オンライン相談
今では取り入れている企業も多いであろう「BYOD(Bring Your Own Device)」。
「BYOD(ビーワイオーディー)」とは、「Bring Your Own Device」の頭文字を取った略語であり、組織内の公式な方針に基づいて従業員自身の私物のパソコンやスマートフォン、タブレット等のモバイルデバイスを業務に使用することを意味しています。
テレワークの普及など、社外で働く状況が増えたことで、BYODという手段をとった企業も多いのではないでしょうか。
しかしBYODにはメリットがある反面、セキュリティ面では大きなデメリットも存在します。緊急事態宣言で働き方が変化し、急遽端末が必要となりBYODの活用を許可した企業も、そろそろデメリットに目を向けBYODをこのまま利用するかを検討する時期にきていることと思います。
BYODは継続しても問題はない?
BYODは利用を継続するべきなのでしょうか。
結論から申し上げると、BYODは正しくセキュリティのリスク管理ができていなければ今後利用するべき継続すべきではありません。
セキュリティリスクを理解した上で使用ルールの策定や対策をとっているのであれば継続利用も可能ですが、未対策の場合いつ情報漏洩が発生してもおかしくはありません。
本コラムではセキュリティ対策を行っていないBYODをなぜ利用するべきではないか、その危険性を合わせてご説明します。
最新のBYOD利用事情
かつては私物スマホの業務利用等は大企業を中心に後ろ向きで、セキュリティリスクが大きいものだとされていましたが、昨今のBYOD関連の市場規模は急速な拡大を見せています。
総務省の調査によると、国内のスマートフォンの所有率は2010年から2020年までの10年間で飛躍的に増加しており、2010年のスマートフォンの世帯保有率が10%程度だったのに対し、2020年では80%以上の世帯で保有しているという結果になっています。
そういった背景もあり、BYODの需要は年々高まっている状況です。
BYODを利用するメリットとデメリット
BYODを利用するメリットとデメリットをそれぞれ解説します。
BYODのメリット
①コスト削減
一つ目のメリットとして、コスト削減があります。従業員は私物のモバイル端末やPCを利用するので、企業がデバイスを調達する必要がなくなりコスト削減をすることができます。
②生産性の向上
二つめに、従業員が普段から使い慣れた端末で仕事を行うことになるため、学習コストが低く、作業効率が向上します。
③柔軟性とアクセス性
三つめに、従業員はどこからでも自分のデバイスを使って仕事ができるため、柔軟な勤務スタイルを実現し、生産性を高めることができます。
BYODのデメリット
①セキュリティリスク
個人所有のデバイスを使用することで、企業の機密情報やデータがセキュリティリスクにさらされる可能性があります。紛失や盗難、不正アクセスに対するリスクがあります。また、パスワード等も社内規定に則った設定にされていないので、盗難時に中身を見られてしまうというリスクも高いです。
②サポートの難しさ
従業員が様々なデバイスを使用する場合、サポートやトラブルシューティングが複雑になる可能性があります。企業で用意した端末のトラブルであれば、情報システム部で対応するなどの対処が可能ですが、企業はさまざまなプラットフォームやデバイスに対応するためのリソースを確保する必要があり、サポートが複雑化します。
BYODのセキュリティリスクは?
