BYODには、セキュリティリスクとして「情報漏えい」「従業員のプライバシー侵害」などが挙げられます。
企業側で端末を用意・管理するコストを省くことができたり、従業員側が使い慣れた端末で業務を行えることで生産性向上につながったりと、メリットの多いBYOD。
しかし、端末や従業員を脅威から守るためには、セキュリティリスクを正しく把握した上で、適切なセキュリティ対策を講じる必要があります。
本コラムでは、BYODのメリットとセキュリティリスク、セキュリティ対策などについてご紹介いたします。
BYODとは
BYODとは、Bring Your Own Deviceの頭文字を取ったもので、業務に従業員の私物の端末を活用することをいいます。端末の例としては、携帯電話、スマートフォン、ノートパソコン、デスクトップパソコンなどが挙げられ、たとえば、顧客先などへ訪問する際に私物のモバイル端末を使用したり、テレワークで自宅のデスクトップパソコンを使用したりすることが該当します。ハードウェアだけでなく、インストールされているソフトウェアを含むことも多いです。
携帯電話やスマートフォン、タブレット端末などモバイル端末の普及が急速に進み、業務でもモバイル端末が活用されるようになったことや、2020年に予定されていた東京オリンピック・パラリンピック開催、コロナ禍などによりテレワークが広がったことなどから、BYODも広がりを見せています。
BYODのメリット
BYODには、次の4つのメリットがあります。
コスト削減につながる
従業員の端末を業務に活用できるため、企業側で端末を調達したり運用したりする必要がありません。このため、購入や契約・解約、運用にかかる金銭コストや時間コスト、人材コストを削減することができます。
ただ、その分、負担が従業員側に回ってしまうため、企業側でBYOD手当などとして一部でも負担することが望ましいでしょう。
シャドーITの撲滅につながる
シャドーITとは、企業の情報システム部門などの管理者が把握していない端末やソフトウェアなどが業務に利用されることを指します。
シャドーITが生まれる大きな要因として、従業員側が、管理者側に認められている端末やソフトウェアだけでは利便性が低く、業務効率が悪いと不満を持っていることが挙げられます。これが、自分にとって使いやすい端末やソフトウェアを無断で使用する行為につながると考えられます。
BYODを導入することで、管理者側では端末の詳細を把握できるようになり、シャドーITを抑制することができます。
業務効率化につながる
「シャドーITの撲滅につながる」でもお伝えしたように、BYODで使用する端末は、従業員が自分自身で選んで契約したものであるため、機能や使い勝手の面で納得のいく端末であると考えられます。このため、従業員は業務を効率よくこなせるようになると期待できます。
一方、情報システム部門などでも、公式に端末を配布する際に必要な選定や購入・契約、管理などにかかる工数を大幅に低減できるため、管理者側の業務効率化にもつながります。
テレワークを導入しやすくなる
大規模災害やパンデミックといった万が一の事態でも業務を継続でき、従業員の満足度向上やウェルビーイング実現など、さまざまなメリットが得られるテレワーク。コロナ禍を機にテレワークの導入に踏み切ったという企業も多いでしょう。
ただ、テレワークを実現するためには、端末の確保と配布、情報セキュリティ対策、勤怠管理の体制整備など、さまざまな準備が必要になります。
BYODを導入することで、端末の準備にかかる工数を削減できるため、テレワーク導入のハードルを下げることができます。
BYODのセキュリティリスク
上記のように、メリットの多いBYODですが、情報セキュリティの面で見ると、次のようなリスクを抱えています。
情報漏えいのリスクがある
従業員の私用端末に対して、企業側が何も情報セキュリティ対策を講じずに業務活用すれば、端末内のデータが漏えいする恐れがあります。
原因となる事象としては、端末の紛失や盗難、マルウェア感染、操作ミス、内部不正による意図的な情報漏えい、ソフトウェアのアップデートを管理者側で管理できないことによる脆弱性の放置など、さまざまな原因が考えられます。
これらを防止して情報漏えいを阻止する必要があります。
