企業は BYOD (Bring your own device)を採択することで、組織の生産性と柔軟性を向上させ、従業員の仕事への満足度も向上させることができます。BYODは私物の端末を業務用に扱えるようにするという一見シンプルな内容ですが、その与えるインパクトは絶大でかつ、実施へのハードルも高いのが実情です。BYODを実現すると、企業の機器や従業員の労務環境は激変します。その分、実現するために細かなポリシーの調整や新たなセキュリティ対策が必ず必要になります。私物の端末に個人の情報と企業の機密情報が両方存在する事になる以上、情報システム部門は従業員の労働環境や生産性を毀損することなく、機密情報を保護するための効果的なポリシーと技術選定を実現する必要があります。
BYODとは
BYODとは「従業員が個人保有の携帯用機器を職場に持ち込み、それを業務に使用すること」を指す2012年頃に始まった比較的新しい概念です。2012年以降、時間をかけて徐々に世の中に浸透していきました。そして現在では多くの企業が、従業員がより効果的かつ効率的に職務を遂行できるようし、更に平行してコスト削減を目指して、BYODというアプローチを採用しています。
一方従業員の立場からしても、BYODを導入した企業の大半は使い慣れた端末を利用できることで端末の管理が楽になり、業務で使われる個人所有の端末を紛失しづらくなることや、業務の効率が上がるという点でBYODに魅力を感じています。実際にこちらの調査によると、2 つのデバイスを持ち歩く事は端末管理に煩雑さをうみ、盗難・紛失のリスクを高める事につながる事がわかっています。BYODを導入するには、生産性や効率が上がるメリットだけでなく、このような私物端末を持ち込む事へのリスクにどう対処していくかをしっかり検討することが重要です。
なぜ今BYODが導入・推進されているのか?
BYOD市場の拡大
ガートナー(ITリサーチ・コンサルティング企業)が発表した資料によれば、2023年までにヒューマンオーグメンテーションとBYODポリシーが拡大するとしています。また、BYODの市場規模は2019年から2024年に渡って年平均成長率が15%にまで増加するとのレポートもあがっています。この背景には、スマートフォンやタブレットとといったデバイスの普及、更には今後期待される5Gによる高速通信によって、よりBYODの普及が進み、それに並行してBYODをサポートするサービスも増加する事が予想されています。
普及したスマートフォンのBYODで業務改善
BYODを実施した企業の従業員はモバイル端末等を使用して、デスクから離れていても、顧客と一緒にいても、旅行中であっても、自宅であっても、仕事に関連したあらゆるプロジェクトを推進することができます。その結果、BYODを実施する従業員は顧客、サプライヤー、パートナー、同僚へのいつでも業務に関して対応することができるようになります。企業はBYODを適切に導入することで、従業員の柔軟性・生産性・対応力を高めるというメリットが得られます。
全社的なデジタルトランスフォーメーションの流れ
企業のデジタルトランスフォーメーションを推進する上で、現在はかつて無い程情報システム担当以外の従業員が重要な役割を果たしています。かつては、企業の情報システム部門のみが新技術の採用を主導していました。しかし昨今では、技術的な知識はもはや純粋に情報システム部門のみに留まりません。企業のあらゆる部門に、技術に精通した従業員がいる場合があります。このような従業員は最新のテクノロジーに精通しており、業務環境においてBYODのような考え方・ポリシーを採用することが大きなメリットに繋がる事を理解しています。さらに、彼らは自分のデバイスへの関心が強いため、BYOD実施の有無に限らずデバイスの手入れをしたり、最新のOSに更新したりする傾向があります。その他にも、そのようなテクノロジー志向の強い従業員は、昨今の新型コロナウィルス感染症(Covid-19)の影響もあり、ますます全社的なデジタルトランスフォーメーションは推進することに意気込んでいます。
国内でのBYOD導入率は?
2015年6月に発表された「国内スマートフォン/タブレット産業分野別BYOD台数予測」(IDCJapan発表)では、2014年に「BYODで利用された個人所有のスマートフォン台数」は、600万台、タブレット端末は259万台との結果が出ました。2017年3月発行の「2016年度 中小企業における情報セキュリティ対策に関する実態調査」(独立行政法人情報処理推進機構発行)では従業員がもつ私有デバイスの業務利用をどの程度認めているのかを調査し、結果は「認めている」と回答した企業は全体の39%、「現状認めるかどうか検討している」と回答したのは6.9%でした。現代ではスマートフォンが急速に普及し、今やほとんどの人が利用していますが、この結果をみると企業側はまだBYODの対応が追いついていないのが現状です。
逆にBYODの推進を阻むハードルは何か?
