ワークスタイルの変化やスマートデバイスの普及にともない、話題にあがるようになった「BYOD」。企業と従業員の双方に大きなメリットがあるBYODですが、正しい導入・管理方法を理解しなければ大きなリスクにもなりえます。
本記事では、BYOD導入のメリットやリスク、セキュリティ対策について解説します。
BYODとは何か?
BYOD(Bring Your Own Device)とは、従業員個人が所有しているスマートフォンやタブレット、ノートPCといったデバイスを業務でも利用することをいいます。従来であれば、こうした私的デバイスの利用は情報漏えいにつながりかねないことから、業務での使用はおろか、オフィスへのデバイスの持ち込み自体を禁じている企業も少なくはありませんでした。
しかし、スマートフォンなどの普及によって、電話やメール、スケジュール管理などにモバイル端末を用いるのが一般的となり、私的デバイスの利用範囲を業務にまで広げたほうが、効率のよいシーンも増えてきました。そのため、情報漏えいなどさまざまなリスクへの備えを制度として整備したうえで、私的デバイスを業務用途で正式に利用できるようにするというのが、BYODの基本的な考えになります。
拡大するBYOD市場
IT・テクノロジーのリサーチ〜コンサルティング企業であるガートナーが発表した資料によると、2023年末までにヒューマンオーグメンテーション(人間拡張)とともに、BYODポリシーを拡大すると指摘しています。
また米Motor Intelligenceによると、BYODの市場規模は2019年から2024年にかけて年平均成長率15%になるとレポートしています。スマートフォンなどのデバイスの普及はもとより、5Gなど高速通信が可能になることで、よりBYODが進み、それを支えるサービスも増加していくことが予想されています。
BYODを導入するメリット
BYODのメリットは多岐にわたります。ここではBYODを導入するメリットについて、企業と従業員それぞれの視点から紹介します。
企業のメリット
・業務の効率化
企業にとってのBYOD最大のメリットは、業務の効率化が図れることです。常に携行している私的デバイスから社内のリソースにアクセスできるようになるため、オフィスに戻らなければ作業が進められないといった距離的、時間的な制約がなくなります。顧客への迅速な対応や移動時間が削減されることで、本来の業務に費やせる時間も増加します。
・コスト削減
BYODは、従業員が利用デバイスを選定し、企業が決められた補助費を購入時に出す場合が多く、デバイスの初期導入費用の低減につながります。またハードウェアを一元化することから、私用と業務用途で2台のデバイスを併用する場合に比べ、ソフトウェアのライセンス料や保守コストが軽減できるのも利点です。
・シャドーITの撲滅
シャドーITとは、企業側が私的デバイス利用を許可していない状況、もしくは利用に関するルールが無い状況で、私用デバイスを業務に持ち込むことを指します。BYODを前提にルール策定やデータ漏えいを起こさない仕組み作りをすれば、責任の所在が明確になりセキュリティリスクを軽減できます。
従業員のメリット
・端末数の削減
私用の端末が使えるようになれば、複数のデバイスを持ち歩かずに済みます。バッグの中に私用と業務用、ほぼ同じ機能を持つ2台のデバイスが入っている……という状態がなくなり、物理的な負荷が軽減されるでしょう。また複数台を使用・管理することで考えられる紛失や盗難のリスクも低くなります。
・トレーニングコストの軽減
使い慣れた私用の端末を業務でそのまま利用できるため、トレーニングなどへのコスト軽減につながります。同等の機能を備えたデバイスを複数所有するようになった場合、その操作性の違いに戸惑うこともあるでしょう。しかし、ひとつの端末に集約すれば、操作上の問題はなくなります。使いづらいと感じる会社貸与のデバイスを、無理に使い続ける必要もなくなります。
・業務の場所を選ばない
従業員は常に業務利用が可能なデバイスを持ち歩くため、テレワークなど業務の場所に縛られない働き方が可能になります。さらに一歩先のワークスタイルを見据えた副次的効果も、見逃せない利点といえます。
BYODのリスクとデメリット?
