そもそも「BYOD」とは
BYODとは「Bring Your Own Device」の略で、日本語では「私的デバイスの持ち込み」などと表現されます。具体的には、各個人が所有しているスマホやパソコンなどのプライベート端末を業務で使用することです。スマートデバイスが一般に普及した近年、特に注目を集めています。
また、最近ではBYODと似た概念の「BYCD」も登場しました。これは「Bring Your Company's Device」の略で、日本語に訳すと「業務用端末の私的利用」です。BYODとは逆に、業務用のデバイスを私用の端末としても使う考え方を言います。
BYOD・BYCDのどちらも、業務と私用のデバイスを1つにしようという概念です。企業・従業員のどちらにとっても管理の手間が少なく済みます。しかし、業務用のデバイスを私的利用する以上、セキュリティには充分な注意を払わなければなりません。
BYODで考えられるセキュリティリスク
BYODでは情報漏洩に気をつけなければなりません。例として、以下のリスクが考えられます。
- ■私用目的でインストールしたアプリを介して情報が流出する
- ■不審なサイトにアクセスし、ウイルスの被害を受ける
- ■家族や友人にスマホを貸した際、情報を盗み見られる
もし、企業がデバイスを完全に管理下に置いているのであれば、これらの被害は防げます。社外への持ち出しを禁止しているデバイスなら友人への貸し出しはできませんし、不審なサイトへのアクセスはシステム上でブロックできるでしょう。
しかし、BYODでは業務と私用で同じデバイスを使う以上、従業員にある程度の自由を許さなければなりません。結果として、サイバー攻撃や過失によるセキュリティリスクが生じます。
BYODで行えるセキュリティ対策
BYODを採用する場合、上述したようなリスクを防ぐには、どのような対策が必要なのでしょうか。
MDM・MAM・MCMの実施
デバイス本体に施せるセキュリティ対策として、以下のようなものがあります。
- MDM(Mobile Device Management)
- デバイスにセキュリティ機能や機能制限を付与できるシステムです。
- MAM(Mobile Application Management)
- デバイス内に仮想の業務用スペースを作り、その中にあるアプリだけを企業側が管理します。
- MCM(Mobile Contents Management)
- デバイスに保存されているデータの内、業務に関するものだけを企業側が管理します。
ただし、これらの対策は通信圏外では使えないうえ、完全な私用・業務用の区別が困難だとされています。そこで注目されているのがVDI(Virtual Desktop Infrastructure)です。サーバ上に仮想のデスクトップを作り、従業員はそこにアクセスして業務に従事します。
リモートアクセスの導入
リモートアクセスとは、手元のデバイスから遠隔地のコンピュータやネットワークに接続することです。たとえば、在宅ワークにおいて、自宅のパソコンから企業内ネットワークにアクセスして業務に従事するケースが該当します。デバイス内にデータが残らないため、業務用・私用のデータが混同せずに済むのが特徴です。
BYODの安全な使い方として有力な選択肢になるでしょう。
ただし、リモートアクセスは一般的にインターネットを使う以上、第三者による盗聴や不正アクセスのリスクがあります。その対策として有効なのがVPN(Virtual Private Network)です。これは、通常のインターネットのように誰もが利用できるネットワークではなく、自社だけが使える専用線のことを言います。
クライアント証明書の発行
企業のネットワークには、無関係な第三者が入り込まないように制限をかけなければなりません。しかし、BYODを採用した場合、業務用・私用の区別がなくなります。企業側が支給した業務用デバイスによるアクセスだけを許すという考え方が難しくなるのです。
そこで、クライアント証明書を利用しましょう。従業員が業務にも使うデバイスにはクライアント証明書をインストールします。そして、クライアント証明書を持つデバイスによるアクセスだけを認めましょう。こうすることで、従業員の私用・業務用の兼用デバイスによるアクセスを許可しつつ、無関係な第三者によるアクセスを防げます。
アクセスコントロールの実施
クライアント証明書の発行以外にも、アクセスを制限する方法はあります。代表的なのはパスワード・IDによる認証です。ほかにも、ICカードや指紋などを用いて個人を特定するケースもあります。
さらに、アクセスする個人やデバイス以外にも、細かい条件によってアクセスをふるい分けられます。たとえば、OSが最新状態ではないデバイスによるアクセスを禁じるといった形です。最新状態に更新されていないとセキュリティリスクが高くなりますが、そのようなデバイスからのアクセスを阻止することで被害を防げます。
上記のようなアクセスコントロールは、専用のITシステムの導入により実現します。BYODを採用する場合はもちろんですが、そうでない場合でも内部統制を強化するうえで有力な選択肢です。
BYODのセキュリティを維持するためのポイント
最後に、BYODのセキュリティを維持するうえで重要なポイントを2つ解説します。
パスワード・端末管理の徹底
端末ロックやアクセスコントロールの認証などにおいて、パスワードを使う場面があります。しかし、そのパスワードが第三者に知られた場合、不正アクセスされるリスクが生じます。また、ログインしたままの端末が第三者の手に渡った場合も、大きな被害につながりかねません。
したがって、従業員にはパスワードや端末の管理を徹底するよう教育しておく必要があります。また、万が一パスワードの流出や端末の紛失・盗難に遭った場合の対処方法をマニュアル化しておくことも大切です。対処が早ければ早いほど被害を最小限に抑えられます。
ガイドラインの策定
BYODをこれから導入しようという企業は、導入後に適切に運用できるのか不安を感じているでしょう。しかし、企業で新しい体制を取り入れる場合、従業員も大きな不安を抱えます。BYOD導入後も業務に支障は生じないのか、万が一自分が重大な問題を引き起こしたらどうしようかなどと心配するものです。
この不安が大きすぎると、BYODの導入に対する社内での反発が膨らみ、導入計画が頓挫するおそれもあります。
そこで、BYODを活用する指針となるガイドラインを策定しましょう。BYODにおいてデバイスをどのように扱えば良いのか、何をやってはいけないのかなどを明らかにします。「データをUSBメモリなどに移さない」「公共のWi-Fiは使わない」「業務用に使うアプリは◇◇と△△のみ」など、具体的に決めましょう。
セキュリティ被害を防げると同時に、従業員も納得してBYODを受け入れられるようになります。
BYODのセキュリティ対策を行い、安全に運用しよう
BYODとは、従業員の私用デバイスを業務に用いることです。ただし、以下のようなセキュリティ対策が必要です。
- ■MDM・MAM・MCM
- ■リモートアクセス
- ■クライアント証明書
- ■アクセスコントロール
また、システム面以外では以下の対策が必要です。
- ■パスワード・端末管理の徹底
- ■ガイドラインの策定
以上を踏まえ、BYODを安全に運用しましょう。
