2020年4月7日、新型コロナウイルス感染拡大の防止策として東京など7都府県に最初の緊急事態宣言が行われ、同月16日には全国へ対象地域が拡大されました。その後も感染者の増減に伴い、主に首都圏にて緊急事態宣言の発令・解除が繰り返されています。政府からの呼びかけに応え、多くの企業が急遽テレワークの導入を進めましたが、そこで問題となったのが、BYODをはじめとしたネットワーク上のセキュリティ対策です。
BYODとは「Bring Your Own Device」の略で、社員が業務目的で個人所有の端末(PC・スマートフォン・タブレット)を使用することを意味します。さまざまなメリットもありますが、セキュリティリスクを理解しないまま導入するには、不安が残る方法です。
BYODのメリットを最大限に引き出し普及させるには、セキュリティリスクを軽減が課題となり、対策としてBYODの制度化が欠かせません。制度化で明確なルールを設けることにより、BYODのメリットであるシャドーITの防止につながります。
◎シャドーITとは? リスクと対策、BYODとの違いや事例を紹介!
本記事では、BYODの課題の1つであるセキュリティリスクについて、詳しく解説します。
まずは、BYODの導入状況を見ていきましょう。
BYODの導入状況
2020年12月から2021年1月にかけて行われた総務省の「テレワークセキュリティに関する2次実態調査」によると、割合としては多くはないものの、PC端末とモバイル端末のいずれも一定数にBYODが導入されています。
私用端末の業務利用を許可するとセキュリティ面のリスクが考えられますが、一方でBYODが導入される理由として、有用性や特徴的な普及率が挙げられます。
コロナ禍におけるBYODの有用性
冒頭でも触れたとおり、2020年4月の緊急事態宣言をきっかけに多くの企業がテレワークを導入しましたが、コロナ禍での緊急を要する対応は、端末の手配や社員に対するセキュリティ教育などいくつかの問題を抱えつつ手探りで行われています。実際、総務省の調査によると、テレワーク導入にあたって課題となったこととして、セキュリティの確保(47.61%)に次いでテレワーク用端末(45.6%)や通信環境(40.4%)の整備があがっています。
BYODは社員が所持している私用端末を業務にも使用するため、改めて会社側が端末を用意する必要がなくなります。セキュリティの問題はありつつも、端末を手配する時間や費用を考えると、BYODの有用性は高いと言えるでしょう。
BYODの普及率
BYODの普及率はそこまで高くありません。企業規模を問わず行ったアンケートでは、会社支給の端末を使用していると答えたところが多く、社員の私用端末を認めている企業はモバイル端末では全体の14.4%、PC端末では全体の27.5%です。
テレワーク利用を許可している端末 | ||
---|---|---|
会社支給 | 社員の私用端末 | |
PC端末 | 従来の職場用端末:68.4% テレワーク用を用意:39.2% |
そのまま利用:22.6% USBブート型シンクライアント:4.9% |
モバイル端末 | 42.8% | 14.4% |
その他 | 端末なし(紙出力など):1.8% |
n=1,996:テレワーク実施企業
(出典:総務省「テレワークセキュリティに関する2次実態調査」)
一方で、企業規模によって傾向に大きな特徴が見られました。コロナ禍の前に発表された資料ですが、独立行政法人 情報処理推進機構によると、小規模企業に分類される会社のほうが中小企業よりもBYODを導入している傾向が高くなっていました。
私有端末の業務利用(BYOD) | ||||
---|---|---|---|---|
全体 | 小規模企業 | 中小企業 (100人以下) |
中小企業 (101人以上) |
|
認めている | 39.0% | 46.7% | 32.7% | 28.1% |
検討中 | 6.9% | 4.8% | 8.3% | 8.3% |
未検討 | 19.1% | 19.3% | 18.7% | 20.8% |
認める予定なし | 33.5% | 27.2% | 38.7% | 41.7% |
n=1,686:企業(小規模・中小企業)
(出典:独立行政法人 情報処理推進機構「2016年度 中小企業における情報セキュリティ対策に関する実態調査」別紙)
同調査では、企業規模が大きいほどセキュリティ専門部署や担当者が設けられている傾向が高く、小規模企業ほど各自の対応としているケースが多いことも分かっています。端末や通信環境の整備がセキュリティに次ぐ大きな課題となっていた点も含めると、予算的・人員数的に新たな端末や環境の整備が難しい小規模企業を中心に、今後もBYDOの普及率は一定数が見込まれるでしょう。
BYODのセキュリティリスクとは?
