日本の企業や組織において、BYOD(「Bring Your Own Device」(自分のデバイスを持ち込む)の略)の積極的な推進は進んでいません。
それは、企業が十分安心だと思えるセキュリティに対する規定やソリューションが確定されていないからです。
しかし、BYODを導入していない、またはBYODを認めていない企業や組織においても、BYODの規定をしっかりしていないと、セキュリティリスクが高まります。
なぜ、BYODを認めていない場合でもBYODに対する規定を定めなければならないのか、BYODのメリットとセキュリティのリスクについて考えます。
目次
BYODとは?BYODのメリットとデメリット
BYODとは一般的に、個人所有のデバイスを業務に持ち込んで使用することをいいます。
企業にとって、最先端技術を取り入れ常に新しい技術を利用したサービスを展開する必要に迫られています。常に新しいデバイスを完備して配布するにはコストがかかりすぎる。そんな中でBYODは大きなメリットがあると考えられます。
BYODのメリット
BYODのメリットは従業員が所有するデバイスを、業務に利用することにより、常にデバイスを企業が購入して従業員に貸与する必要がなくなるという点にあります。
最新のデバイスは以前のようにPCやノートPCのみならず、スマートフォンやタブレットなど、現在ではさまざまな最新デバイスが存在します。それを企業が準備して常に最新の状態を保つにはかなりのコストになりますが、BYODを導入すれば従業員の個人所有の最新機器を業務に利用することができるのです。
また、個人所有のデバイスを業務に利用することによって、業務時間や社内にいる時間以外でも業務を行う事ができるので、企業にとっては生産性の向上が見込めるというメリットがあります。
BYODのデメリット
メリットばかりのように見えるBYODにもやはりデメリットは存在します。
それは、主としてセキュリティ上のリスクになります。
リスクとして、一番大きなものは情報の漏洩リスクです。個人端末を業務に利用している状況の場合において、その端末を紛失してしまうと、情報漏洩リスクが一気に高まります。
また同時に、BYODにインストールされているソフトも情報漏洩のリスクとなります。企業や組織によっては、特定のアプリの利用を禁止しているケースもあります。これは、BYODのソフトウェア利用によるインターネット経由の情報漏洩を危惧したための措置です。
BYODとMDMの関係、新しい認証方法としてのBYOD
最近のスマートフォンやタブレットの普及には目を見張ります。
個人が所有しているデバイスを業務に利用するためには、できる限りセキュリティのリスクを低減させておきたいです。
また、スマートフォンなどのデバイスは、PCと比べて持ち運びが容易で常時携帯できるために、常に紛失の恐れがあります。紛失した場合、その端末の所在地を確認する、端末をロックする、端末を消去するなどの対応ができる事が望ましいです。
また、個人利用端末の業務利用においては、従業員が不正な行為をしていないかについての管理も必要になってきます。
このような、企業の業務におけるBYODのリスク管理を解決してくれる仕組みがMDMです。MDMは、MDMとBYODで使用する個人利用端末と一定周期で通信を行い、以下のような機能を提供してくれます。
- 遠隔操作:紛失した端末のロックやスワイプ(端末情報の削除)
- 情報収集:端末のOS情報やインストールされているアプリの情報、設定の収集
- 設定配信:セキュリティーポリシーの配信や業務利用アプリの配信など
MDMを利用することによって、BYODを運用する上でのセキュリティリスクを低減し、業務効率の改善を図ることができます。
しかし、MDMを利用するためには従業員の個人端末を、常に企業が監視状態、管理状態におくことになります。
個人端末管理のサーバが従業員の個人端末の自由を制限する形になるために、あまりにも厳しいセキュリティーポリシーを導入すると、逆にBYODが進まないという事態も発生しかねません。
セキュリティの担保と個人端末の自由やプライバシーの保護については十分検討する必要があります。
BYODを進めるに当たって、一番の懸念は情報漏洩のリスクです。例えば外部からのアクセスを許可する場合には、通常のIDとパスワードの管理だけでは、のぞき見などによるハッキングによる違法アクセスを防ぐことができません。
それを回避するために、接続可能な端末情報とID、パスワードが揃わなければ社内システムに接続できなくすればセキュリティは高まります。
また、昨今増えているリモートワークや、災害時における遠隔アクセスの認証条件に許可された端末情報を必須とすれば、安全にリモート接続が可能になります。
