最終更新日: 2026年6月9日
結論から言うと、box(ボックス)はFedRAMPやSOC、HIPAAなど世界最高水準のセキュリティ認証を取得した、基盤そのものは非常に堅牢な法人向けクラウドです。それでもboxを巡る情報漏洩は後を絶ちません。理由は単純で、漏洩の大半はboxの脆弱性ではなく「共有リンクの設定ミス」「無料アカウント経由の持ち出し」「誤送信」といった運用・設定の問題だからです。boxは「会社のコンテンツ基盤」として強く、逆に「取引先へ一回だけ大容量を送る」用途には設計が重めです。
この記事の結論(30秒でわかる)
- 基盤の安全性: FedRAMP・SOC 1/2/3・HIPAA・PCI DSSなど認証は世界最高クラス。暗号化・監査ログ・多要素認証も標準で、技術基盤は堅牢
- 本当のリスク: 漏洩の多くは「アクセス制限のない共有リンク」「無料Boxアカウント経由の持ち出し」「誤送信」「内部不正」——つまり運用・設定に集中する
- 弱点: 無料プランは10GB・1ファイル250MBと小さく、管理機能の整ったBusinessプランは最低3ユーザーから。一回限りの大容量送信には不向き
- 使い分け: 社内の保管・共同編集はbox、取引先への一回の大容量送信はギガワタス(333GB・AES-256・Pマーク・登録不要)が手軽で安全
この記事では、ファイル転送サービスの運営者として、boxのセキュリティを公式情報をもとに正確に整理します。「boxは安全?」という不安の核心にある「どこで情報が漏れるのか」を、実際の漏洩パターンに沿って解説します。
この記事はギガワタス(giga-watasu.jp)の運営ブログです。競合・関連サービスについても事実に基づいて解説しています。
boxのセキュリティを正確に整理する
まず、boxに「ある機能」を整理します。boxは米Box, Inc.(日本法人は株式会社Box Japan)が運営する法人向けのクラウドコンテンツ管理サービスで、ファイルの保管・共有・共同編集を1か所に集約できるのが特徴です。以下は公式の料金・機能ページをもとにまとめました(2026年6月確認)。
| 項目 | 内容 |
|---|---|
| 保存データの暗号化 | ○ 保存時の暗号化+通信のSSL/TLS暗号化が標準 |
| 暗号鍵の自社管理 | ○ Box KeySafe(アドオン)で顧客が暗号鍵を管理可能 |
| 多要素認証(2FA) | ○ 二要素認証・SSO(シングルサインオン)に対応 |
| 第三者認証 | ○ SOC 1/2/3・PCI DSS・HIPAA/HITECH・FedRAMP Moderate(Highは上位プランで追加対応) |
| アクセス権限・監査ログ | ○ きめ細かな権限設定(Business/Enterpriseのフォルダ共有では最大7種類)・ユーザー操作の完全な追跡 |
| 脅威検知・情報漏洩防止 | ○ Box Shield(アドオン)でDLP・異常検知・分類ベースのアクセス制御 |
| 電子透かし・データ保管地域 | ○ 電子透かし、Box Zones(データレジデンシー対応) |
| エンドツーエンド暗号化 | × ゼロ知識方式ではない(box側は技術的にアクセス可能。鍵自社管理はKeySafeで補完) |
| 無料プランの容量 | 10GB・1ファイル250MBまで(Individual・2026年6月時点) |
出典: box公式 料金・機能ページ(2026年6月確認)
一覧でわかる通り、boxは法人が求めるセキュリティ機能をほぼ網羅しています。エンドツーエンド暗号化(box側でも中身を見られない方式)は標準では採用していませんが、その代わりBox KeySafeでファイルの暗号鍵を顧客側が管理する構成に近づけられます。技術基盤の安全性で不安を感じる必要はほとんどありません。
boxが「安全」と言われる根拠
boxの信頼性を支えているのが、第三者機関による認証の多さです。自社で「安全です」と言うのではなく、外部の監査で証明している点が重要です。
