意外と知らないBYODのリスク 情報漏洩につながる3つのポイントは?

今では取り入れている企業も多いであろう「BYOD」

社外で働く状況が増えたことで、BYODという手段をとった企業も多いのではないでしょうか。

しかしBYODにはメリットがある反面、大きなデメリットも存在します。緊急事態宣言で働き方が変化し、急遽端末が必要となりBYODを利用した企業も、そろそろデメリットに目を向けBYODをこのまま利用するかを検討する時期にきていることと思います。

 

BYODは継続しても問題はない?

BYODは利用を継続するべきなのでしょうか。

結論から申し上げると、BYODは正しくリスク管理ができていなければ今後利用するべき継続すべきではありません。

セキュリティリスクを理解した上で対策をとっているのであれば継続利用も可能ですが、未対策の場合いつ情報漏洩が発生してもおかしくはありません。

本コラムではセキュリティ対策を行っていないBYODをなぜ利用するべきではないか、その危険性を合わせてご説明します。

 

 

BYODのリスクは?

情報システム部がBYODのデメリットで最も注意しなければならないのは、情報漏洩です。

情報漏洩はBYODに限った話ではありませんが、BYODを利用することでリスクは高まってしまいます。

BYODを利用することで情報漏洩に繋がりかねないリスクは大きく3つあります。

 

端末の紛失による情報漏洩

1つ目が端末の紛失による情報漏洩です。

BYODは性質上、プライベートでも同じ端末を利用することになります。今までは社外に持ち出すことはなかった端末が、自分のプライベート端末を業務用に利用することで平日、休日を問わず持ち出されます。そのため、持ち歩きの頻度がより高くなり、紛失のリスクが増加することは理解いただけるかと思います。

通常会社から支給される端末であれば遠隔で端末をロック、さらにはデータの削除などの対策をあらかじめ立てているかとは思いますが、BYODは管理ツールを入れられることがプライバシーの侵害であると考える人もいるためツールの導入が難しく、放置されていることも多くあります。そのため万が一端末を紛失してしまった場合に対策が取れず、情報漏洩が発生してしまうことも想定できます。

このような理由から、BYODは通常の持ち出し端末と比べ紛失時の情報漏洩リスクが高まっていると考えられます。

 

シャドーITからの情報漏洩

2つ目がシャドーITからの情報漏洩です。

シャドーITとは企業によって管理されずに業務で利用されているデバイスやソフトウェアのことです。

企業によって管理された端末であれば、業務に不要なソフトウェアは利用を制限することができます。しかし、BYODといったプライベートで使う端末は企業にとって不要であるという理由だけでソフトウェアの利用を制限することは難しく、多くの場合必ずしも業務に必要ではないソフトウェアが制限をかけられず放置されています。ソフトウェアの中にはクラウドストレージサービスやメッセンジャーソフト、ファイル交換ソフトなど、利用時の操作ミスで情報漏洩が発生してしまう恐れがあったり、マルウェアが仕込まれた悪意のあるソフトウェアなどがあることも想定されます。そのため、一見便利だからと業務に使い続けていればいつかは情報漏洩が発生してしまうことは想像に難くありません。

 

ウイルス感染などによる情報漏洩

3つ目がウイルス感染などによる情報漏洩です。

ウイルス対策ソフトがプライベート端末にインストールされており、最新のバージョンにアップデートされていればマルウェア等が仕組まれたサイトにアクセスしたとしてもウイルス感染を防ぐことが可能です。

管理ツールを利用していれば、ウイルス対策は利用者に委ねることなく管理者が一元で管理することが可能なものもありますが、BYODの端末であればソフトウェアのアップデートなどは利用者個人に委ねられるため、アップデートがおろそかになっていた場合ウイルスに感染してしまいます。

その結果、端末内にある情報が漏洩してしまうことはもちろん、ウイルスに感染したまま社内ネットワークに接続することで、社内のデータが全て漏洩したり、暗号化されてしまうことも実際に起こっています。 

このように、これら3つの理由がBYODを利用する上で、通常の企業で管理されている端末を利用する場合よりも高くなってしまう情報漏洩のリスクです。

これらのリスク対策が出来ないのであれば、セキュリティ上の観点からBYODは使うべきではないと言わざるを得ません。

 

重要なのはセキュリティに対する正しい知識

BYODは管理が杜撰なまま利用するべきではないということはご理解いただけたかと思います。

しかしBYODをやめたからといって、企業で用意した端末であればセキュリティに問題がないかというと、それはまた別の話です。

企業で用意した端末であっても、セキュリティのことを正しく理解し運用しなければ管理されていないBYODと同じセキュリティリスクを抱えることとなってしまいます。

企業が用意した端末を利用することのメリットとして、BYODに比べて管理ツールを導入しやすいという面がありますので、セキュアな環境を用意するためにもまずはご自身でセキュリティについて調べ、必要なツールはなにかというものを考えてみることをお勧めします。

 

テレワークのセキュリティ対策を強化するための3ステップ

情報漏洩リスク対策3選と社内セキュリティシステム

 

 

また、どうしてもBYODの運用を強く希望していたり、またはやめることができない場合はガイドラインを制定し、運用することをお勧めします。

BYODのガイドラインについての記事もありますので、是非一読ください

BYODガイドラインとセキュリティ対策、テレワーク時代の私的端末利用とは

 

 

端末管理におすすめ!ISM CloudOne

弊社製品に、端末のセキュリティを高めることができるツールがあります。

BYODが求められる背景となった社内以外での端末利用も、場所を選ばないクラウド型なのでインターネットに繋がればどんな場所でも社内と変わらずに管理が可能です。

紛失時の遠隔での端末ロックや、企業に管理できないソフトウェアの制限ウイルス感染対策など、そのほかにも情報漏洩の対策に利用できる機能が多く搭載されていますので、セキュリティに不安があるかたは是非ご確認ください!