label definition is inactive.」が表示されます。これはラベルが有効になっていないことを示します。対処法は、管理コンソールの「分類ラベル」設定で該当ラベルが「有効」になっているか確認し、無効であれば有効に変更してください。

パターン3:ポリシーが特定のフォルダにのみ適用されている

例えば、ポリシーで「機密文書フォルダ」にのみラベルを付ける設定になっているのに、ユーザーが別のフォルダにファイルをアップロードした場合、ラベルは付与されません。監査ログでは「POLICY_APPLICATION_SKIPPED」と表示され、理由として「Folder is not in scope.」と記録されます。この場合、ポリシーの適用範囲を見直すか、必要に応じてポリシーを編集して対象フォルダを追加します。

管理者へ確認すべき情報

もし監査ログを確認しても原因が特定できない場合、または監査ログへのアクセス権限がない場合は、管理者に以下の情報を伝えるとスムーズです。

  • 問題が発生したファイル名とアップロード日時: 監査ログでの検索を容易にするため、ファイル名と正確な日時を伝えます。
  • アップロードしたユーザーのメールアドレス: ユーザー単位のライセンス確認に必要です。
  • 期待する分類ラベル名: どのラベルが付くべきだったのかを明確にします。
  • 監査ログのイベントID(ある場合): すでに自分で監査ログを確認できた場合は、イベントIDを伝えると管理者が詳細を調べやすくなります。

管理者側では、監査ログのエクスポート機能を使ってCSVでダウンロードし、フィルタリングすることも可能です。大量のログがある場合は、CSVで分析する方が効率的な場合もあります。

よくある質問(FAQ)

Q1. 監査ログで「POLICY_APPLICATION」イベント自体が表示されないのはなぜですか?
A1. 最初に確認すべきは、Box Shieldの自動分類ポリシーが有効になっているかどうかです。また、監査ログのフィルター設定が正しいか、日付範囲が適切かも確認してください。それでも表示されない場合は、ポリシーが全くトリガーされていない可能性があります。例えば、ポリシーの条件が厳しすぎて該当ファイルがなかった、あるいはポリシーが無効になっている可能性があります。

Q2. 監査ログを確認するための権限がありません。どうすればよいですか?
A2. 監査ログを閲覧するには、管理コンソールの「監査ログ」へのアクセス権限が必要です。通常は管理者権限(Co-Admin以上)が必要です。自分が権限を持っていない場合は、Boxの管理者に監査ログの確認を依頼し、上記の「管理者へ確認すべき情報」を伝えてください。

Q3. 監査ログで「SUCCESS」と表示されているのに、実際にはラベルが付いていません。
A3. これはまれなケースですが、監査ログでは適用成功と記録されていても、UI上でラベルが表示されないことがあります。ブラウザのキャッシュが原因の場合があるため、一度ログアウトして再ログインするか、シークレットウィンドウで確認してみてください。それでも表示されない場合は、Boxのサポートに問い合わせることをおすすめします。

まとめ

Box Shieldの分類ラベルが反映されない場合、最初に監査ログを確認することが最も効率的な原因特定方法です。監査ログでは、ライセンス不足、ラベル無効、ポリシー設定ミスなど、具体的なエラーコードが表示されるため、問題の切り分けが容易になります。手順に沿って監査ログを検索し、エラーメッセージを確認してから適切な対処を行ってください。また、管理者への情報共有をスムーズにするために、ファイル名や日時、エラーコードを記録しておくことをおすすめします。


ADVERTISEMENT

この記事の監修者
✍️

超解決 第一編集部

疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。

ADVERTISEMENT