BYOD導入のボトルネック(アジアの実例)
IDCのBYOD調査によると、アジアの回答者の93.3%が企業で個人のスマートフォンを使用しているが、正式なBYODポリシーを報告しているのは13.5%に過ぎないという報告もあります。そしてBYODが導入されていない最大の理由は、労務環境やアーキテクチャが複雑であり、それらが現状適切に管理されていない企業の場合、BYODを導入することで主にセキュリティ面でリスクがある事が根源的な原因だと述べられています。BYODを導入する事を検討している組織にとって最も重要な検討事項は、インフラ全体を十分に考慮して全社的なセキュリティを意識したBYODの導入戦略だと言えるでしょう。
シャドーITとBYOD
BYODの導入によって個人の所有するデバイスでも業務が行えるようになるなどIT技術やインターネットサービスは常に進化を続けています。こういった技術の進歩が私たちの生活や仕事上といった場面で有効的に働くことは間違いありません。働き方改革や新型コロナウィルスによる主要となる施策のリモートワークもその一つですが課題も多く残されています。企業が把握していないデバイスにより業務が遂行されるシャドーITも課題の一つです。個人所有のデバイスはもちろんですが、企業内においてもそのリスクは隠されていることが多く、例えば外付けハードディスクドライブ、Wi-Fiアクセスポイント周辺機器などもシャドーITのリスクに包括され、報告書なしでの部署単位での導入もシステム部門の管理者にとっては存在を知らないまま把握せずにインターネットに接続する機能を備えているのでこちらもシャドーITとみなすことができるのです。近年の情報社会の急速な発展も伴って、外付けハードディスクについては社内だけではなく社外でもアクセスが可能となる製品が増えてきました。こういったことからもインターネットを通じて第三者が不正にアクセスするリスクを生み出してしまうのです。こういったシャドーITの対策としては、社内ネットワークに接続するデバイスを常に漏れなく把握することが求められますが、そこで効果的に働くツールがIT資産管理ツールです。このツールによって登録されていないデバイスがネットワークへアクセスする際には管理者の許可が必要になり管理者の判断によって制限することができます。どのユーザーがどのデバイスでアクセスするのかを確認することができるのでシャドーITのリスクを軽減することが可能になります。従ってIT資産管理ツールを導入することで許可されたユーザーとデバイスのみがネットワークに接続可能となるのでBYODのセキュリティ対策にも繋がることが期待できるのです。また、スマートフォンといったBYODデバイスにもこのIT資産管理ツールをインストールし導入することで、業務用と個人用とエリア分けをすることができ、業務用のエリアでは必要最小限のアプリケーションのみの動作に制限することが可能になります。下項目でも紹介しますがMDMを導入することでデバイスが万が一紛失、盗難にあった時に遠隔でロック作業や初期化を行うことができるのでセキュリティ対策の一つとして導入するのもいいでしょう。
個人用デバイスを業務に利用する際のリスク
近年、スマートフォンやタブレットといった個人用デバイスの高性能化、高機能化が進んでいます。また、インターネットが高速化した上に、公衆無線LANサービス(Wi-Fi)の普及で、時と場所を選ばず利用できるようになりました。さらには、クラウドサービスの多様化により、クラウド経由で業務を行うことも可能になっています。結果、社外でも個人用デバイスを使って業務が進められるようになったのです。
このような個人用デバイスを業務に使用することを、BYOD(Bring Your Own Device)と呼びます。従業員が常に持ち歩いているデバイスで業務を行うことができれば、出先での対応が可能になりますし、日報の提出や経費の精算などといった業務のために会社へ戻る必要もなくなります。これは移動時間を削減し業務効率を向上させますし、残業時間の短縮にもつながります。そのため「働き方改革」の主要な施策とされるリモートワークを推進する上でも個人用デバイスは役立つでしょう。
一方で個人用デバイスを業務に使用すれば、仕事上の機密情報やアドレス帳に顧客情報、各サービスへのログイン情報なども格納していることがあります。そのため、紛失や盗難に遭った際には、所有者の情報が漏えいするだけでなく、業務上のメールやファイルを閲覧され、社内サーバーやクラウドサービスなどにアクセスされて、機密情報も漏えいしてしまう可能性もあります。
特に注意したいのは、BYODが許可されていないにも関わらず、従業員が勝手に個人用デバイスを業務で使っており、企業がその存在を認識していないケースです。これを「シャドーIT」と呼んでいます。
BYODのメリット
企業にとってのメリット
企業がBYODを実施し、従業員に私物のデバイスを業務に利用してもらうことは、企業にとって以下の5つのメリットをもたらします。
管理の柔軟性 | 情報システム部門の担当者は、BYODにより機器の選択・管理の手間を省いて負担を軽減することができます。また従業員の通信利用データを監視する必要もなく、超過料金などの余計な心配も不要になります。 |
コスト削減 | BYODにおいては企業は通話料金が想定外の超過料金になっていないか監視をする必要もありませんし、BYOD以前に発生していたそのような超過料金の削減が可能です。またそれに加え、BYODにより端末が個人所有となるため通話・データ転送・SMSに関連する費用も節約することができます。 |
従業員のパフォーマンスを最大化する | BYODにより従業員は移動中や外出先での作業でも、私物の端末を業務利用できる状態にしておけばいつでもプロジェクトを推進できます。BYODにより様々な環境で業務が遂行できるようになると、従業員の生産性がより一層高くなります。 |
従業員の満足度を高める | BYODを導入する以前では、従業員は社給のスマートフォン・PCを利用していたはずです。しかし、このような端末は会社が決められた端末でなければならず、各自にとって使いやすい端末であることは稀であり、実際若い社員は不満を抱えている事があります。BYODを導入することで、このような従業員の不満を解消する事ができます。 |