従業員のプライバシーを侵害してしまう恐れがある
BYODの情報セキュリティ対策としてMDMを導入する企業は多いでしょう。MDMとは、Mobile Device Managementの頭文字を取ったもので、「モバイルデバイス管理」と訳され、スマートフォンやタブレットなどのモバイル端末を管理するソリューションのことです。
MDMを導入することで、社用端末とBYODの両方を一元管理できるようになります。 しかし、MDMがBYODに使用されている私用端末から位置情報や個人情報を収集してしまうことが、私用端末の持ち主である従業員のプライバシー侵害に当たる恐れがあるのです。
私用での利用が許可されていない社用端末であれば特に問題ないでしょうが、BYODに使用されている私用端末では、プライベート用途のインターネット検索を行うこともあります。MDMでは、この際の検索履歴や訪問ページも取得することができてしまうため、これをプライマバシーの侵害として嫌う従業員は少なくないはずです。MDMには、使用できるアプリケーションを制限できる機能などもあり、規制が厳格なものになりがちであるため、BYODとの親和性は低いかもしれません。
BYODのセキュリティ対策
上記のようなセキュリティリスクを排除するためには、次のような対策が有効です。
運用ルールを整備する
私用の端末であっても、業務に使用する以上、業務時間中は従業員側にルールを守って使用してもらう必要があります。従業員個人のモラルに任せず、具体的な禁止事項を決めるなど、詳細に明示しましょう。管理者側が取得できる情報(機種名・契約者名など)についても明らかにし、プライバシーへの配慮を明文化しておくことが大切です。
ルールを整備できたら、BYODのメリットやセキュリティリスクに関する研修を行い、最後に秘密保持契約書(NDA)などにサインしてもらうことで、従業員の情報セキュリティに対する意識を高めることができるでしょう。
EDRを導入する
EDRとは、Endpoint Detection and Responseの頭文字を取ったもので、日本語では「エンドポイント検出応答」と呼ばれます。
EDRでは、パソコンやタブレット、スマートフォンなどの端末でサイバー攻撃などの脅威を監視します。感染することを前提とした考えに基づくセキュリティソリューションで、感染後の対策に比重が置かれています。
たとえば、脅威が検知された場合は、端末をネットワークから遮断し、感染が拡大することを防ぐため、被害を最小限で食い止めることができます。
また、感染してしまった際は、その侵入経路や被害状況を分析する機能も搭載されているため原因が明確になり、以降のセキュリティ対策改善に活かせます。
MESを導入する
MESとは、Mobile Endpoint Securityの頭文字を取ったもので、Lookout社が提供する「Lookout」のソリューションの一つです。
Lookoutは、モバイルセキュリティ分野で業界をけん引するソフトウェアで、スマートデバイスへのサイバー攻撃に対する多層防御を提供します。
マルウェア、フィッシング、OSの脆弱性、不正ネットワークなどのあらゆる脅威からスマートフォンを多層防御することができ、業務利用の安全性を高められます。
まとめ
モバイル端末の普及やテレワークの浸透などから、私物の端末を業務に利用するBYODも広がってきています。
ただ、BYODには、情報漏えいや従業員のプライバシー侵害などの情報セキュリティリスクが潜んでいるため、適切なセキュリティ対策を講じる必要があります。
モバイル端末向けのセキュリティソリューションはさまざまなものがありますが、BYODにマッチしたものを選択する必要があるでしょう。
伊藤忠テクノソリューションズでは、モバイル端末を安全に業務利用するためのソリューション、MES機能を搭載した「Lookout」の提供と導入支援を行っております。
「Lookout」のMES機能では、法人向けスマートフォン用ウィルススキャンにより、マルウェアやフィッシング、OSの脆弱性、不正ネットワークなどのリスクから、業務用モバイルデバイスを強固に守ることができます。
「Lookout」の詳細については、こちらのページをご覧ください。