また、BYODの新しい活用方法として、個人端末を認証の要素として利用する事例もあります。
これまではセキュリティカードなどで運用していた二要素(多要素)認証の要素の1つを個人の持っているスマートフォンに置き換えるという活用方法です。
セキュリティカードなどを導入するコスト面の負担を回避することができるというコスト面でのメリットがあります。
いずれにせよ、BYODを推進するためには、企業は個人の端末の登録と管理が必要となるでしょう。
BYODを導入していなくても考慮が必要なリスクとは
BYODを積極的に導入していない、またはBYODを禁止している場合には、セキュリティのリスクがないと思われがちです。
しかし、実際のところはBYODを積極的に禁止している企業において、無許可の私物端末の業務利用がはびこっている事が多くあります。
上記のBYODは、BYOD自体が禁止されている企業において無許可で個人端末を利用されている状態のことを言います。つまり、利用自体禁止されているが、業務効率のために、隠れて個人端末を利用するという状況のことをいいます。
無許可で持ち込んでいるBYODの利用形態は、年々増加しています。
ある調査によると、2011年と2016年の調査において、スマートフォンの無許可での持ち込み利用者は約53万台から約447万台に増加し、タブレットは約34万台から350万台に増加するなど、5年で9倍から10倍の伸びを示しています。
このように隠れた利用が進むBYODにおいて利用規定を定めず、ただ単に禁止すると言う方針だけでは、リスクの回避ができないことを示しています。
このような、無許可での持ち込みのBYOD利用を無くすためにも、BYODを受け入れる姿勢が必要です。社内システムを外部に開放する際に、ID、パスワードの管理だけでなく、接続する端末を端末固有の情報と合わせて認証する二要素認証を取り入れれば、無許可での持ち込みのBYODを無くした上でセキュリティの向上を見込むことが可能です。
企業のインフラ、セキュリティ担当者は、個人端末を業務に利用するBYODはすでに避けられないという事態となっている事を認識する必要があります。
そして、もはやBYODは避けられない物として、組織としてBYODを積極的に運用するための規定を策定する必要があります。
セキュリティ以外のBYODを導入する際の検討事項
セキュリティの観点からはBYODの運用のための規定を設ける事は避けて通れないということは、これまでにご説明しました。
しかし、BYODを導入するためにはセキュリティの規定以外にも決めなければならない問題が複数あります。
労働時間の管理の問題
BYODを積極的に利用し始めると、労働時間以外の時間においても業務を行う事が可能にとなります。
そのため、業務時間が際限なく拡大する可能性があり、また逆に、業務中に私用利用しているかどうかの判別も難しくなります。
費用負担の考え方
BYODを導入するに当たっては、端末の費用負担の問題や、通信費用の負担の問題が発生します。
私物といえども業務に使うからには、端末の購入費用は別としても通信費用については対応が必要です。
端末の購入費用についても、企業が従業員に対して端末の選定を規制する場合には、相応の負担の必要があるでしょう。
端末内のプライバシーの保護
BYODはその性質上、利用するデバイスの中に、利用者のプライベートな情報と、業務に必要な情報が同居する形になります。そのため、利用区分をはっきりさせておく必要があります。
業務利用のデータは企業の所有です。しかし、同じ端末に同居する個人データは所有者の物です。また、GPSの位置データのような情報は、業務利用を考えた場合には紛失時の端末の捜索に必要ですが、プライベートにおける従業員の行動履歴を常に把握しているのは問題となります。
このように、BYODには業務利用情報とプライベート情報が重なる問題が存在します。解決のためには、利用者と企業や組織の間で、個人端末をどのように利用するか、データの所有者は誰なのかについての合意が必要です。
BYOD未導入リスクはある。今すぐBYODの利用規定作成を!
日本では、まだまだBYODを積極的に推進している組織や企業は多くありません。
しかし、スマートフォンやタブレット、モバイルPCなどのスマートデバイスの普及は加速度的に進んでいます。
自分の組織ではBYODを禁止しているから安心と思っていると、隠れた個人端末利用による情報漏洩被害に遭うかもしれません。認証を強化するなどして、重要な情報へのアクセスを制限するなどの措置は必要です。
BYODは遠い物ではなく、そこにある物だとして、積極的に利用のための規定を設けて従業員と利用についての合意を形成することが重要です。