簡素化されるITインフラ | BYODを採択すれば情報システム担当者は社給のスマートフォンで管理していたモバイル端末の契約プランを管理する必要がなくなります。さらに、BYOD環境下にあれば、スマートフォンに関するヘルプデスク業務をキャリアに依頼させる事になるので、情報システム部門で行うITヘルプデスクの業務負担が軽減されます。 |
従業員にとってのメリットも
BYODプログラムの実施は、上記のような企業にとってのメリットだけでなく、利便性の高さから従業員の間でも人気が高まっています。従業員にとっては以下のような点で特にメリットがあるようです。
- 従業員は各自にとって使いやすいスマートフォン、タブレット、PC機器を自由に選びたい。
- すでに自分のデバイスを持っていて、1台のデバイスだけで業務からプライベートまで済ませたい生産性を求める従業員。
- 優秀な従業員は自分のデバイスを職場に持ち込めるようにしたいと考えているため、BYODは魅力的な採用インセンティブとなります。
BYODのデメリット
一方、前述のようなメリットがありながらも全ての企業に対してBYODが導入されている訳ではありません。つまり未だBYODには一定のハードルや課題、デメリットが存在することが分かります。よく言及されるBYODを実施しようとする企業にとってのデメリットや課題は、次のようなものが挙げられます。
- 私物である端末を企業に持ち込むということは、全てを管理することが難しくなるという事なので、セキュリティ上のリスクが高まる
企業側が最も恐れるリスクは情報の漏洩です。その為にはデバイスの盗難や紛失といった情報漏洩に繋がるリスクをなるべく避けなければいけません。BYODは個人所有のデバイスを使用するので利便性がある反面、常に携帯していることから盗難や紛失といった機会も多くなってしまうのは否めません。万が一第三者が何らかの手段でデバイスを取得しログイン作業を行ってしまえばデータが抜き取られることや盗み見されるといったことはもちろん、所有者を装いサーバーへの不正なアクセスまで許容してしまう場合になってしまう恐れもあります。
反対に、個人デバイスなのでどこでも持ち歩くことが前提なのでデータの持ち出しという点でもリスクを考慮しなければなりません。もし従業員の中で悪意を持ってデータを持ち出して不正に利用したり、業務データを無許可で勝手にコピーしデータを流出させたりといったリスクの可能性もあります。こういったリスクに対応すべく、社内でセキュリティポリシーを策定したりBYODのガイドラインを作成するなどといった対策が必要です。
先ほども少し触れましたが、BYODは何らかの拍子で第三者がデバイスを手にする場合もあります。盗難や紛失などのリスクは上記でも述べましが、私的なデバイスなので家族とも共有して使用していたあるいは共有しているといった可能性も出てきます。BYODのデバイスとして使用する限り家族との共有は控えることはもちろん、知らないで家族がデバイスを操作し不正にサイトへアクセスしたり、従業員の認証情報を勝手に使用してアクセスすることはセキュリティに対する大きなリスクとなりますので第三者のデバイスの利用はやめましょう。
ウィルス対策やソフトウェアのアップデータの徹底も重要です。業務用端末ではなく個人所有のデバイスなので業務用という意識が薄れセキュリティ上アップデートを怠るなど、ウィルスの感染の可能性や不正アクセスの侵入を容易にしてしまいます。
- 私物の端末で業務をするという事は、私物を企業がどうしても管理する必要がでてきます。その際に保有者となる従業員のプライバシーをどう守るのかが難しい
企業がセキュリティのリスク軽減のためデバイスを管理する必要があるのがBYODですが、例えばMDMといった管理ツールをデバイスに導入した場合、端末状況を確認し管理できることや端末の不正利用を防ぐなどといった対策が取れメリットが多いかと思います。しかし、デバイスを管理することは企業側がユーザーのプライベート情報までも把握できることになります。これは従業員のプライベートの情報が保護されていません。
- 私物の端末を業務で扱うということは、業務とプライベートの境目が無くなる事も意味します。いつでも仕事ができる反面プライベートとの境目がなくなり、従業員のストレスが高まる事や過労に繋がりうる事も考えられます。
BYODと従来の法人携帯を比較する
BYODの推進が急速に進む中で、まだまだ多くの企業では法人用携帯を使用する割合が高いのが現状です。法人携帯は、業務上において、法人として携帯会社と契約したものを社員に配布する携帯を言います。ではどちらが利便性に優れているのでしょうか?比較して見ていきましょう。
まずはじめに法人携帯のメリットを確認します。法人携帯の導入のメリットはなんと言っても管理が簡単な事でしょう。法人として契約しているので、諸々の制限をかける事ができたり、セキュリティに関してもアクセスする事でウィルスに感染すると言ったことも防止できます。コスト面の管理にも優れています。法人携帯はそのものが一括で会社に請求されるので経理の担当者は負担が少なくて済みますし、従業員個人においても面倒な請求手続きなどがいりません
BYODのメリットととしてはコストが削減できるのとが第一にあげられます。BYODは会社で携帯端末を購入・契約するといった用意をする必要がなく、購入費の削減になります。これは会社にとってのメリットですが、社員にとっても、個人携帯と法人携帯の2台持ちといった事が不要になることがメリットとしてあげられます。
メリットを確認した上で改めて法人携帯とBYODを各コンテンツごとに比較してみます。
コスト
法人携帯は端末購入費や額利用料など契約するにあたって企業側にコストがかかります。BYODは端末は従業員が普段から使用している端末を利用するのでコストはかかりません。仮に、業務においての使用料として一部企業に負担することはあっても企業ごとに決定し、コストを最小限に抑える事ができます。
利便性
