はじめに
コロナ禍の影響で企業のテレワーク&リモートワーク化が急速に増えてきています。また、コロナ禍以降の2024年の10月時点では、日本国内でもハイブリッドワークが定着してきました。2020年3月から4月の自治体緊急調査では一ヶ月の間に導入企業が24.0%から、62.7%と2.6倍に増加しました。
しかし、この急激な環境変化に合わせたオフィスの設備投資のスピードが追いつかない場合も少なくありません。
テレワークの端末の準備が追いつかず、また運用コストを抑えるために、個人のプライベート端末を使用して業務を行うBYOD(Bring Your Own Device)を導入する企業も多数見受けられます。
そこで、今注目を浴びているBYODのセキュリティ対策についてのポイントをわかりやすく解説していきます。
【1】BYODのデメリット、最も注意すべき3つの注意点
引用元:東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査
https://www.tsr-net.co.jp/news/analysis/20200123_01.html
では実際にBYODを導入する際は、一体どのようなことに気をつければ良いのでしょうか。その多くは端末管理のミスから発生します。
やはり、従業員が普段からプライベートで併用しているため、さまざまなリスクが想定されます。
実際に起きた情報漏えい事故のデータを見てみると、主に以下の3パターンが想定できます。
・端末を紛失してしまうことで起こる、第三者による情報漏えい
・業務外の経路から起こる、私物端末のウイルスやマルウェア感染
・私物端末を無断で業務に使用するシャドーIT
端末を紛失してしまうことで起こる、第三者による情報漏えい
最もよく使用する私物端末といえば携帯電話ではないでしょうか。しかしその便利さと手軽さから、紛失の確率が最も高いのもスマートフォンなどのモバイル端末です。
携帯電話の紛失率はパソコンの約2倍に上ります。
一昔前の情報漏えいはUSBメモリの紛失などが顕著でしたが、スマートフォンから重要な情報にアクセスできる現代では、その紛失率が高いことが問題となっています。
日本では携帯を紛失しても戻ってくる確率は8割と安全な国ではありますが、戻らなかった場合は悪用される可能性や情報漏えいへと、セキュリティリスクへのつながりは無視できません。
業務外の経路から起こる、私物端末のウイルスやマルウェア感染
次に、「個人情報漏えい・紛失事故」の中で最も多いのは「ウイルス感染・不正アクセス」による事故です。
2019年は41件(32社)もの事故が発生しており、これは同年に起きた全ての情報漏えい・紛失事故(86件)の約半数を占めています。
また、「ウイルス感染・不正アクセス」の漏えい・紛失で流出したトータルの情報件数は890万2,078件に及び、2019年全体(903万1,734件)では98.5%を占めました。
出典:東京商工リサーチ「上場企業の個人情報漏えい・紛失事故」調査
https://www.tsr-net.co.jp/news/analysis/20200123_01.html
このような背景がある中で、セキュリティ対策を行っていない私物端末を業務に使用した場合、プライベートでの利用な経路から既にウイルスに感染しているパソコンを使用していたり、感染から情報漏えいが起こったりと、リスクの幅が広がります。
私物端末を無断で業務に使用するシャドーIT
そもそもBYODは企業の許可の範囲で行われるべきですが、私物端末でもアクセスできるクラウドサービスなどを勝手に利用してしまう「シャドーIT」によるトラブルも多くなっている傾向です。
企業の端末であれば、誰がどのようなセキュリティ状態で業務を行うかを把握することができますが、私物端末は無数にあるためBYODの導入とともに率先して管理する仕組みを作らない限り、リスクを拭い去ることはできません。
【2】BYOD運用時の3つのメリット、時代に合わせた働き方
しかし、ここまで説明したような危険性を回避できれば、BYODとテレワークを組み合わせることで多くのメリットがあります。
快適なテレワーク環境
コロナ禍で働き方が変わってきた今、テレワークという勤務形態は欠かせないものになってきています。
テレワークは通勤頻度を下げ、社会に適した働き方となりつつありますが、100%のフルリモートワークを実現できる企業はまだまだ少ない状況です。
まだ週に2、3日の出勤が義務付けられている企業であれば、必然的に勤務場所は2ヵ所となります。従業員はそのつど業務用のノートパソコンやタブレット、スマートフォンなどを持ち歩かなくてはなりません。
BYODを行うことで余分な端末の移動が減り、先述のパソコンを持ち歩くことで起こる紛失リスクも減らすことができます。
使い慣れた端末による働きやすさ
各人が普段から使っているプライベート用デバイスをそのまま業務に使うことで、新たな端末操作の説明の必要性がなくなり、スムーズに業務を行うことが可能です。
特にスマートフォンは現代人の体の一部のような存在になってきているため、OSやホーム画面、アイコンが変わるだけでも違和感を覚えてしまう人が多いと予想されます。
BYOD導入についてメンバーの合意を得ることと、セキュリティ面の不安を対策できれば、使い慣れた端末をそのまま業務に使うことは、各自の働きやすさにもつながります。
端末コスト削減
テレワークを本格的に導入する場合、コストがかさむのはやはり端末支給です。会社の規模が大きくなるほど比例してハイコストになりますが、BYODで私的端末を使用することでその負担がグッと減ります。
もちろん、先にお話したような端末紛失、ウイルス感染、シャドーITのようなセキュリティリスクがあるため、社内でわかりやすく安全なルールを周知・実践していくことが大事なのは言うまでもありません。
【3】BYODを安全に実現するクラウドセキュリティ対策
安全なセキュリティ対策を伴ったBYODを効率的に行うには
「ガイドライン」・「人」・「技術」の三位一体のバランスが必要です。
・「ガイドライン」会社のIT資産にアクセスする私物端末を管理するガイドライン
