BYODに必要なセキュリティ対策とは？

更新日 : 2021年04月16日

働き方改革やBCP対策の一環として、テレワークの導入やICT環境の見直しを行う組織が増えています。

新型コロナウイルス感染症の拡大に伴い、テレワークを導入・実施せざるを得ない状況下になったことから、私物デバイスを活用した業務を許可した組織もありますが、そのまま使用し続けてはいませんでしょうか？

本日は、BYODの概要をおさらいしたうえで、安全にBYODを活用するポイントをご案内します。

BYODとは

BYOD (Bring your own device）とは、従業員が所有するパソコンやスマートフォンといったデバイスを業務に使用することを指します。

従来は、業務上で利用するICT機器は組織が従業員に貸与することが一般的でしたが、使い慣れた端末による働きやすさや端末導入コストの削減などの観点から、従業員が持つ私物のデバイスを業務に利用することを許可する流れが広まっていきました。

独立行政法人情報処理推進機構（IPA）「2015年度中小企業における情報セキュリティ対策に関する実態調査」によると、小規模企業の過半数（50.3%）が社員の私物端末の業務利用を認めている、という報告もありました。

ただ、総務省の調査によると、2018年時点でBYODを導入している組織は日本では20%に満たず、諸外国と比較すると決して高くはありません。

BYODのメリット・デメリット

メリット

使い慣れた端末を業務で利用することによる生産性の向上
- 従業員一人ひとりが使い慣れたデバイスを利用することにより、操作面でのストレスも少なく生産性向上が期待できます。
端末コストの削減
- 組織にとっては、従業員に配布する端末代や維持費が削減できます。
出勤が困難な日でも自宅で業務を遂行できる
- BYODで業務が遂行できれば、通勤困難な天候下でわざわざオフィスまで出社する必要もありません。

デメリット

端末の紛失や盗難などによるデータの損失や情報漏えいのリスク
- 私物の端末はプライベートで持ち歩くケースも多いため、紛失したり盗難の被害にあったりすると情報漏洩につながる恐れがあります。
私物端末のマルウェア感染のリスク
- 私物端末に適切なセキュリティ対策を行っていない場合、怪しいメールやWebサイトへのリンクをクリックすることでマルウェア感染の恐れがあります。
公私の切り替えが難しくなり、サービス残業や長時間労働につながるリスク
- BYODは「いつでも」「どこでも」業務が遂行できることがメリットですが、従業員にとっては講師の切り替えが難しくなり、長時間労働へつながるリスクもあります。

BYODをより安全に活用するためには

運用ルールの制定

BYODを業務利用する上での運用ルールを制定し、従業員へ周知させましょう。

運用ルールの一例

業務上利用しているデータは端末にダウンロードしないなど、私用端末の使用を許可する条件を明確化する
端末に必要な情報セキュリティ対策が施されていることを確認する
不正に改造した端末をテレワーク端末として業務に使用させない
カフェやサテライトオフィスなど不特定多数の出入りがある環境で業務を行う場合には、端末を他人に利用されないように注意する

セキュリティ対策を実施

昨今のサイバー攻撃は脆弱性をついた攻撃も多く、BYOD端末で利用しているアプリケーションやOSを最新バージョンにアップデートしましょう。

また、エンドポイントセキュリティ対策ソフトウェアも導入することをおすすめします。

未知・既知のマルウェアやエクスプロイト攻撃を防御するCortex XDR Prevent ＆ Cortex XDR Proをおすすめします。

Cortex XDR Prevent ＆ Cortex XDR Proの
製品紹介はこちら

シャドーITの横行や情報漏えいを防ぐ

利用を認めていない端末による業務遂行や情報漏えいを防ぐための対策も必要です。

考慮すべき点

社内で規定しているOSバージョンにアップデートしていない端末や、許可していない端末からのアクセスをブロック
社内で使用を許可していないSaaS製品の使用を防ぐ
紛失または盗難にあった場合にはデバイスを製造元の既定設定にリセット
会社関連データとビジネスアプリケーションを削除（プライベートデータは削除されない）

Microsoft Intuneではこのようなデバイス管理に役立ちます。

Microsoft Intuneでできることや
4つのメリットについて

セキュリティ意識の向上

BYODを利用する上では、従業員には高いセキュリティ意識が求められます。

具体的には、所属する組織で策定されているセキュリティポリシーを理解し、利用しているアプリケーションが最新バージョンになっているかどうかの確認や予測されやすいパスワードを使わないなど、日ごろからセキュリティ意識をしっかり持てるような教育が求められます。

セキュリティ教育は実施した後の効果が見えづらく、本当にセキュリティ意識が向上しているのかどうか判断しづらいこともあります。

ＪＢサービスでは、被害リスクの低減を可視化できるセキュリティ教育サービスをご提供します。

教育サービスSecuLiteracyの
サービス詳細はこちら

まとめ

BYODの概要と安全に使うためのセキュリティ対策をご紹介しました。

BYODには使い勝手の良さやコストの面で魅力はありますが、活用する上で対策をきちんと実施しないと、情報漏えいなどのトラブルが発生する可能性があります。

情報漏えいが発生した場合、社会的信用の低下や業務の一時停止、対策費用発生や損害賠償を請求される恐れもあります。リスクを可能な限り減らしたうえで、BYODを活用できるようにしましょう。

参考

セキュリティ教育サービスSecuLiteracy（セキュリテラシー）

見逃しがちなセキュリティ対策といえば従業員に対するセキュリティ教育です。SecuLiteracy（セキュリテラシー）とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援するセキュリティ教育サービスです。企業・組織のセキュリティレベルの向上・可視化を実現したい企業・組織の方々にお勧めしたいサービスです。

詳しく »