BYODとは？セキュリティと課題

BYOD（Bring Your Own Device）ポリシーとは、従業員やその他のスタッフが個人のノートパソコンやスマートフォンを職場に持ち込み、それらを企業ネットワークに接続することを許可するものです。BYODは多くの企業で一般的であり、従業員は自分のデバイスをより快適に使えると感じるため、好んで導入しています。しかし、個人所有のデバイスを使用することは、組織のネットワーク環境の安全性を確保する上で課題となっています。したがって、企業データを盗難から保護するために、BYODポリシーを十分に定義する必要があります。

組織が所有するデバイスは、管理者がデバイスにインストールされているものを制御し、アップデートや設定の変更を強制的に行うことができるため、容易に制御することができます。BYODでは、管理者はサイバーセキュリティとデバイス所有者のプライバシーのバランスを取る必要があります。

BYODセキュリティにはいくつかの要素がありますが、いずれも独自のビジネス要件に合うように計画し、個人ユーザーのデバイスに侵入しすぎないようにする必要があります。健全なサイバーセキュリティ戦略を実施するためには、パソコンやスマートフォンからアクセスできるアプリケーションとアセットを決定する必要があります。また、デバイスに対して特定の最小限のセキュリティ制御を要求する場合もあります。

例えば、ユーザーはスマートフォンを使って電子メールに接続したり、他のビジネス特有のデータを収集したりすることがあります。ユーザーがネットワークに接続する前には、アンチウイルスソフトがインストールされていなければなりません。ウイルス対策アプリケーションは、マルウェアからデバイスを保護し、組織のコンプライアンスを維持します。この要求は、企業データを保護しながらも、ユーザーのプライベートなデバイスに干渉することはありません。

モバイルデバイスやスマートフォンの技術は急速に変化するため、サイバーセキュリティもその絶え間ない変化に対応する必要があります。イテレーションは通常、特定のトレンドに従います。そして、トレンドが流行れば流行るほど、攻撃者からの注目度は高まります。したがって、サイバーセキュリティの戦略もトレンドに沿ったものでなければなりません。

BYOD戦略も、ユーザーのプライバシーを侵害することなく、より良いインフラを開発するために変化しています。人気のあるBYODポリシーのトレンドとしては、以下のようなものがあります。

• デバイスの要件: ユーザーは、最低限サポートされているオペレーティングシステムと、指定されたデバイスメーカーのリストを使用している場合にのみ、ネットワークリソースに接続することができます。この要件により、隠れたマルウェアや古いオペレーティングシステムからの攻撃を回避することができます。
• デバイスを紛失した場合は直ちに報告: 理想的なのは、ユーザーがリモートワイプ機能をインストールし、デバイスの紛失や盗難の際にビジネスデータを保護することです。リモートワイプ機能がない場合でも、ユーザーがデバイスを所持しなくなった場合は、すぐに報告する必要があります。
• BYODプライバシーポリシー: すべてのBYODポリシーは、ユーザーが自分のデバイスを職場に持ち込むために、何をインストールし、設定しなければならないかを完全に理解できるように、透明性を確保する必要があります。BYODポリシーには、デバイスからネットワークにリモートで接続することも含まれます。

• モバイルデバイスは、従業員にタスクを完了させるインセンティブを与えるため、従業員は年間240時間余分に働いています。
• 電子メール、カレンダー、連絡先管理は、従業員にとって最も有益なBYODの機能です。
• 職場でスマートフォンを使用すると、生産性が34％向上します。
• モバイル性の向上と労働時間の延長が、雇用者にとっての2大メリットとなっています。

• リモートワーク機能を持つ従業員は、勤務時間により多くの仕事をこなすことができます。
• 80％以上の企業がBYODを推奨しています。
• 組織は、生産性の向上により、従業員1人当たり年間350ドルの価値を生み出しています。
• 61％の企業が、携帯電話を支給していない場合でも、従業員がリモートワークできることを期待しています。

BYODポリシーをまだ導入していない企業は、どこからどのように開始すればよいのか、ガイダンスを必要とすることがよくあります。BYODポリシーとは、従業員がスマートフォン、ノートパソコン、タブレット、またはその他のモバイルデバイスを職場に持ち込むことを認めるものです。約80％の企業がBYODポリシーを支持しており、ほとんどの従業員がポリシーを活用し、少なくとも1台の個人用デバイスを使用して業務用アプリケーションやデータにアクセスしています。

BYODポリシーは従業員の生産性を向上させるかもしれませんが、その最大の課題は、ビジネスデータを保護するために必要なサイバーセキュリティです。企業はデータを保護しながら、従業員がビジネスデータにアクセスできるようにする基準を確立するために、さまざまなポリシーや戦略を策定することができます。