BYODの導入は、セキュリティリスクを正しく理解したうえで検討することが重要です。ここでは、BYODにどのようなセキュリティリスクがあるのか具体的に紹介していきます。
紛失・盗難
会社支給の業務用端末と同じく、私用の端末も紛失・盗難のリスクが考えられます。特にスマホや携帯は手軽で扱いやすい反面、外出先での紛失・盗難が多い端末です。
万が一紛失・盗難が起こった場合は、速やかに報告するよう教育する必要があります。端末内から情報を抜き取られるだけではなく、会社のPCにリモートアクセスできる設定がされていれば、さらに被害が拡がるでしょう。
無断使用
社員本人が十分に注意していても、起こる可能性が高いのが家族や友人による無断使用です。キッチンへ飲み物を取りに行ったり外出先でお手洗いに行ったりしている間など、わずかな時間でも端末を手放すと、家族や友人に重要な情報を見られてしまう恐れがあります。
家族で共用の端末であれば、誤って重要な情報を削除してしまったり、友人知人にスマホを見せたタイミングで企業情報・顧客情報の通知を受信し情報漏洩するなどが考えられます。
誤った操作をすれば業務に支障が出る可能性もあるため、本人以外に端末を触らせないよう、社員一人ひとりに意識してもらうことが重要です。
ウイルス感染
私用の端末は自由にWebサイトを閲覧したりアプリをインストールしたりできる分、ウイルス感染のリスクが高くなります。社員が個人でウイルス対策ソフトをインストールしていれば、マルウェアに感染したWebサイトへ訪問しても感染は防げますが、あくまでウイルス対策ソフトを定期的に最新バージョンへ更新できている場合です。
最新のウイルス対策ソフトを使用していなかったり、十分なセキュリティ対策を行っていない場合、ウイルス感染すると情報漏洩につながります。
アップデートを管理できない
会社支給の端末は一括管理で企業の情シス(情報システム部)がソフトウェアやOSのアップデートを促せるのに対して、BYODは私用端末のため、アップデートを容易には管理できません。私用端末にも一括管理システムを導入すること自体は可能ですが、プライバシーの侵害と感じる社員も少なからずいます。
脆弱性のあるソフトウェアやOSをアップデートしないまま使い続けると、ウイルス感染や情報漏洩のリスクが高まります。
同様の理由で、OSのメーカーが異なる場合も企業での一括管理は困難です。社員の合意に基づいたアップデート・端末の管理が必要です。
有害サイトや不正アプリの危険性
端末のトラブルは有害サイトや不正アプリに起因するものが多く、プライベート専用端末でも大きな問題となっています。例えば、アクセスするとウイルスに感染するケースや、利用者の許諾なしに情報収集を行っているケース、外部から端末の機能を制御するケースなど、有害サイトや不正アプリの被害はさまざまです。
私用の端末は、これら有害サイトや不正アプリに対するアクセスフィルタリングも、プライバシーの問題で対策できない場合があります。
BYODのセキュリティリスクへの対策は難しい?