- SOC 1/2/3: 米国公認会計士協会の基準。内部統制とセキュリティ管理体制が監査されている
- FedRAMP Moderate(上位プランでHigh対応): 米国政府機関がクラウドを使う際の認定。取得難易度が非常に高く、boxの堅牢さの象徴
- HIPAA/HITECH: 米国の医療情報保護基準。機微な個人情報を扱える水準
- PCI DSS: クレジットカード業界のセキュリティ基準
これらの認証は、取得・維持に多大なコストと監査対応が必要です。米空軍やモルガン・スタンレーのように、セキュリティ要件の厳しい組織にもboxは利用されています。「boxの仕組み自体が危ない」という心配は、ほぼ不要と言い切ってよいでしょう。
ここがポイント
boxの認証の多さは「攻撃で破られるリスク」を下げます。しかし後述するように、実際の情報漏洩は攻撃ではなく「使う側の設定・運用」で起きるのが大半です。認証が多い=絶対に漏れない、ではありません。
情報漏洩は実際どこで起きるのか
boxを巡る情報漏洩のニュースは少なくありません。ですが、その原因をたどると、boxのシステムが破られたケースはほとんどなく、共通して「人と設定」に行き着きます。代表的な4つのパターンを整理します。
① アクセス制限のない共有リンク
boxの共有リンクは「リンクを知っている全員」がアクセスできる設定にできます。便利な反面、本来は社内限定にすべきフォルダを「全員アクセス可」のまま共有してしまうと、URLが流出した時点で誰でも中身を見られます。公開設定の共有リンクが意図せず外部に広まり、第三者に閲覧される恐れもあります。
② 無料Boxアカウント経由の持ち出し
意外と見落とされがちなのが、従業員が個人で開設した無料Boxアカウントです。boxは無料(Individual)でも10GBまで使え、会社の管理が及ばないアカウントに業務ファイルをアップロードできてしまいます。退職時にデータごと持ち出される、私物端末から自由にダウンロードされる、といった内部不正の温床になります。
③ 共有相手・宛先の間違い(誤送信)
共有設定そのものは正しくても、招待する相手のメールアドレスを間違えると、無関係な人に機密が渡ります。これはboxに限らずメール添付でも起きる、最も古典的で多い漏洩原因です。
④ パスワード漏えい・アカウント乗っ取り
使い回したパスワードが他サービスの流出で露呈すると、boxアカウントが乗っ取られます。二要素認証を設定していないアカウントが狙われやすく、boxの堅牢さとは無関係に、入口の管理が甘いと突破されます。
boxを安全に使う5つの対策
boxのリスクが「運用・設定」に集中するということは、裏を返せば設定を正しく運用すれば大きく防げるということです。法人で使う場合の必須対策を5つ挙げます。
- 共有リンクは「招待した人のみ」を既定にする — 「リンクを知っている全員」は社外公開が必要なときだけ。管理コンソールで既定値を絞れます
- 共有リンクにパスワードと有効期限を付ける — 万一URLが流出しても、パスワードと期限で被害を抑えられます
- 全アカウントで二要素認証(2FA)を必須化する — パスワード漏えいによる乗っ取りを入口で止める、最もコスパの高い対策
- 無料Boxアカウントの業務利用を禁止・統制する — シャドーIT(会社が把握しない私的利用)を放置しない。会社契約のアカウントに集約する
- Box Shieldと監査ログで異常を検知する — 大量ダウンロードや不審なアクセスを自動でアラート。誰が何をしたか追跡できる状態にする
逆に言えば、これらはboxを「会社のコンテンツ基盤」として使い込むことが前提の対策です。設定・運用設計・管理者の手間が必要で、「取引先に一度だけ大容量ファイルを送りたい」だけの場面には、いささか重い仕組みだと感じる人も多いはずです。
boxとギガワタスはどう使い分ける?