BYODの仕組みのバックボーンは「許容される使用」ポリシーを確立することにあります。このポリシーは、企業の業界やコンプライアンス規制によって異なります。例えば、医療機関では、患者データに関する厳しい規制を遵守し、アクセスには特定の制御を行うことを保証する必要があります。同じことが、顧客の銀行情報を保管する金融機関にも言えます。

データへのアクセスに関するポリシーは、以下を含むべきです。

• 閲覧制限のあるWebサイトやデータへのリモート接続はすべて仮想プライベートネットワーク（VPN）を利用すること。
• 電子メール、カレンダーの予定、メッセージング、ビジネスコンタクトなど、デバイスからアクセス可能なアプリケーションについて。
• 機密情報を盗むために使用される可能性のあるマルウェアが誤ってインストールされないように、不正な素材の送信や保存を禁止すること。

コンプライアンス組織は、しばしば監視を要求します。個人は通常、デバイスに監視ソフトウェアをインストールすることはありませんが、ビジネス環境では必要です。管理者は、デバイスにリモート管理ツールをインストールすることで、盗難や紛失の際のアクセスを可能にすることができます。また、管理者はデバイスのソフトウェアにアップデートをインストールし、古くなったアプリケーションによる脆弱性を回避することができます。リモートソフトウェアは、デバイスに保存されたデータをバックアップするもので、これもコンプライアンス規制の要件となっています。

ポリシーを策定し、文書化したら、次のステップは、従業員にガイドラインを周知することです。また、強固なポリシーは、ポリシーの要件が不要または不完全であることが証明された場合、レビューや教訓を得た後に更新や変更を必要とします。

BYODポリシーは、雇用者と従業員の双方にメリットがあります。企業にとっての主なメリットは、運用コストの削減です。従業員が自分のデバイスを使用することで、企業はデバイスを購入する必要がなくなり、数千ドルのコスト削減が可能になります。スマートフォンの電話代やデータプランのサービス料金を支払う雇用主は珍しくありませんが、それでもこのコストはハードウェアのコストより低くなります。

従業員が使い慣れたデバイスを使用することで、生産性が向上します。また、従業員が使用するデバイスは、それぞれの業務に最も適した状態に設定されているため、従業員は自分の好みに合わせてデバイスを設定する必要がありません。デバイスの仕組みを学ぶ必要がなく、自分のペースでアプリケーションを学ぶことができるため、教育コストが削減されます。

従業員が最新技術を望めば、新しいデバイスを購入し、業務を継続するために必要なビジネステクノロジーも向上します。新しいデバイスを購入する代わりに、組織は従業員の最新技術を活用することで、生産性の向上や他の従業員への最新トレンドの紹介に役立てることができます。

BYODにはメリットもありますが、課題もあります。組織は、BYODポリシーを計画し、実施する前に、これらの課題を考慮する必要があります。

直面する可能性のあるいくつかの課題をご紹介します。

• コミュニケーション不足: サイバーセキュリティポリシーと同様に、BYODポリシーも十分に周知する必要があります。ユーザーがポリシーを理解していない場合、ミスコミュニケーションにより、不適切なBYODの使用につながる可能性があります。例えば、ウイルス対策ソフトウェアなど、インストールが必要なアプリケーションを明確に定義しないと、ユーザーが自分のデバイスで適切なサイバーセキュリティ保護を受けられなくなる可能性があります。
• デバイスの紛失・盗難: ユーザーはデバイスを職場に持ち込むため、企業の個人情報が入ったデバイスを紛失したり、盗まれたりする可能性があります。BYODポリシーの中には、機密データを消去するために、デバイスにリモートワイプのアプリケーションを搭載することを義務付けているものもあります。AppleのiPhoneなど一部のデバイスはストレージを暗号化していますが、ノートパソコンやタブレット端末では、デバイスの紛失や盗難からデータを保護するために、ストレージの暗号化を追加設定する必要があるかもしれません。
• デバイスの接続: 無料Wi-Fiホットスポットへの接続はデータ通信量の節約になるため、多くのモバイルデバイスユーザーが旅行先でホットスポットを探しています。攻撃者は、無料Wi-Fiホットスポットのエリアに着目し、ユーザーを騙して悪意のあるホットスポットに接続させようとします。このような悪意のある接続から保護し、データの盗聴を防ぐには、企業認定の仮想プライベートネットワーク（VPN）への接続をユーザーに義務付けることが必要です。
• 悪意のあるアプリケーション: ユーザーは自分のデバイスに好きなアプリケーションをインストールする自由がありますが、これでは悪意のあるアプリケーションやマルウェアに対してデータが脆弱なままになってしまいます。このようなスマートフォンは、オペレーティングシステムの保護機能が組み込まれていないため、データ漏洩の危険性が高くなります。
• オープン、ロック解除されたデバイス: デバイスのロックを解除し、暗証番号の使用を避けることを選択するユーザーもいますが、これは誰でもデバイスを持ち出し、データを盗むことができることを意味します。BYODポリシーでは、ユーザーがデバイスにPINまたはパスワードを保持することを義務付けることで、データと攻撃者の間にセキュリティレイヤーを追加しなければなりません。