BYODは、テレワーク導入時の端末手配にかかる費用や時間を削減できる一方で、社員の私用端末を活用することによるセキュリティ対策の難しさが課題です。ここでは、BYODのセキュリティリスクへの対策が難しいとされる2つの理由を紹介します。
社員への信頼・管理の難しさ
私用端末を利用する以上、前述の有害サイトや不正アプリの危険性もあるため、企業側としては高いセキュリティを施したいものですが、プライバシーの侵害だと思われないような配慮も欠かせません。社員を信頼しつつも高レベルなセキュリティ対策を行うことは、容易ではないでしょう。
どこまで社員を信用し、どこまで管理するかは企業ごとに異なります。セキュリティ対策への理解を得ることも必要ですが、社員一人ひとりのプライバシーを守ることも大切です。
セキュリティについての知識が社員によってバラバラ
高いセキュリティを施すためには、社員が対策の必要性を正しく理解していることが求められます。情報漏洩などのリスクをはじめ、BYODのセキュリティに関する共通認識がなければ、ルールの策定等は難しくなるでしょう。
しかし実際は、セキュリティについての知識レベルが社員ごとに大きく異なる場合もあります。オフィスでは他の社員がカバーできても、テレワーク環境下では周囲に頼ることは困難となるため、BYODひいてはテレワーク全般を安全に進めるためには、全社員でのITについての知識の共有が必要です。
BYODのセキュリティリスクへの対策方法
セキュリティリスクがあるとはいえ、BYODは端末手配の費用削減など複数のメリットがあり、テレワーク導入をスムーズにしてくれる制度です。課題であるセキュリティリスクも、きちんと対策することで軽減できます。
ここでは、BYODのセキュリティリスクへの具体的な対策方法を解説していきます。
運用ルール・ガイドラインの策定・教育
一度に多くの社員へセキュリティ対策を意識させるためには、まず運用ルール・ガイドラインの策定を行いましょう。ITについての知識量に差があっても、ルールがあれば社員はセキュリティリスクではなくルールを遵守できているかどうかのみに集中でき、誰でも安全に業務を進められるためです。
パスワードの管理を徹底させるなど社員教育も重要です。より効果的に対策するのであれば、端末登録や職種に応じた導入制限、クライアント証明書の発行も挙げられます。
端末登録は、BYODに使用する社員個人の端末を企業に届出してもらう方法です。登録した端末情報を元に定期的にチェックして、危険がないか調べたり機種変更を行っていないか確認したり、機種変更や廃棄するときは、データが完全に消去されていることも確認します。
BYODの導入範囲を職種によって限定する方法もおすすめです。全社員へ一律にBYODを許可するのではなく、守秘性の高い業務を行う一部の部署・社員のみ導入を制限するなど、必要に応じた柔軟な運用も検討しましょう。クライアント証明書の発行で許可している端末以外からのアクセスを防ぐ方法も活用できます。
運用ルールやガイドラインを策定するときは、細かい部分まで厳格化しすぎないよう注意してください。安心感はありますが、複雑すぎると社員に浸透しにくくなります。
遠隔操作できる端末で情報漏洩等への対策を行う
端末そのものの紛失や盗難のリスクをゼロにすることはできないため、万が一の場合にスムーズな対応ができるよう、遠隔操作が可能な端末の使用がおすすめです。端末の使用状況を確認したりウイルス感染などの異常を検知したりと一元管理できるソリューションを活用することで、紛失・盗難時は遠隔操作でロックやデータ消去などの対応ができるため、情報漏洩などのトラブル防止に役立ちます。
BYOD導入による私用端末であっても、就業中のみ業務モードに切り替えることで、労働時間外のプライバシーを守りつつ遠隔操作や一元管理ができるようになります。
セキュリティ対策ツールの導入
BYOD導入時は、あらかじめ使用する端末にセキュリティ対策ツールをインストールさせたうえで管理を行うと安心です。たとえば前述のように社員の私用端末を遠隔操作できるようにするためには、MDM(Mobile Device Management)の導入が必要です。
MDMによってウイルス対策ソフトなどの更新状況などを一元管理でき、必要なアプリを遠隔でインストールすることもできるため、複数の端末へ同レベルのセキュリティ対策を施せます。
まとめ
新型コロナウイルスの影響は、今後もニューノーマルな生活様式として残る可能性が高いため、ビジネスにおいても従来とは異なる働き方が求められます。BYODは、ニューノーマルな働き方をするうえで、非常に便利な制度の1つです。
ただし情報漏洩などの課題があるため、セキュリティリスクについて正しい理解に基づいた対策を行いつつ、快適な仕事環境を作ることを心がけなくてはなりません。社員一人ひとりへセキュリティ対策についての教育を行いつつ、知識レベルの差に関係なくリスクを軽減できるよう、ルールの策定やMDMなどセキュリティ対策ツールの導入もおすすめです。