強いて挙げるならば、法人携帯は通常使っている携帯とは違うので若干の使いにくさを感じるかもしれません。そのため、業効率が若干下がる可能性があります。また、法人携帯と個人携帯の2台持ちになるので持ち運びはかさばることもあります。ですが、法人携帯も最近では通常使っている携帯と同機種であったり基本的に操作は変わらないのであまり気にする必要はないかもしれません。BYODは普段使っている私有端末なので作業も迅速に効率よくできます。特に制約もないので、自分で便利なアプリをインストールして進行効率を高めたり、利便性は高くなります。持ち運びも個人端末のみでいいので普段と変わらなく、ただ、バッテリーの減りがどうしても早くなるので、常にモバイルバッテリーなどを持ち歩き、充電できるスペースをみるけると良いでしょう。
セキュリティ
セキュリティ面の強化が可能は法人携帯になります。法人契約なので、業務上不要なものは排除し制御する事が可能です。BYODは個人の端末になるので規制や制限がかけにくい他、業務の事だけではなく様々な情報が端末に集約されています。注意したいのは退職する際にそのまま顧客に関する機密情報など、内部情報を削除する事なく不正に流出させたり情報漏洩の可能性があります。
経理部での業務負担
法人携帯は一括で請求ができ、管理がかなり簡単です。BYODは、企業にもよりますが、各々の通話料や通信ひなど、会社支給額を毎月申請、精算する必要があり従業員、担当部署ともに面倒です。
プライベートとオフィシャルの線引き
こちらも働き方という基本項目位おいて重要ポイントです。法人携帯は個人の端末と仕事用の端末が分かれているため公私混同する事なく区別がはっきりつきます。対してBYODは個人の端末で業務を行うので、自宅にいる時や休日でも業務連絡や仕事の案件が来てしまうこともあるので区別がつけにくいのは良いことではありません。
契約
法人携帯を契約するのあたって、安いプランを契約しようとすると、今の所主流なのが2年縛りなどの縛りがあります。仮に社員が辞めたとして、法人携帯の契約は違約金を支払い解約するか、満期まで放置する方法しかありません。一方で、BYODは社員の増減に比例して端末の増加となり、また個人で契約しているものなので負担がありません。
実際にBYODを導入する
このセクションからはBYODを実際に導入する際には何をしないといけないのか、またその際にはどのような点が課題になってくるのか、そしてその解決策はなんなのかを詳しく解説します。
実施すべき内容
BYODを導入する上で詳しく検討が必要なのは、大きく分けて以下の2つです。まずは表で全体像を確認しましょう。
運用上の課題をポリシーで明記する |
|
体制面とシステムを整える |
具体的な運用の流れ・手順
- BYODを実現するための製品を調達する前に各種ポリシーを作成する
- 企業のリソースにアクセスしているデバイスを探して特定する
- 自社のインフラを踏まえて不足しているセキュリティ対策を導入する
- BYOD導入後のオンボーディングを簡潔なプロセスに留める
- オンラインで端末を設定できるようにする
- BYODの利用者である従業員が、各種問題を自己解決できるよう手助けをする
- 従業員の持ち込んだ端末でプライバシーが保たれるようにする
- BYODされた端末で、企業の情報と社員の情報は正しく分離して管理されるようにする
- データ使用量を監視する
- コンプライアンス違反をしていないか継続的に端末を監視する
- あとはBYODの恩恵を受けるのみ!
BYODの導入に必要なポリシーを制定する
BYODを導入する上で詳しく検討が必要な項目の内、特にポリシー面で考慮が必要な事項についてまとめました。BYODは機器の管理について従業員に今までとは異なる要求することになります。その点を踏まえ、運用していく上でポリシーとして明確にすべき内容が下記になります。これらの論点をクリアにしたポリシーを制定することがBYODの導入のまず第一歩です。
適格性
企業は、組織内の誰がBYODによる私物の端末持ち込み使用を許可されているかを明確にする必要があります。社給の端末に対して補完的に一時利用するその場限りのものであっても、もしくは永続的に私物の端末をBYODして利用するケースであっても、正しく把握される必要があります。そしてそのBYODの実施が適切な形になっているのか、その従業員の特権性や権限・役割、実際のユースケースにおけリスク具合を正しく評価していく必要があります。
実際にポリシーとして定義される際には、ユースケースとしては出張の頻度、個人の肩書、または個人が機密データへのアクセス県を必要とするかどうかなどが加味された基準を設ける事が多いです。なお、このようなポリシーは完全に実際のユースケースに寄り添った形を定義するのは非常に難しいので、どの企業でも権限のある人物がセキュリティなど様々な要素を考慮して最終的な承認を行う必要があります。情報システム部の管理者としては、そのような権限を有する人物に対してBYODを適用すべきかどうか適切な助言を心がけましょう。
許可する端末
情報システム担当者はBYODを行える端末についてOSからアプリケーションのサポート状況、およびその他のデバイス固有の基準について最低限の仕様を決定し、その仕様に則った形でBYODが実現されるように努めなければなりません。尚、デスクトップ仮想化(VDI)はあらゆる種類の端末上でWindowsデスクトップとアプリケーションを安全に実行できるようにする事ができるので、導入する場合にはこれらの検討事項をある程度無視する事もできます。
BYODを実施する従業員は、企業の購買部門ではなく、一般的な消費者向けのルートで私物の端末を購入する必要があります。 これは一部の従業員にとっては金銭的な負担が大きい事が想定されます。仮に企業が購入チャネル(ECや実店舗)に対してリレーションがあるのであれば、従業員割引を積極的に推奨しましょう。どのようなチャンネルから個人所有の端末が購入されたとしても、最終的にはそれぞれの端末機器を誰がどのように調達し、誰が何を所有しているのかを明確にしておきましょう。
可用性