BYOD導入には、いくつかのリスクが伴います。一歩間違うと、企業の信用性低下にもなりかねないため、BYOD導入を検討している企業はしっかりと把握しておきましょう。
端末の盗難・紛失による情報漏えい
企業が最も注意すべきなのは、デバイスの盗難や紛失が引き起こすデータの流出です。BYODでは私的デバイスを常時携行することから、盗難や紛失の機会もそれだけ大きくなります。もし第三者がやすやすとログインできてしまうようなら、データを抜き取られる危険性はもちろん、所有者を装ったサーバーへの不正ログインまで引き起こしかねないのです。
人為的なデータの持ち出し
データの人為的な持ち出しについても、リスクとして考慮しておく必要があります。業務データを無許可でデバイスにコピーしたものが、前述のような盗難・紛失に遭えば、大規模なデータ流出につながりかねません。またBYODはデバイスを社内から社外へと持ち出すことが大前提であるため、従業員が悪意をもってデータを持ち出す危険についても考慮しておくべきです。社内でセキュリティポリシーを策定し、リスクへの理解を深めていく必要があります。
第三者による端末の利用
BYODならではのリスクといえるのが、第三者による利用です。もともと私的に使っていたデバイスの場合、かつては家族などにも利用を許可していた可能性があります。BYODデバイスに切り替わったことを知らない家族が、デバイスを操作し不正なサイトへアクセスしたり、従業員の認証情報を用いてサーバーにアクセスできてしまうことは、セキュリティ上の大きなリスクといえます。
ウイルスへの感染
ウィルス対策やソフトウェアの脆弱性対策についても、より一層の徹底が必要です。業務用端末であるという認識が薄くアップデートを怠っていると、ウィルスへの感染や不正プログラムの感染などにより、デバイス自体が業務用サーバーへの攻撃ツールと化してしまいます。root化などのOS改造行為も、これらの温床となることが少なくありません。
従業員個人の情報保護
BYODのセキュリティリスク軽減のために、企業側が端末を管理するMDMなどのツールを導入する場合があります。ツールによる端末状況の管理やセキュリティ対策は、端末の不正利用などを防ぐメリットがありますが、従業員のプライベート情報を企業が把握してしまう危険性があります。また私用と業務用の端末がひとつになると、プライベートと仕事の境目が曖昧になる可能性があるため、結果的に従業員のストレスにつながってしまいます。
BYODのガイドライン
BYODのメリットとデメリットはご理解いただけたでしょうか。BYODの最たるデメリットは情報漏えいになりますが、しっかりと対策を講じれば見返りも大きくなります。
ここではBYODを検討する際に、必要となるガイドラインについて説明します。BYODを始めるにあたり、従業員に自由にデバイスを使わせてしまうわけにはいきません。会社でルールや規則を作成する必要があります。その際に重要となる4つのポイントを紹介します。
①利用範囲・用途を決める
まずスマートデバイスを業務のどこまで利用するかを決めましょう。メールやチャットの閲覧のみなのか、カレンダーの閲覧も含むのか。社内システムへの接続可否などを細かく設定する必要があります。その際に、社内でヒアリングをするようにしましょう。
②情報の保護範囲を決める
利用用途が決まると、必然的に守らなくてはいけない情報の範囲も決まります。BYODは、ひとつの端末に私的な情報と企業の情報が混在しているので、それぞれの情報の取扱について細密に決める必要があります。
③運用方針を決める
利用範囲と保護範囲が確定したら、運用方針を決めましょう。例えば、業務時間内は私的利用を制限する、もしくは盗難や紛失の場合のみ実施するなどです。現在は、複数台の端末を一括管理できるソフト(後述)があるので、運用方針を決めておかなければ従業員の不満の温床となってしまいます。
BYODのセキュリティ対策
上記のようなBYOD導入時のリスクに対して、企業はどのような対策を取るべきなのでしょうか?
