コロナ禍や働き方改革によりテレワークを導入する企業が増える中、個人端末を利用して業務を行うBYODのセキュリティリスクが問題視されています。本記事では、BYODの概要や導入企業が増えた背景、導入により起こり得るセキュリティリスクの種類を解説し、リスク対策に役立つ取り組みや導入したいシステムを紹介します。
BYODとは
BYODとは、Bring Your Own Deviceの略語であり、日本語では「自分の端末を持ち込む」という意味です。具体的には、個人が所有しているPCやスマートフォン、タブレットなどの端末を会社の業務に使用することをいいます。従業員は私物の端末を会社に持ち込み、必要なツールをインストールするなどの環境設定を行ってから業務に使用します。
BYODを導入する企業が増えている背景
2010年代前半に登場したスマートフォンやタブレット端末は瞬く間に企業の情報システム資産として利用されるようになりました。当時普及し始めたクラウドサービスとの親和性も高く、多くの企業が導入を検討しましたが、一方で端末が高価であったことから導入を進められない企業も多数存在しました。そこで登場したのがBYODです。従業員側が個人の端末を利用して仕事を行えば、企業側で業務用の端末を用意する必要もありません。こうした事情がBYODの導入を後押ししました。
その後端末価格の低下やセキュリティ上の問題によりBYOD導入は停滞しますが、新型コロナウイルス感染拡大の影響により、多くの企業でテレワークが普及したことも背景に、BYODは再度注目されています。
BYOD導入によるリスク
多くの企業で導入が進むBYODに対しては、導入によるセキュリティリスクを理解しておくことが大切です。ここでは、BYOD導入によるセキュリティリスクを3つに分けて解説します。
企業の情報が漏えいする恐れ
懸念されるセキュリティリスクのひとつが、情報漏えいです。個人端末ではインターネット接続が自由に行えるため、個人で利用するクラウドストレージにも業務で扱う情報が保存できてしまいます。また、従業員の離職時に個人端末のデータ確認を行えません。つまり、従業員が密かに機密情報などを個人端末に保存していたとしても、企業側には把握できないということです。家族や知人に業務の情報を見られてしまう、もしくは外部へ送信してしまうなどのトラブルがあれば、容易に情報の漏えいを許してしまうでしょう。
このように、個人端末は取り扱いにおける自由度の高さから、あらゆる場面で業務情報の漏えいリスクが高まります。
マルウェアに感染する恐れ
マルウェア感染リスクも大きな懸念事項です。個人端末は、ウイルス対策ソフトをインストールしていない恐れがあり、もしインストールされていても更新作業は従業員に依存します。また、自由にサイトを閲覧でき、さまざまなアプリのインストールも行えることから、会社で貸与する端末よりもマルウェア感染リスクが高まります。
従業員が気づかない間に個人端末がマルウェア感染してしまった場合に危険なのが、社内ネットワークへの感染拡大です。個人端末と社内ネットワークがつながることで感染が広がり、社内の重要なデータが大きな被害を受けてしまう恐れがあります。
端末の紛失や盗難の恐れ
紛失・盗難の恐れがあることも、個人端末を利用する際のリスクです。スマートフォンやタブレット端末は、手軽で持ち運びしやすい反面、外出先での紛失や盗難などの危険性も高くなります。特に、スマートフォンはプライベートな時間もよく利用することから、予期せぬ場所で紛失したり盗難に遭ったりする恐れもあるでしょう。この場合、端末から情報を盗まれるだけにとどまらず、社内ネットワークにアクセスされてさらに被害が拡大することも考えられます。
BYOD導入によって発生するリスクの対策方法
BYOD導入に際しては、リスクをできるだけ軽減させる取り組みが必要です。ここでは、さまざまなリスクへの対策方法を解説します。
社内教育を徹底する
BYOD導入によって起こるリスクの軽減には、社内教育を徹底させることが重要です。その手法として行うべきなのが、運用ルールやガイドラインの策定および従業員の教育です。ITやセキュリティに関する知識量は個人差がありますが、ルールやガイドラインを策定して遵守させれば、安全性が向上します。
ルールおよびガイドラインでは、BYODにおいて個人端末をどのように扱うべきか、やってはいけないことは何かを明確に示します。また、紛失や盗難が起こった場合の対処方法も明記しましょう。
認証におけるパスワードの設定・管理を徹底させることも重要です。企業側によるシングルサインオン(SSO)の導入もリスク対策になります。1度の認証で複数のクラウドサービスや業務アプリケーションにアクセスできることから、パスワードの漏えいリスクが低減し、管理も楽になります。
リモートアクセスを導入する
リモートアクセスの導入によってもリスクの軽減が期待できます。リモートアクセスとは、手元の端末で離れた場所にあるPCやネットワークに接続できる手法です。リモートアクセスを導入すれば、個人端末から企業のクラウドネットワークにアクセスして業務が行えます。個人端末内にデータが残らないため、業務用と個人用のデータが混同されなくなり、情報漏えいリスクも低減します。BYODを安全に使うための選択肢のひとつとして検討しましょう。
MDM(モバイルデバイス管理)を導入する
MDM(モバイルデバイス管理)の導入も効果的な対策のひとつです。MDMとは、スマートフォンやタブレット端末を一元管理・運用できるソフトウェアのことで、セキュリティの維持および強化するための機能が搭載されています。
MDMにおいて、セキュリティ対策に効果の高い代表的な機能は、遠隔地からのロックや初期化の実現です。紛失・盗難時にも、遠隔ロックを行うことで情報漏えい対策ができます。また、専用ネットワークを利用するVPN設定も行えるため、不正アクセス対策にも効果的です。さらに、一元管理が可能なため、必要なアプリのインストールやウイルス対策ソフトの更新状況の管理も一括で行えます。管理すべき端末が多い場合や、同レベルのセキュリティ対策を行いたい場合には導入が推奨されるシステムのひとつです。
まとめ
BYODは、個人所有の端末を業務で利用する取り組みであり、スマートフォンなどの高性能端末やクラウドサービスの普及、コロナ禍によるテレワークの拡大などが要因となり、導入する企業が増えています。その一方で、BYOD導入に伴う、情報漏えいやマルウェア感染、紛失・盗難といったセキュリティリスクの増大も懸念されています。
リスク対策として、BYODの運用ルールやガイドラインの策定などを行い、従業員の教育を徹底することが重要です。さらにリモートアクセスやMDM、などのシステムを導入することで、より効果的なセキュリティ対策が行えます。
一方で、個人用端末はあくまで従業員が保有する資産のため、できる限り企業側からの干渉を避けたいケースも存在します。そういった際には要件に応じて多様なセキュリティ対策を実装できる「HENNGE One」を導入してみてはいかがでしょうか。デバイス証明書によるアクセス制御のほか、端末にデータを残さずにメールやスケジューラーを閲覧できるHENNGE Secure Browserも提供されており、さまざまなリスクへの守りが強化されます。