BYODユーザーを許可することのリスクは、組織が直面する可能性のある課題に直接関連します。例えば、BYODの課題の1つはデータを盗難から保護することですが、ユーザーが企業データをデバイスに保存することを許可することによっても、そのリスクに直面することになります。マルウェアもリスクですが、適切なアンチウイルスソフトを使用して阻止することができます。

コンプライアンスは、最も重要なリスクの1つです。万が一、盗難や悪用されたデバイスから機密データが盗まれた場合、企業はコンプライアンス違反や顧客のプライバシー侵害を理由に訴訟問題に直面する可能性があります。訴訟から身を守るにはコストがかかり、ブランドの評判を落とすことで収益にも影響を及ぼしかねません。

ユーザーは通常、自分自身のデバイスを理解していますが、モバイル管理は管理者ではなくユーザーの手に委ねられています。不適切なモバイル管理は、ユーザーが一般的な脅威を阻止する方法を知らない場合、デバイスがマルウェアやその他の悪意のある攻撃に対してより脆弱になることを意味します。

管理者がBYODを監視しない場合、シャドーITに対して脆弱な環境となる可能性があります。シャドーITデバイスとは、ネットワークへの接続が許可されていないユーザーのノートパソコン、スマートフォン、タブレット端末のことです。これらのデバイスは、悪意を持ってネットワークに接続され、データが流出したり、トラフィックが盗聴されたりする可能性があります。

効率的なBYODポリシーの策定には数カ月を要することがありますが、より優れた戦略は容易に伝達され、データを保護することができます。ポリシーに含める必要があるすべてのものを決定するために支援が必要な場合があり、専門家が行動計画の確立を支援できます。

BYODポリシーを策定するためのいくつかのヒント:

• セキュリティポリシーの策定: データの保護は、優れたBYODポリシーの最も重要な要素の1つです。デバイスにインストールされているサイバーセキュリティ保護のあらゆる側面をマップ化し、仮想および物理的な攻撃に対して脆弱にならないようにします。
• 利用ガイドの作成: AUP（Acceptable Usage Policy）は、組織が承認したウェブサイト、ソフトウェア、ネットワーク接続を定義するものです。
• リモート管理ソフトのインストール: 管理者は、ソフトウェアのパッチ適用や盗難後のデータのリモートワイプができなければなりません。リモート管理ソフトウェアにより、管理者はデバイスにアクセスし、アップデートを後押しすることができます。
• 多要素認証（MFA）の導入: 万が一、攻撃者がデバイスにアクセスした場合、攻撃者は企業のアプリケーションやデータにアクセスするための両方の認証要素を持つことはできません。
• 定期的な従業員教育: ユーザーは、一般的な攻撃と、脅威がモバイルデバイスからデータを盗む方法について知っておく必要があります。トレーニングは、情報漏えいのリスクを軽減するのに役立ちます。

• ポリシーの詳細を書き出す: AUPとBYODポリシーのすべての側面は、ユーザーと管理者のために定義され、文書化される必要があります。
• アイデンティティ管理を導入する: アクセスコントロールとID管理を導入し、許可されたユーザーのみがデータにアクセスできるようにします。
• 従業員のプライバシーを守る: デバイスの所有者はユーザーであるため、ポリシーは企業のデータのみに影響し、デバイスの所有者の個人情報には影響しないようにすることを忘れないでください。

• 従業員を教育する: 従業員がベストプラクティスとデバイスを安全かつ確実に使用する方法を認識できるようにします。
• リモートデータのワイピングを行う: 万が一、ユーザーがデバイスを紛失した場合は、できるだけ早くデータを消去できるよう、すぐに紛失を報告するように従業員を教育する必要があります。
• 出口戦略を持つ: 従業員が退職する場合、そのデバイスは会社のアプリケーションにアクセスする権限を失い、会社のネットワーク接続を無効にする必要があります。