・「人」従業員がどのような脅威や脆弱性、リスクがあるのかを把握・認識
・「技術」体系的なクラウドセキュリティ対策の実施
情報セキュリティ対策には「最も弱いところが全体のセキュリティレベルになる」という特徴があります。
そこで、情報資産を守るためには「ルール」・「人」・「技術」の三位一体のバランスがとれた対策を実施し、全体のレベルを落とさないようにすることがポイントとなります。
会社のIT資産にアクセスする私物端末を管理するルール
先に必要なのは個人所有のスマートフォンやタブレット、パソコン端末などの利用ガイドラインです。
一般社団法人 日本スマートフォンセキュリティ協会によると、BYODの許可についてのガイドラインは、規定や利用場所、目的によって分類することができるとされています。
引用元:『BYODの現状と特性』 一般社団法人 日本スマートフォンセキュリティ協会
https://www.jssec.org/news/20121119_byod.html
上の表では5つのBYOD運用パターンに分かれていますが、この中でBYODと規定されているのは、管理者のリスク認識と導入の意向・意思決定が明確にある「舵取り型」と「踏み出し型」の2つのみです。このことからも、BYODは明確なルールと運用時のさまざまなリスク管理がとても重要であることがわかります。
従業員がどのような脅威や脆弱性、リスクがあるのかを把握・認識
BYOD運用では明確なガイドラインを作り、またそれが守られるように全ての従業員が規約を把握し、しっかりとした認識が必要になります。
このガイドラインが破られてしまうと、セキュリティ面での脅威や脆弱性、リスクがかなり上がります。
例えば「たまたま会社支給の端末は家に置いてきてしまっている。そこで自分のスマートフォンから会社のネットワークにVPN接続し、社内共有フォルダにある資料をチェック。確認した旨を部下に返信した」
https://ismcloudone.com/kadaikaiketsu/case004/
といったパターンで「規定はあるが、本人がある状況下で自己判断によってガイドラインを破ってしまう」ということも想定されます。
これは、ガイドラインを無視した「なし崩し型」や「知らん振り型」に近い事例と言えます。
体系的なクラウドセキュリティ対策の実施
このように、BYODにおける「ガイドライン」は「人」によって守られるものであるべきですが、先述の事例のように従業員の誰かが状況によってガイドラインを踏み越える可能性が残ります。
そこで必要なものが、体系的なクラウドセキュリティ対策です。
例えば、大量のモバイル端末を一元的に管理し、さまざまなセキュリティ機能による安全確保を効率的に行うことができるMDM(Mobile Device Management)というクラウドセキュリティシステムがあります。
従業員の端末にMDMソフトウェアをインストールしてMDMサーバと連携する方法で、管理者によるセキュリティを考慮したBYODが可能になります。
【4】BYOD導入におけるクラウド型セキュリティシステムの優位性
従業員が仕事で使用する端末のセキュリティ対策を考えた場合、その選択肢は
・自社でパソコンやスマートフォンを用意しセキュリティ対策を行う「オンプレミス」
・BYODを導入しセキュリティ対策を行う「クラウドセキュリティ」
この二択になるかと思います。
昨今の急激な働き方の変化に対応するために、テレワーク時代のセキュリティ対策のポイントは下記の3点が求められます。
・初期投資が少ない
・迅速なセキュリティ対応
・快適な勤務環境
このことを踏まえると、従業員全員の社内端末を購入し、一から設定管理を行うオンプレミスよりも、クラウド型のセキュリティシステムに軍配が上がります。
オンプレミスとクラウドのセキュリティシステム導入時の比較
オンプレミス |
クラウド |
|
---|---|---|
初期投資 | 高い | 低い |
稼働までの期間 | 長い | 短い |
端末 | 支給された会社の端末 | 使い慣れた自分の端末 |
このように、もしBYODを導入する場合にオンプレミスとクラウド型を比べた場合、圧倒的にクラウド型のメリットが高いことが分かります。
とはいえ、BYODの導入による運用ガイドラインの策定や従業員への周知など、社内調整に時間がかかることが予想されます。
そこで、もしクラウドセキュリティを採用したBYODの導入をお考えの方は最初から100:0にするのではなく、例えばテレワークに必要な業務用のデータのみを区切ってクラウドへ移行するといった、移行テスト期間を作るのも一つの方法です。
【5】テレワークやBYODについての セキュリティ対策についてもっと知りたい方
BYODやテレワークについての記事はこちらでも紹介しております。是非ご参考ください。
テレワークのセキュリティ対策について
「テレワークのセキュリティ対策を強化するための3ステップ」
「ISM CloudOneによるBitLocker管理・制御機能」
テレワークによる情報漏えいの事例対策について
「5つの事例から学ぶ、テレワークの情報漏えい対策」
具体的なBYODの課題と解決事例
「BYODの裏に潜むセキュリティリスクを回避せよ!」
【6】まとめ:BYOD導入には強固なセキュリティ対策が必要
BYODはコスト削減や業務効率アップなどのメリットも多々ありますが、その分セキュリティリスクも上がるということはしっかりと認識しておきたいところです。
最後に、BYODに重要な3つの要点をもう一度おさらいしておきます。
・安全な端末の利用を行うためのガイドライン策定
・使用者一人ひとりのリスク認識
・常に高いレベルでのセキュリティ管理
上記をしっかりと実行することで、新しい時代に合わせた快適なテレワーク&オフィス環境を作ることができます。
クラウドのメリットは、オンプレミスより初期投資が低いことと、稼働開始までに短期間で済むということ点です。スピーディーにクラウドの実力を体感することができれば、オンプレミスとどちらが自社に適しているかを早い段階で判断できるでしょう。
\ 実際の環境で30日間の無料お試し! /
ISM CloudOne トライアル申込みページへ