MDMの導入(端末の管理)
まずひとつは、MDM(モバイル端末管理)の導入です。企業が定めるセキュリティポリシーから外れた運用がなされているデバイスの利用を強制停止できます。そのため、ウィルス対策やソフトウェアの脆弱性対策、許可されていないネットワークやアプリへの接続禁止など、さまざまなポリシーを確実に実行できます。MDMツールでは外部接続とのログも取得できるので、ネットワークを経由せずに行われるデータの持ち出しなども監視できます。
◎MDM(モバイルデバイス管理)とは?機能やメリットをわかりやすく解説
MAM・MCMの導入(アプリ・コンテンツの管理)
MDMは情報漏えい防止の観点からは強固な対策といえますが、デバイス本体を管理するツールのため、プライバシーの問題につながりかねません。そこで近年注目されているのが、MAM(モバイルアプリケーション管理)とMCM(モバイルコンテンツ管理)です。MAMはデバイス内のアプリやデータを適切に管理し、MCMはデバイス内の業務に必要なコンテンツだけを管理します。そもそも企業が管理しなければならないのは私物端末そのものではなく、あくまで業務に関わるアプリやデータ、コンテンツなので、MAMとMCMは効率的な管理ツールといえます。安全性を確保しながら業務を進められるように、企業には自社に合ったツールの選定が求められます。
リモートワイプ機能
盗難や紛失時に遠隔操作でデータを消去できるような、リモートワイプ機能の採用も対策のひとつです(前述のMDMツールには、リモートワイプ機能が実装されていることが多い)。ただしBYODデバイス内に保存されているデータには、業務とは無関係のプライベートな内容も含まれていることが多いです。そのため、データの取り扱いについては予め従業員の同意を得ておく必要があるでしょう。
データの扱い、保存方法の徹底
社外でのリモートワーク時には、データをローカルに保存させずに、サーバーにログインして業務を行うなどのルール化が重要です。デバイスの盗難や紛失は、注意していても起こりうるため、ローカルにデータを残さない運用を行いましょう。
しかし、例外的にデバイス内にデータを残さざるを得ないこともあるかもしれません。そうした場合に求められるのが、デバイスに内蔵されるドライブの暗号化です。多くの法人向けノートPCに採用されているTPMチップによるハードウェア暗号化であれば、すべてのデータは自動的に暗号化されます。また復号化にもチップを経由する必要があるため、ドライブを基盤から取り外して別のハードウェアに載せ替えても、データの読み取りは不可能になります。TPMチップの活用は、盗難・紛失の対策として効果が高いといえます。
本人認証システムの導入
デバイスおよびサーバーへのログインにあたり、強固な本人認証システムを導入するのも重要です。知っていれば誰でも解除できるパスワードなどの簡易的な認証方式ではなく、指紋認証をはじめとした高度なセキュリティ認証方式が考えられます。家族など、第三者のアクセス権限を削除しておく必要もあるでしょう。
BYOD導入時のリスク対策の多くは、ソフトウェアで実現できるのに対して、ハードウェア側の機能を必要とする対策も重要です。具体的にはTPMチップ、指紋認証などのセキュリティ認証です。比較的容易に追加できるソフトウェアとは異なり、後からの追加導入には困難をともなうため、BYODを前提に新規のハードウェアを購入する場合は、あらかじめ条件のひとつとして検討すると良いでしょう。
BYOD導入には業務の実態に応じた折り合いを
BYOD導入にあたり、セキュリティリスクを低減するためのさまざまな対策が必要ですが、過剰な締め付けや複雑怪奇なルールの押し付けは控えましょう。許可されたBYODデバイスとは別に、監視の目が行き届かない私物端末を用いて業務を行うなど、かえってシャドーITを助長する事態を招きかねません。BYODを導入する際には、あくまでトータルの業務効率の向上が目的であることを念頭に置き、業務の実態に応じてうまく折り合いを付けていくことが重要なのです。