boxは「保管・共同編集の基盤」、ギガワタスは「一回の大容量送信」に最適化されています。商材が違うので、優劣ではなく用途で使い分けるのが正解です。
| こんなとき | おすすめ | 理由 |
|---|---|---|
| 社内でファイルを保管・共同編集 | box | バージョン管理・権限設定・監査ログが充実。基盤として最適 |
| 取引先に一回だけ大容量を送る | ギガワタス | 登録不要・333GB・AES-256。相手にアカウント開設をさせない |
| 相手が無料Boxを開設するのが不安 | ギガワタス | 受け取りもURLクリックのみ。無料アカウント経由のリスクを回避 |
| 高度な権限管理・コンプライアンス | box | FedRAMP等の認証が必要な領域ではboxが有力候補 |
特に見落とされがちなのが、3行目の「無料Box受け取りリスク」です。boxで社外と共有すると、公式も「相手に無料アカウントの開設をおすすめしては」と案内します。しかし受け取る側からすれば、見慣れないクラウドにアカウントを作ること自体が不安ですし、その無料アカウントが先述の②の温床にもなります。
「一回送るだけ」なら、ギガワタスはゲスト利用(登録不要)で333GBまで送れ、受け取る側もURLをクリックするだけです。ファイル自体を広く使われる強力な暗号方式であるAES-256で暗号化し、プライバシーマークも取得しています。アカウントを増やさずに、安全に大容量を渡せます。
メールアドレスだけで無料会員登録すれば、ウイルススキャン・IPアドレス制限・ダウンロード通知などの機能も無料で使えます。継続的に取引先とファイルをやり取りする方には会員登録がおすすめです。
正直なところ、ギガワタスにも弱点はあります。boxほどの知名度はなく、受け取る側が「このサービス知らないけど大丈夫?」と感じる可能性はあります。またギガワタスは「送る」ことに特化しているため、boxのような長期保管・バージョン管理・チームでの共同編集には対応していません。あくまで「保管はbox/一回の送信はギガワタス」という住み分けです。
boxの安全性に関するよくある質問
Q. boxは無料でも安全に使える?
暗号化や二要素認証などの基本的なセキュリティは無料プランでも有効です。ただし無料(Individual)は10GB・1ファイル250MBまでと小さく、Box ShieldやKeySafeなどの高度な機能は有料プランのアドオンです。業務で機密を扱うなら、管理機能の整った有料プランを推奨します。
Q. boxの暗号化はエンドツーエンド?
標準ではエンドツーエンド(ゼロ知識)暗号化ではありません。保存時の暗号化とSSL/TLSによる通信暗号化が標準です。box側でも中身に触れられない構成が必要な場合は、暗号鍵を顧客が管理するBox KeySafe(アドオン)を利用します。
Q. boxから情報が漏れるのはどんなとき?
大半はboxのシステムではなく運用に原因があります。アクセス制限のない共有リンクの流出、従業員の無料Boxアカウント経由の持ち出し、共有相手の誤指定、パスワード使い回しによる乗っ取りが代表例です。共有リンク設定の見直しと二要素認証の必須化で大きく防げます。
Q. 取引先からboxの共有リンクが届いた。開いても大丈夫?
box自体は信頼できるサービスなので、送信元が確かな相手であれば過度に心配する必要はありません。ただし不審なメールに添えられたリンクはフィッシングの可能性があるため、送信元を確認してください。自分が送る側で、相手に無料アカウントを作らせたくない場合は、登録不要で受け取れる転送サービスの利用も選択肢です。
Q. boxで大容量ファイルを送るには?
1ファイルのアップロード上限はプランで異なり、無料は250MB、Business Starterは2GB、Personal Pro・Businessは5GB、Business Plusは15GB、Enterprise以上は50GB〜です。ただし送るためだけにboxを契約するのは割高です。一回限りの大容量送信なら、登録不要で333GBまで送れるギガワタスのような転送サービスの方が手軽です。
まとめ
boxの安全性をまとめます。
- 基盤は世界最高水準: FedRAMP・SOC・HIPAA・PCI DSSなど認証が豊富で、暗号化・監査ログ・多要素認証も標準。システムの堅牢さは折り紙付き
- リスクは運用に集中: 漏洩の大半は共有リンクの設定ミス・無料アカウント経由・誤送信・乗っ取り。設定と運用で大きく防げる
- 用途で使い分ける: 社内の保管・共同編集はbox、取引先への一回の大容量送信はギガワタスが手軽で安全
boxは「会社のコンテンツ基盤」として優れたサービスです。一方で、取引先に一度だけ大容量を送るような場面では、相手にアカウントを作らせず、登録不要で送れるギガワタスのような転送サービスの方が、手間もリスクも小さく済みます。333GBまで無料で送れ、ファイルはAES-256で暗号化、プライバシーマークも取得済みです。
セキュリティの観点でファイルの送り方を見直したい方は、以下の記事も参考にしてください。