BYODにおけるポリシーは、画一的に考える必要はありません。その従業員が利用したい特定のサービス、グループ、権限、端末の種類、ネットワーク状況毎に異なるユースケースなのであれば、それを反映した柔軟なポリシーを定義する必要があります。画一的なルールを制定した結果実態の伴わないものとなり、可用性が妨げられるような事は避けなければなりません。
また、BYODを行う従業員は消費者向けのソリューションを業務環境に持ち込むことがしばしばあります。そしてそれらをエンタープライズ向けのアプリケーションやサービスと連携して機能させようとするケースもあります。このような場合、消費者向けソリューションではセキュリティ要件が社内の各種ポリシーに対して適切に満たされていないケースなどが想定されるので、 情報システム部門はどこまで消費者向けソリューションを許可していくのかを明確にする必要もあります。
実運用への投入
BYODのポリシーが制定されたら、実運用への投入を成功させるためにBYODの希望者と適切にコミュニケーションを取っていく必要があります。それぞれのニーズに合ったデバイスを選択できるように、情報システムの担当者は希望者に対して端末の選択肢などガイダンスを行っていく必要があります。
また希望者にはデバイス選定方法のみならず、データの取り扱い方など、私物の端末を持参することに伴う責任を理解してもらう必要があります。 持ち込まれた端末で業務を行うという事は、機密情報を同様の端末で取り扱うという事です。社給端末も私物の端末も、同様の安全性が担保されるポリシーが適用されるべきです。
コストシェアリング
コスト削減ができることはBYODの主なメリットの1つです。BYODを実施する社員は基本私物の端末を一部または全部の費用を自己負担で各自購入します。これにより企業の調達部門が機器の購買に関するコストが削減されるのは勿論ですが、もう一つ大きなメリットがあります。それは情報システム部が管理する、企業全体のハードウェアとそれに付随するコスト、その他ヘルプデスク業務が大幅に削減できるというメリットもあります。
サポートとメンテナンス
BYODを実施すると、最終的に機器のメンテナンス等にかかる負担をへらす事ができます。理由はとてもシンプルで、人は他人の端末よりも、自分の端末を大事に扱うからです。レンタカーなどを想像するとわかりやすいでしょう。個人所有の車は、誰でもレンタカーよりも大切に扱うはずです。
ただしサポートやメンテナンスの面で逆にトラブルになってしまうケースも存在します。どのようなケースでトラブルに発展するかというと、BYODを行っている社員の業務利用している個人端末が故障した場合に往々にして問題が発生します。BYODを行っている社員は業務でも利用する個人所有の端末が故障した場合、会社がサポートしてくれたり負担してくれる事を期待するケースが非常に多いです。しかしこのようなケースでも会社負担でのサポートを行う事を許可してしまうと、実運用上情報システムの担当者にとって重荷になってきます。あくまで企業の保証範囲は、より狭く明確に定義されるべきです。
このような問題を未然に防ぐためには、BYODを行う場合は様々なサポートやメンテナンスの作業がどのように対処され、誰がその費用を負担するのか明確にしておく必要があることを強く認識しておきましょう。
BYOD実現に必要なセキュリティ要件
次にBYODを実現するために不可欠なセキュリティ面について詳しく解説していきます。BYOD実現の最も高いハードルこそセキュリティです。このセクションでは、どのような要素を対象としたセキュリティ対策がどうして必要で、実際にBYODを実現するために必要なセキュリティ対策を解説します。
BYODを行うスマートフォン端末のリスクが非常に高まってきているという背景
そもそもまずBYODの実施にセキュリティ対策の強化が必要な背景として、特にモバイルデバイスを標的とした新しいマルウェアの量がほぼ全世界で急増していることが挙げられます。指数的な速度で新しいマルウェアの攻撃が高度化しています。モバイルバンキングを標的としたZeus(Zitmo)ボットネットのようなモバイルボットネットは、Symbian、Windows Mobile、BlackBerry、さらにはAndroidまで標的にしていますし、Grand View Researchが実施した調査では、タブレットやスマートフォンの普及がBYOD市場を後押しし、2020年までに2,383億9,000万ドルに達すると予測されており、BYODは攻撃者にとっても同様に魅力的なターゲットとなっていることが言及されています。実際攻撃者の大多数は、攻撃にかかるコストを遥かに上回る金銭的な目的を達成するために、直接または間接的に収入を得るべく攻撃を仕掛ています。
例えばBYODを行っている従業員が私物の端末にマルウェアが感染し、その端末から企業のリソースに接続することを許可してしまうと、社内のセキュリティに深刻なダメージを受ける事になってしまいます。マルウェアはあくまで攻撃の一例ですが、このように考えるとBYODを実施する上でセキュリティ対策が非常に重要になってくる事が理解できるはずです。
BYODを導入するために、セキュリティの観点から気をつけるべき項目
BYODを実施する上で必要なセキュリティ対策は、背景で言及したマルウェアの対策に留まりません。BYODにより業務環境や業務機器が変わるということは、今まで全く考慮していなかったセキュリティ面の強化が必要な事を意味します。では具体的にBYOD環境下においてどのような項目を検討しなければならないのかを、本セクションではまとめてみました。
パスワード
ユーザー情報の認証やアクセス制御に関するセキュリティ対策を決しておざなりにしてはいけません。企業の機密情報を保持するために、通常パスワードポリシーの強化、ネットワークアクセスの制御などが対策として検討されることが多いですが、必要な対策はこれらのみに留まりません。機密情報の流出は、金銭的な損失のみならず大規模な風評被害にまで及ぶ可能性があるため、不正アクセスを防止することは最も重要です。この観点におけるセキュリティ対策のベストプラクティスは、企業の求めるラインに応じてパスワードポリシーを BYOD環境内のすべてのデバイスに適用し、必要なときには2段階認証や多要素認証を実行させる事です。
