「BYODの導入は安全だろうか…セキュリティ面が心配…。」
「BYODを導入する場合、どんなセキュリティ対策が必要だろう?」
従業員の私用端末を使用するというBYODの仕組みから、上記のように不安を抱く企業も多いのではないでしょうか。
そこで、本記事では、BYODに懸念されるセキュリティリスクと対策法について解説します。
そもそもBYODとは?
BYODのセキュリティリスクについて解説する前に、「そもそもBYODとは何か」を簡潔に説明します。
BYOD(Bring Your Own Device)とは、従業員が所有するデバイスをオフィスに持ち込み業務に使用する仕組みを言います。
従来、業務用端末で仕事をするのが当たり前で、私物端末の持ち込みは禁止というのが一般的なあり方でした。
それに対してBYODは、スマートフォンやノートパソコン、タブレットといった私物端末の業務利用を許可するという新しい概念になります。
あわせて読みたい
BYODについて、詳しくは「BYODとは?導入のために企業が知っておきたいこと5つ」で解説しておりますので、是非あわせてご参考ください。
(1)BYODの現状
BYODは欧米など世界的に普及が進んでいますが、国内での普及率は低く、導入には慎重な企業が多いのが現状です。
しかし、BYOD導入の必要性が低いということではありません。
近年の「テレワークの推進」や「シャドーIT蔓延」といった背景から、BYODの導入が急速に注目を集めています。
テレワークの効率的な運用にBYODの導入が役立つこと、そしてBYODの導入によってシャドーITの防止につながるという理由からです。
シャドーITとは、従業員が会社に許可なくWebサービスやシステムを導入したり、私物端末を業務で使用したりする行為を言います。
私物端末で取引先の連絡先情報にアクセスする、無許可のアプリをインストールするといったシャドーITの横行が問題となっています。
従業員は効率化のために悪意なく行っているケースが多いですが、シャドーITは企業データの漏洩につながる危険性のある行為です。
シャドーITのリスク防止には、規定やルールを定めた上でBYODの導入をすることが有効です。
私物端末の業務利用を許可するBYODの仕組みにはリスクもありますが、シャドーITを無視するほうが企業にとってリスクとなるでしょう。
(2)BYODの普及率
上述したように、BYODは欧米を中心に普及が進んでいますが、国内での普及率は高くありません。
2018年の総務省の調査結果によると、BYODの国内導入率は10.8%でした。
上記の数値は、アメリカやイギリス、ドイツと比べ半分以下の数値で、欧米と比べ普及が遅れているのが現状です。
しかし、多様な働き方が普及し始めた近年では、テレワーク実現、DX化を進める手段としてもBYODは浸透してきています。
BYODで懸念されるセキュリティリスク
次に、BYODにはどのようなセキュリティがあるのかを説明します。
BYODで懸念される主なセキュリティリスクには、以下の5つがあります。
- 紛失または盗難
- 第三者による不正利用
- ウイルス感染
- 有害サイトへのアクセス
- 不正アプリのインストール
上記の項目について、以下に詳しく見ていきましょう。
(1)紛失または盗難
まず、BYODの運用には、端末の紛失や盗難による情報漏洩のリスクが懸念されます。
BYODは私物端末を業務で使用するという特性から、業務・プライベートの用途を問わず、端末を外出先に持ち出す機会が多くなります。
必然的に、業務用端末と比べ端末の紛失・盗難リスクが高まり、情報漏洩につながる危険性も増大するでしょう。
(2)第三者による不正利用
業務に使う私物端末を第三者に利用される恐れがあることも、BYOD導入のリスクとして挙げられます。
例えば、従業員の家族や友人などがBYOD端末とは知らずに端末を利用してしまうこともあるでしょう。
悪意からの行為でなくても、従業員本人以外の第三者が端末を操作することにより業務の情報が知られてしまう恐れがあります。
(3)ウイルス感染