情報システム部がBYODのデメリットで最も注意しなければならないのは、情報漏洩です。
情報漏洩はBYODに限った話ではありませんが、BYODを利用することでリスクは高まってしまいます。
BYODを利用することで情報漏洩に繋がりかねないリスクは大きく3つあります。
①端末の紛失・盗難による情報漏洩
1つ目が端末の紛失・盗難による情報漏洩です。
BYODは性質上、プライベートでも同じ端末を利用することになります。今までは社外に持ち出すことはなかった端末が、自分のプライベート端末を業務用に利用することで平日、休日を問わず持ち出されます。そのため、持ち歩きの頻度がより高くなり、紛失や盗難のリスクが増加することは理解いただけるかと思います。
通常会社から支給される端末であれば遠隔で端末をロック、さらにはデータの削除などの対策をあらかじめ立てているかとは思いますが、BYODは管理ツールを入れられることがプライバシーの侵害であると考える人もいるためツールの導入が難しく、放置されていることも多くあります。そのため万が一端末を紛失してしまった場合に対策が取れず、情報漏洩が発生してしまうことも想定できます。
このような理由から、BYODは通常の持ち出し端末と比べ紛失時の情報漏洩リスクが高まっていると考えられます。
②シャドーITからの情報漏洩
2つ目がシャドーITからの情報漏洩です。
シャドーITとは企業によって管理されずに業務で利用されているデバイスやソフトウェアのことです。
企業によって管理された端末であれば、業務に不要なソフトウェアは利用を制限することができます。しかし、BYODといったプライベートで使う端末は企業にとって不要であるという理由だけでソフトウェアの利用を制限することは難しく、多くの場合必ずしも業務に必要ではないソフトウェアが制限をかけられず放置されています。ソフトウェアの中にはクラウドストレージサービスやメッセンジャーソフト、ファイル交換ソフトなど、利用時の操作ミスで情報漏洩が発生してしまう恐れがあったり、マルウェアが仕込まれた悪意のあるソフトウェアなどがあることも想定されます。そのため、一見便利だからと業務に使い続けていればいつかは情報漏洩が発生してしまうことは想像に難くありません。
③ウイルス感染などによる情報漏洩
3つ目がウイルス感染などによる情報漏洩です。
ウイルス対策ソフトがプライベート端末にインストールされており、最新のバージョンにアップデートされていればマルウェア等が仕組まれたサイトにアクセスしたとしてもウイルス感染を防ぐことが可能です。
管理ツールを利用していれば、ウイルス対策は利用者に委ねることなく管理者が一元で管理することが可能なものもありますが、BYODの端末であればソフトウェアのアップデートなどは利用者個人に委ねられるため、アップデートがおろそかになっていた場合ウイルスに感染してしまいます。
その結果、端末内にある情報が漏洩してしまうことはもちろん、ウイルスに感染したまま社内ネットワークに接続することで、社内のデータが全て漏洩したり、暗号化されてしまうことも実際に起こっています。
このように、これら3つの理由がBYODを利用する上で、通常の企業で管理されている端末を利用する場合よりも高くなってしまう情報漏洩のリスクです。
これらのリスク対策が出来ないのであれば、情報セキュリティの観点からBYODは使うべきではないと言わざるを得ません。
重要なのはセキュリティに対する正しい知識
BYODは管理が杜撰なまま利用するべきではないということはご理解いただけたかと思います。
しかしBYODをやめたからといって、企業で用意した端末であれば問題がないかというと、それはまた別の話です。
企業で用意した端末であっても、セキュリティのことを正しく理解し運用しなければ管理されていないBYODと同じセキュリティリスクを抱えることとなってしまいます。
企業が用意した端末を利用することのメリットとして、BYODに比べて管理ツールを導入しやすいという面がありますので、セキュアな環境を用意するためにもまずはご自身でセキュリティについて調べ、必要なツールはなにかというものを考えてみることをお勧めします。
また、どうしてもBYODの運用を強く希望していたり、またはやめることができない場合はガイドラインを制定し、運用することをお勧めします。
BYODのガイドラインについての記事もありますので、是非一読ください
端末管理におすすめ!ISM CloudOne
弊社製品に、端末のセキュリティを高めることができるツールがあります。
BYODが求められる背景となった社内以外での端末利用も、場所を選ばないクラウド型なのでインターネットに繋がればどんな場所でも社内と変わらずに管理が可能です。
紛失時の遠隔での端末ロックや、企業に管理できないソフトウェアの制限、ウイルス感染対策など、そのほかにも情報漏洩の対策に利用できる機能が多く搭載されていますので、セキュリティに不安があるかたは是非ご確認ください!