アプリケーション
BYODの検討段階において見落とされがちなのが、アプリケーションの承認・非承認です。端末が完全に社給のものである場合、ソフトウェア・ポリシーを適用して、ホワイトリストに登録された一握りのアプリケーションのみ実行を許可することができます。一方BYODを実施し、従業員が私物の端末を持参している場合はより管理が複雑になります。BYODを実現している場合、最悪従業員は誰にも管理されることなく、私物の端末に好きなだけアプリケーションをインストールすることができます。このような状況は、セキュリティ上リスクをもたらす危険性のあるアプリがインストールされかねない危険性をはらんでいるので、より慎重に対策をしていく必要があります。
コンプライアンス違反
コンプライアンス違反を防ぐために、理想的にはMDMソリューションを導入し、BYODされた端末から社給の端末まで全てに対して一括でポリシーを適応できる環境を用意する事が望ましいです。コンプライアンス違反は、禁止されているアプリケーションのインストール、古いOSが実行されている、端末のパスワードが古いままなど、さまざまな形で発生します。コンプライアンス違反がないかどうかを監視し、これに対処するためのプロアクティブなアプローチをとっていく必要があります。コンプライアンス違反が発生している端末に対しては、電子メールへのアクセスを無効にすることから、デバイスから企業データを完全に消去することまで、自動および手動で対処できるようにすべきです。
トラッキングやプライバシー
デバイスの追跡は、セキュリティの問題よりも倫理・プライバシーの観点から大きな問題になることがあります。デバイスの追跡機能は、デバイスの紛失や盗難(特に社給のデバイス)のような場合には完全に有益ですが、BYOD環境の場合だと自分の端末が遠隔追跡されうることを従業員に十分に理解してもらう必要があります。特定の従業員は私物の端末が追跡されることを望んでいないかもしれないので、従業員の追跡許可に応じて特定の端末のみに追跡機能を有効にするなど柔軟に制御できる必要があるかもしれません。
端末紛失と端末盗難の際のポリシー
2016年末、海外では次のような驚くべき統計情報が発表されました。
- 53秒に1台のノートパソコンが盗まれている
- 毎年7000万台のスマホが失われ、回収率は7%に
- 会社支給のスマートフォンの4.3%が毎年紛失・盗難に遭っている
- ノートパソコン紛失の費用の80%はデータ漏洩によるもの
- 52%のデバイスが自宅やオフィスから盗まれ、会議では24%という驚異的な数字に
端末を紛失した場合のコストは、ダウンタイムやサポート、管理にかかる時間が考慮されていないことが多いため、過小評価されがちです。広域なセキュリティについて従業員を教育することで、端末紛失や盗難を防ぐことができます。しかし、どんなにセキュリティ教育を行ったとしても、究極的にはデバイスの紛失を防ぐことが出来ません。そのため、企業はデータ漏洩を防ぐだけでなく、従業員が迅速に業務に復旧できるよう、端末の紛失に対処するための手順書や余計に端末を確保しておく必要があります。
端末の暗号化
多くのMDMソリューションは、もともとデバイスの空き領域、つまりデバイス全体を暗号化する機能を提供していました。しかし、モバイルOSの発展に比例して、これらは意味をなさなくなりました。Android端末では、Android5.0からディスク全体の暗号化が可能になり、Android7.0からはファイルベースの暗号化が可能になりました。Appleのスマートフォン端末では、iPhone 3GS以降、ハードウェアとファームウェアに暗号化機能が組み込まれており、数年の間に顕著な改善が見られました。そのため、Appleがデバイスの暗号化を破った際にFBIの支援を拒否したサンバーナーディーノ事件など、注目度の高い争点となっています。暗号化の実施はBYOD環境内で考慮すべきですが、暗号化の使用はフォレンジック調査やファイルの復元を妨げる可能性があることに注意する必要があります。これは企業が機密情報を保護するためには理想的ですが、BYODを行った従業員が自分のデバイスから個人ファイルや写真を復元できなくなる可能性もある事を留意しましょう。
OS
OSは、多くの組織にとってセキュリティ上の大きな問題となっています。ソフトウェアベースの脆弱性を軽減するために、ライセンス、設定、導入、タイムリーなパッチ適用に多くの時間と労力が費やされています。OSのセキュリティに関連した最新の注目を集めた事件では、Microsoft Windowsのデスクトップやサーバーに影響を与えたマルウェア「WannaCry」が話題になりました。多くの問題は最新のバージョンを実行することで解決できるので、端末が社給の場合はあまり大きな問題にはなりません。しかし、BYODを行い私物の端末が持ち込まれる場合には、PCやスマートフォンからタブレットまでOSの種類は非常に多様になり、OSに関する脆弱性を管理するための負担も非常に大きくなります。
新規端末や休眠端末
新規端末や休眠端末を管理しそこねる事のリスクは大抵のケースで見落とされています。
情報システム部門が検知していない端末を従業員が追加で持っていた場合、所謂シャドーITとしてリスクのある端末となってしまいます。シャドーITは企業側が管理出来ていないので、その端末のセキュリティ対策が十分でなかった場合、その端末を起点として不正アクセスが発生する危険性などがあります。
ユーザーが新しい端末を購入した場合では、元々利用していた古い端末に保持されているデータはすべて消去され、企業の各種リソースに対するアクセスは全て取り消されるべきです。さらに一定期間休眠状態の端末であれば、その端末からのアクセスを無効化する必要があります。これにより、リスクのある端末から社内ネットワークへのアクセスを許可しないようにすべきです。このような端末が紛失したり盗まれたりした場合、従業員が紛失や盗難に気付いて報告するまでに数日から数週間かかることもあり、非常にリスクが高い状況に陥ってしまいます。