BYOD端末のセキュリティ対策が十分でない場合には、ウィルス感染に遭うリスクが増大します。
フリーWi-Fiなどのネットワーク、USBメモリなどを経由して感染し、情報漏洩につながる恐れがある点に注意が必要です。
(4)有害サイトへのアクセス
BYOD端末のセキュリティ対策が不十分な場合は、有害サイトへのアクセスによる情報漏洩リスクもあります。
フィッシングサイト、マルウェア感染を狙った悪意のあるサイトへの閲覧により、業務データの流出・漏洩につながる恐れがあるため注意が必要です。
(5)不正アプリのインストール
BYOD端末にセキュリティ対策がされていない場合には、不正アプリのインストールによる情報漏洩リスクも懸念されます。
従業員が正規のアプリと勘違いし、なりすましなどの不正アプリをBYOD端末にインストールしてしまうケースもあるでしょう。
不正アプリのインストールにより、端末の情報が盗み取られ流出につながる恐れがあります。
BYODのセキュリティリスク対策のポイント
上述したように、BYOD導入にはいくつものセキュリティリスクがあります。
導入に不安な企業や慎重な姿勢をとらざるを得ない企業もあるでしょう。
しかし、十分なリスク対策や準備をすることで、リスクを軽減し安全にBYODを導入することも不可能ではありません。
BYODセキュリティリスク対策のポイントは以下の5つです。
- 社員のITリテラシーレベルを把握する
- ガイドラインを策定する
- データを保護する
- セキュリティソフトの導入
- 管理ツールを導入する
それぞれの項目について、以下に詳しく見ていきます。
(1)社員のITリテラシーレベルを把握する
BYOD導入にあたり、従業員のITリテラシーを把握・理解しておく必要があります。
従業員のITリテラシーは、さまざまです。リテラシーの低い方も一定数いらっしゃるでしょう。
従業員のセキュリティに対するリテラシーの低さは、BYOD導入の人的なセキュリティリスクとなり得ます。
知識や理解の不足は、フリーWi-Fiに接続して業務を行う、怪しいメールの添付ファイルを開くといった行為につながります。
リテラシーが低い方には、上記のような行為を防ぐために研修を設けるなどの対応が必要です。
(2)ガイドラインを策定する
BYODの導入には、必ずガイドラインを策定しましょう。
禁止事項や端末の利用用途、保護するデータの範囲、業務用アプリの利用時間などを定めます。
ただし、初めから完璧に運用を進めようとする必要はありません。
様子を見ながら適宜修正をしていくという考え方のほうがスムーズに進むでしょう。
導入時にはいきなり全従業員を対象にするのではなく、一部の部署や従業員のみに限定するなど、小規模から始めると良いです。
また、BYODの運用には従業員の理解を得ることも必要になります。
明確で分かりやすいルールの策定や、端末の管理領域はプライベートと分け従業員の自由を制限しないものにするよう配慮すると良いでしょう。
(3)データを保護する
BYOD端末から業務データの流出を防ぐための対策を検討することも必要です。
BYOD端末からは、業務データや機密ファイルにアクセスする場合もあるでしょう。
「端末にデータを残さない運用をする」「重要なデータへはアクセス制限や権限を設定する」といった対応を検討しましょう。
また端末の紛失・盗難時の情報漏洩に備えて「データを暗号化する」「リモートで消去できるようにしておく」などの手段も有効です。
(4)セキュリティソフトを導入する
BYOD端末にはセキュリティソフトを導入しましょう。
BYODは従業員がプライベートで使用する端末でもあります。
例えば、家庭内のLANやフリーWi-Fiを経由してウイルス感染し、社内ネットワークに被害が広がる恐れもあります。
しかし、プライバシーの侵害になるため、会社はプライベート領域の利用を管理・制限することはできません。
上記のようなリスクを防ぐために、端末へのセキュリティソフト導入を検討すると良いでしょう。
(5)管理ツールを導入する
BYOD端末や端末からアクセスするデータには、管理ツールを導入すると良いでしょう。
