BYOD (私物端末の業務利用) 最新事情とセキュリティ対策

クライアントセキュリティ

2018年11月28日 2023年05月01日

2007年に初代iPhoneが発売されて、既に10年以上が経過しました。この間、個人が所有するスマートフォンを業務で利用するBYOD (Bring Your Own Device: 私物端末の業務利用) は一般的となりました。以下では、BYOD最新事情とそれを支えるセキュリティについてお伝えします。

拡大を続けるBYOD市場
BYODのメリットとデメリット
BYODのセキュリティ対策
従業員の生産性とセキュリティを両立

拡大を続けるBYOD市場

かつては、特に大企業を中心に「私物端末を業務で利用すると、セキュリティが確保できず情報漏えいの危険が高まる」という意見が多く、BYODに後ろ向きな企業が大多数でした。しかし、2016年の米国での調査によると「59%の組織では既にBYODを許可しており、まだ許可していない組織でも13%が今後1年以内に許可する予定」という報告があります。

この調査が2016年であったことを考えると、現時点でBYODを許可する組織は増加していると考えられます。BYODの進展とともに、BYOD関連の市場規模も急速に拡大しています。また別の米国リサーチ会社の報告でも、2014年時点で942億ドル (10兆7500億円) 規模のBYOD市場は、 2022年には3500億ドル規模 (40兆円) にまで拡大すると推測しています。

これには、BYODを支えるモバイル端末管理 (Mobile Device Management)をはじめとするソフトウェアや、通信費用管理ソフトウェア、ネットワーク機器などのハードウェアが含まれます。「40兆円」というと途方もない金額のように思えますが、先進国（OECD諸国）の労働人口だけで現時点で10億人おり、さらにOECD非加盟国である中国やブラジルなどを加えていくと、さらに多くの労働人口がBYODを利用することを想定すると、2022年に40兆円という金額が絵空事の数字ではないことがお分かりいただけると思います。

BYODのメリットとデメリット

では、なぜ企業はBYODを推進するのでしょうか。ここでは、BYODのメリットとデメリットの両面について理解しましょう。

BYODのメリット

コスト削減

BYODの最大のメリットはコスト削減です。デバイス購入費用は原則会社が負担する必要がありません。個人が負担する通信費の一部を会社が負担する場合もありますが、デバイス購入および通信費をすべて会社が負担することに比べれば削減コストは大きくなります。

生産性向上

従業員が普段個人で使用している端末になるため、トレーニングなども不要です。パソコンのみ支給の企業が、スマートフォンのBYODを認めた場合、スマートフォンでのメールの送受信やドキュメントの確認などが行えます。BYODを許可しない場合は、パソコンを開かないとメールの確認などを行えないことを考えると、個人が利用するスマートフォンを許可することで業務が効率化され、生産性の向上も見込めます。

従業員の満足度向上

従業員が個人で使っている端末とは別に、会社が端末を支給した場合、従業員は2台持ち歩く必要があり、充電やアップデートなどをしなければなりません。これをBYODにした場合には、個人所有の端末のみを持ち歩くだけになります。

BYODのデメリット

ネットワーク経由での攻撃

個人利用のパソコンやスマートフォンに対して、OSやアプリケーションのセキュリティホールを突いた攻撃、ウイルスによる攻撃などが考えられます。BYOD端末がウイルスなどに感染し、このウイルスが企業ネットワーク上に広まってしまった場合はさらに大きなリスクとなり、顧客情報や財務情報などを保管するサーバからのデータ流出といった、より大規模な被害が発生します。

端末の盗難・紛失

ノートパソコンやスマートフォンで多く発生するケースです。端末が盗まれた、また置き忘れたことにより、ハードウェアとしての端末本体だけでなく、端末上の情報が盗み取られるリスクがあります。パスワードが適切に設定されていない、もしくは簡単なパスワードしか設定されていない場合は、端末内の情報を盗まれることに加えて、端末が接続しているクラウド上のデータも漏えいするリスクがあります。

従業員退社時の不適切な権限管理

BYODを許可した従業員が会社を辞めて退社する際、社内ネットワークへのアクセス権を削除しなかったために、退社した従業員が情報を持ち出すというリスクです。一元的に従業員のアクセス管理を行えていない場合や、情報システム部門の人員が少ない場合に起こりがちです。

なお、不適切なBYODが原因で情報漏えいが発生した例として、2017年に韓国の仮想通貨取引所「Bithumb」で起こった事件が報じられています。Bithumbの従業員が家庭用パソコンから業務を行っていたところ、このパソコンがハッキングされ、顧客名、メールアドレス、携帯電話番号などが流出しています。この攻撃で得た情報を元に、仮想通貨口座に対して不正アクセスが行われた結果、少なくとも数十億ウォン（数億円）の被害が生じたと見られています。

BYODのセキュリティ対策

次に、BYODのデメリットとしてあげたリスクをどのように防ぐか、複数の観点から考えてみましょう。

モバイル端末管理 (MDM)

スマートフォンやタブレットなど常時通信する機器を管理する最も一般的な方法です。MDMは主に3つの機能があります。

1. 端末紛失盗難時に、端末データ漏洩防止のため遠隔から端末リセットを行う
2. 危険なアプリの利用を制限する
3. OSやアプリケーションのバージョンなどを管理する

これにより、端末の盗難紛失時や利用時のリスクを低減することができます。

リモートアクセス

BYOD端末を業務利用する際は、常にリモートアクセスのサービスを利用するように義務付けている場合があります。端末上に情報が残るため、情報漏えいが起こり得るのであれば、端末上に業務に関する情報が一切残らない仕組みにすればよい、という発想です。
なお、リモートアクセスを利用した場合は、通常の端末利用に比べて使い勝手が劣るため、業務の生産性や利便性の観点から導入についてはシビアに検討がなされるべきでしょう。

クライアント証明書

BYODを許可すると、どの端末からなら、企業のネットワークに対してアクセス権を許可するのかの制限が難しくなります。そのため、パソコンやスマートフォンに「クライアント証明書」をインストールし、クライアント証明書がインストールされた端末からのみ、社内ネットワーク、業務データへのアクセスを許可する方法があります。または逆にBYODの端末では機密情報の閲覧はできず、社内のパソコンからのみにするなど端末を制限することも可能です。

従業員の生産性とセキュリティを両立

情報セキュリティリスクを抑えて、BYODを実現させるためには、1つのセキュリティ対策だけでなく、MDM＋クライアント証明書など重層的な対策の方が、よりセキュリティも強固となります。しかし「生産性とセキュリティ」をトレードオフにしてしまうと本末転倒です。運用する側と利用する側、双方の利便性を加味したうえで、検討していくことが重要です。