BYODの実現に必要なセキュリティソリューション
今まで見てきたようにBYODは「業務の機器が変わる」「業務の環境が変わる」事を起点に、攻撃などの侵害や不正アクセスへの対策と物理的な紛失や盗難への対策強化が必要となります。セキュリティはBYODもっとも高いハードルですが、導入すべきソリューションはシンプルに3つです。次の3つを理解して、安全で快適なBYODを推進しましょう。
① 複雑な要求に耐えうる多要素認証
BYODを導入すると全ての従業員が画一的に管理された環境(社内ネットワーク、また同一の端末から承認されたアプリケーションをホワイトリストなネットワーク等)からアクセスするという事はありえません。そのような環境下においては、「誰が」「どこから」「どんなネットワークを通じて」「どんな端末から」アクセスしているのかを多面的に分析し、アクセス制御していく多要素認証が必要です。また、そのアクセスが本当に本人なのか、盗難された後のアクセスでないのかなどを正しく判断できるように、2段階認証を導入することも必要です。ログインする度に2段階認証を要求されるのが業務上難しいのであれば、アクセスの度に振る舞いを検知し、本人らしさから2段階認証を要求するかどかを判断するリスクベース認証なども求められます。BYODのためのセキュリティ対策としては、これら全てに対応できる多要素認証ソリューションを選定しましょう。
② MDM(モバイルデバイス管理:Mobile Device Management)
私物の端末や社給の端末が混同して業務で扱われる環境において、事前に明確に定義されたポリシーやルールが適切に端末に適応されるよう管理するのは非常に重要です。MDMはポリシーをアサインする設定管理や、端末の遠隔管理を実現することができるので、BYOD用のルールを全ての端末に一括反映することもできます。その他にも、端末が従業員によって紛失されてしまった場合にはMDMで遠隔操作をし、情報漏えいを防ぐ事もできるので、安心です。また似たような名称のものとして、MAM(モバイルアプリケーション管理:Mobile Application Management)や、MCM(モバイルコンテンツ管理:Mobile Contents Management)などもありますが、それらは全てアプリケーションやコンテンツの管理をメインとしたもので責務が異なる事に注意しましょう。
③ DaaS(Desktop as a Service)
BYOD環境下においては、端末を仮想することも必須です。端末を仮想化した上で業務を行っておけば、何らかのマルウェアに感染しても端末の情報は仮想空間上に留められるので、情報漏えいは発生しません。DaaSは、端末の仮想化(シンクライアント化)を実施するサービスです。通常シンクライアント化というとVDI(デスクトップ仮想化)がイメージとして湧きやすいかもしれません。DaaSはVDIのクラウドサービス版と理解していただければよく、処理としては特に違いが無いのですが、クラウドサービスなのでセットアップも不要ですし価格も安価に利用することができます。
④MAM・MCM(モバイルアプリケーション管理・モバイルコンテンツ管理)
先述したMDMですが、これはあくまでも情報漏洩防止の為の対策でデバイス本体を管理するセキュリティソリューションです。なので直接の企業情報プライバシーの問題に関してはアプローチが不足しています。そこで、このMAM・MCMを用いる事でその問題を解決する事ができます。MAMはデバイスの中にあるアプリやデータなどを適切に管理、MCMはデバイスの中にある業務に必要なコンテンツのみを管理する事ができます。企業にとっては管理すべき項目は私物の端末ではありません。端末内に含まれる企業の業務に関わるアプリケーション、データ、コンテンツなどです。なのでこのMAM・MCMは効率的に管理できるツールとして考えられています。
⑤リモートワイプ
こちらは先述したMDMのツールに実装されている事が多いですが、もし実装されていない場合は導入を検討したいソリューションです。これは、端末が盗難や紛失した際に遠隔で操作しながらデータを消去できる機能です。BYODを推進するにあたって、私有端末での業務が増える一方、手軽さから紛失や置き引きなど、あらゆる紛失リスクも伴います。そこでこの機能は有効に利用する事が求められています。しかし、BYODデバイスでは、保存されているデータは業務だけではなく、全く無関係のプライベートな事まで含まれています。なので、導入する際は従業員にデータの取り扱いなど、説明と同意が必要であると考えます。
⑥クライアント証明書
これは端末において、正当な利用者であることを証明できるデジタル証明書になります。BYODは様々な端末でのアクセス業務のメリットがある反面、不正に侵入するルートが増えるデメリットもあります。そこで、端末にクライアント証明書を確認することで、不正アクセスを防ぐ事ができます。
補足:BYODの際に管理されるデータと端末の種類
典型的なデータの位置 | 典型的なデータの内容 |
企業のネットワークとクラウド |
|
通信事業者 |
|
SFF端末(省スペースパソコン) | |
従業員の法人PC |
BYODを導入する際の費用は?
BYODはコスト削減と言った企業の諸問題を達成するのに大きく貢献するシステムですが、一方で、従業員の私有端末を使用する事でパケット通信料やそのほか諸々の費用負担について不安視する声があがってくる事が予想されます。費用負担はどうなるのか考えていきましょう。
まずはじめに、一般的なスマートフォン端末を利用して通信した場合にかかる凡その通信費を見ていきましょう。スマートフォンで1分間通話する場合に発生する通信費は約1.3MB。アプリケーションの立ち上げにかかる通信量は約約0.1MB。その他諸々の稼働を含む場合、月250から300MB程の通信量がかかってきます。この分の通信料金が月々の支払いに加算されることになります。大きな金額とはいかないまでも、業務上で発生したものなので従業員からある程度の保障負担を考えてほしいという声があがっても仕方ありません。その際に企業が従業員に対してどのような対応を講じればいいでしょうか?