データへの不正アクセスや情報漏洩防止に役立ちます。
ツールの導入により、ログを取得しアクセス履歴を把握できるようにする、IP制限でアクセスを制限するといった対策が可能です。
ツールを利用すれば一元管理が可能になるため、業務の効率化を実現しながらセキュリティ効果を高められるでしょう。
あわせて読みたい
管理ツールについて、詳しくは関連記事「SaaS管理の重要性とは?選び方3つのポイントからデメリットまで解説」で解説しておりますので、是非あわせてご参考ください。
BYOD導入におすすめのツール3つ
BYODのセキュリティ対策には端末の管理ツールなど、ツールの導入が便利です。
本章では、BYODのセキュリティリスクを軽減し、安全に導入を進めるためのツールを3つ紹介します。
- MAM・MCM
- VDI(仮想デスクトップ)
- SaaS管理ツール
上記3つの項目について、以下に詳しく見ていきましょう。
(1)MAM・MCM
まず、BYOD端末で利用するアプリケーションやコンテンツの管理が可能なツールにMAMやMCMがあります。
MAMとは「Mobile Applecation Management」の略で、モバイル端末のアプリケーションを管理するシステムや手法のことです。
MCMは「Mobile Contents Management」の略で、モバイル端末のコンテンツ管理ができるシステムや手法のことを言います。
MAM・MCMにより、BYOD端末にインストールする業務用のアプリケーションや、業務データ(コンテンツ)の一元管理が可能になります。
例えば、端末の紛失・盗難時にリモートで管理対象のアプリケーションを削除する、データの利用ログを分析するなどの機能を活用できます。
MAMやMCMの利用により、端末のプライベート領域に干渉せず、業務利用の範囲に限定した管理が可能です。
BYOD導入時の情報漏洩リスクを軽減するのに役立つでしょう。
(2)VDI(仮想デスクトップ)
VID(仮想デスクトップ)の作業環境導入もBYODのセキュリティ対策に有効です。
VDIとは、サーバー上の仮想デスクトップ環境にクライアント端末(BYOD端末)からアクセスする仕組みを言います。
VDIはクライアント端末から仮想環境にアクセスして作業をする仕組みのため、端末上ではデータの処理を行いません。
つまりBYOD端末からは仮想環境にアクセスをするだけで、端末上にはデータを残さないため、紛失時などの情報漏洩防止に有効です。
(3)SaaS管理ツール
BYODのセキュリティ対策には、SaaS管理ツールの導入も役立ちます。
SaaS管理ツールは、複数のSaaS(クラウドサービス)を一元管理できるツールのことです。
BYOD導入と同時に、クラウドストレージなどのSaaSサービスを利用するケースは多いでしょう。
SaaSサービスには高度なセキュリティが施されていることが多いですが、不正アクセスやなりすまし、情報漏洩といったリスクもあります。
ベンダーに任せるだけではなく、自社でリスクへの対策をすることも必要です。
SaaS管理ツールを導入すれば、アカウント管理をはじめSaaSの一元管理が可能です。
例えば、弊社の提供する「メタップスクラウド」は、IP制限や多要素認証の設定、組織単位でのポリシーの適用といった機能があります。
一元的にセキュリティ管理が可能になり、BYOD導入を安全に進めるための仕組みをスムーズに構築できるでしょう。
まとめ|セキュリティリスクを理解してBYODを安全に導入しよう
テレワークの普及、シャドーITの横行といった世の中の流れから、BYODが注目を集めています。
しかし、BYODは従業員の私物端末を業務に使用するという仕組みから、導入には慎重になっている企業が多いのが実情です。
実際にBYODにはいくつものリスクが懸念されますが、リスクを理解して適切な対策をすれば安全に運用することもできるでしょう。
ツールの導入やガイドライン策定、従業員への研修などの対策を行い、安全に運用できる仕組みや環境を構築しBYODの導入を進めてみてください。