①通信料金を補助する
BYODは私有端末で業務をすることで社外のどこでも業務ができることを念頭にしています。従って社外である外出先で利用する事が多いことが予想されます。ともなれば、通話料やデータ通信料が社外で発生するので、長時間による通話や大容量のデータ取引やメール送受信など費用負担が重なります。そこで、企業はこれらの諸行為によって発生する料金を補助することで従業員の負担を軽減します。費用負担については個人差があり、私有端末であると業務以外の通信量もあるので十分に検討すべきポイントです。
②社内ネットワークをWi-Fiに
社内ネットワーク環境にWi-Fiを導入するのも解決のポイントです。Wi-Fi利用者を内勤している従業者や、従業員がBYODに用いる端末のみに限定して設定します。そうすれば、外部による不正アクセスや情報流出のリスクを軽減する事が可能です。
これはあくまでも例えとしての対策です。実際に導入する場合、BYODの認識を社員の一度確認し様子を伺った上で何かしらの対策を考えていきましょう。
BYODを実現した導入事例
導入例1 企業名:Foley & Lardner LLP
Foley & Lardner LLPは、約 2,100人の従業員を擁するグローバルな法律事務所で、クライアントにビジネスおよび法的な見識を提供しています。同社は、弁護士やサポート スタッフの高度なモバイル化をサポートするために、BYODを導入しました。これにより、従業員は各人のiPad やPC、またモバイル端末から重要なアプリケーションにアクセスできるようになりました。当事務所のCIOはBYODを実現したことで、データを共有し共同作業を行うための安全な方法を従業員に提供する事が出来たと述べています。
業種 | 法務サービス |
場所 | ウィスコンシン州ミルウォーキー |
重要な課題 |
|
解決策 | DaaSサービスの導入をきっかけに、全体的なアーキテクチャを見直し、セキュリティを担保しながらBYODを実現しました。これにより情報システム部門に依頼するのではなく、各従業員が自分でモバイル端末の調達とセットアップを行えるようになりました。 |
ビジネス上のメリット |
|
導入例2 ユナイテッドアローズ
日本のアパレル業界においてもBYODの導入が採用されています。ユナイテッドアローズではアパレル業界においても先進的な取り組みをしている企業として注目を浴びています。ユナイテッドアローズのBYODの仕組みは、社員からの個人スマートフォン利用申請があった場合に利用できるシステムになっています。全面的な導入ではなく、社員からの業務上での利用申請があった場合、所定の手続きを踏んだ上で利用できる仕組みです。その場合の個人スマートフォンの使い道としては、スケジュール管理やメールの確認といった一般の企業でも多く使われている基本的な機能にプラスして、在庫検索をリアルタイムに行うと言ったアパレル企業特有のシステムをBYODにて導入しています。この導入のメリットとしては、従来は在庫を確認するために専用端末まで移動し、在庫を確認とお客さんに対しても従業員に対しても時間のロスがありました。実はこの一連の流れは、アパレル業界では店員のストレスの要因にもなるそうで、そこで自分の普段から使っている端末を使うことでスムーズに作業を行え、その場で在庫の確認ができることでストレスの軽減と、お客さんの時間のロスも減らす事が可能になりました。そう言ったことから、BYODは効果的に導入されているかと思われます。
導入例3 九州大学
BYODは教育機関でも導入が進んでいます。大学では九州大学がBYODを導入しました。近代においてはパソコンを使った学習を導入する事が増えている中で、授業に生徒が使うパソコンや周辺機器が不足している状態です。必要量が増える一方で、必要な量を学生に提供することが予算の都合で難しい問題に直面していました。そこで、九州大学では在学生にアンケートを実施。95%以上もの学生が自分のパソコンを所有しているとの結果が出ました。そこで、九州大学は学生自身のパソコンを授業に使用することを決定し、採用しています。この方針により、大学側はパソコンや利用端末を準備するといったコストを削減することに成功しました。そのういたコストで、インターネット環境やセキュリティシステムなどといった対策に予算を当て、学生が利便性とプライバシーにおける信頼と安心を得た状態でのネットワーク環境作りを実現しています。
導入例4 大分県庁
行政でもBYODの導入の動きが広まっています。大分県庁はその中でもいち早くBYODの導入を開始しました。大分県庁が実施した働き方改革にてテレワークへの需要が高まったそう。リモートワークへの対応はコスト削減も兼ねBYODで行う方針を立てました。アクセス環境を整備するツールのセキュリティ面を重視し、BYODで使用するデバイスに業務データが残らないこと、運用面から国産ベンダーであるこ、リモートワイプ可能な機能が備わっていること、root化、Jailbreakされたデバイスをリモートアクセス不可にすることを条件としベンダーを選定しました。そして、従来より大分県庁内で利用しているGaroonを継続して使用できることをを条件としました。リモートワーク開始を会社内でアナウンスすると想像以上の応募が殺到。2017年の段階では653ユーザーがリモートワークを利用しています。スマートフォンのみを許可している段階で、将来的には1人につき1台から1人2台、さらにはユーザー数も1000人の利用を考えています。
教育の場におけるBYODの活用とICT
教育出版の株式会社旺文社が高等学校におけるICT機器とそのサービスの導入状況と活用の実態についてアンケートを実施しました。約1500校がアンケートに回答し、その中でも23.5%の学校がBYODを利用しているとの結果を明らかにしました。この結果は以前実施したアンケートよりもより拡大されていることを示し、学校教育の中でもデジタル化の推進と普及が進んでいることが伺えます。また、スマートフォン端末といった私有デバイスを学校内で使用することが可能な環境に移行しつつあることもあり、使用制限の緩和化が広まっていることが背景にあることも伺えます。BYODを利用せずとも学校内にて私有デバイスの利用を許可している高等学校も全体の35.7%までに登り、学校でのシステムデバイスの存在は今後も一層大きくなるでしょう。しかしその一方で、生徒の情報モラル、セキュリティといった意識をどう持たせ対策を講じるのかが課題であり、また対策を考えなくてはなりません。現在でもスマートフォンやパソコンといったデバイスでの10代による様々な問題が各メディアで取り沙汰される中で、いかに情報社会と上手に共存していくかが問われでしょう。学校側のメリットとしては、学校側によるデバイス等といった配備物を導入する労力とコストの削減が実現でき、コストをかけずにICTを活用した教育を導入できることがメリットとして挙げられます。
東京都では2020年度から東京都立高校において個人のスマートフォンを授業で活用するといった方針を立てています。文部科学省では教育の情報化加速化プランを策定。児童生徒の1人一台の教育コンピューター環境を実現し、教育現場をスマートスクール化する取り組みが東京都に限らず全国で進んでいます。今回の東京都での個人スマートフォンの授業活用は、従来の1人一台のコンピューター環境整備に加える形で、多くの生徒が所有しているスマートフォンを授業で活用できるようにします。生徒が普段から使い慣れているスマートフォンを用いることでICT授業を展開していきたい狙いが込められています。この背景から、東京都では個人のデバイスを持ち込むためモデル校を選定、2018年度からはBYOD実現に向けたWi-Fi環境の整備などを行う予定です。