デジタルデバイスの普及や情報化の進展により、タブレットやスマートフォンといったデバイスを業務にて利用することが多くなっています。これに伴い、従業員の個人のデバイスを業務で利用するケースも増えてきています。従業員が個人で所有しているデジタルデバイスを業務に利用することを「BYOD」と言います。「BYOD」は、以前から存在していましたが、働き方改革や新型コロナウイルスの感染防止などによってリモートワークが増加し、再び注目されるようになりました。BYODの導入により、個人のデジタルデバイスを業務で利用するとなりますと、適切な情報セキュリティ対策を講じる必要性があります。
本記事では、BYODの導入におけるメリット、デメリット、リスクや情報セキュリティの対応策について解説します。
BYODとは?導入される背景
働き方改革の促進や新型コロナウイルスの影響により、積極的にリモートワークの導入を進めている企業が多くあります。その中で、BYOD」という言葉を目にしたことはないでしょうか。
BYODとは、「Bring Your Own Device」の略称になり、一般的には従業員が個人で所有しているスマートフォンやタブレット、PCなどのデバイスを日常の業務で利用することを指します。BYODが導入されている場合は、個人用のデバイスを職場に持ち込むだけではなく、社外や社内にて企業が扱っている情報(ファイルサーバー・電子メール等)へアクセスすることができるようになります。
近年、BYODが急速に進められている背景としては、従来の社内サーバの代わりにクラウドサービスを利用する企業が増加しており、それに伴い遠隔操作の便利性が向上しています。また、IT技術の進歩により、スマートフォンなどの各種デバイスの性能が向上していることが挙げられます。
IT技術の急速な進歩は我々の日常生活のみならず、企業の日々業務にも良い影響を及ぼします。このような背景でBYODの導入が増加していますが、企業の重大な機密情報が漏洩されるリスクが生じるため、経営者や内部監査部門としては、情報セキュリティ対策をしっかり取る必要があります。
BYODの導入におけるメリット
BYODの導入は、企業側にはコストの削減、従業員側には業務の効率化などの大きなメリットをもたらします。本節では具体的にどのようなメリットがあるかを解説していきたいと思います。
1.業務効率化の向上
従業員が使い慣れたデバイスを使うことで操作に迷うことなく、効率的に業務を進めることが可能になり、操作ミスも減ります。また、BYODを導入していれば企業側がデバイスを準備する手間なく、スムーズに業務を進めることが可能です。リモートワークに伴い、社外にでも業務に必要な情報を閲覧でき、メールの対応やスケジュール管理などが簡単にできます。BYODを導入すると、就業場所の制限がなくなり、いつでもどこでも必要に応じて業務ができるため、従業員の生産性や業務効率化を図ることができます。
2.企業におけるコストの削減
個人が持っているデバイスをそのまま利用することで、企業側が個人用のデバイスを支給する必要がなくなり、デバイスの購入や保守などの管理コストが削減可能になります。また、従業員自身がデバイスなので、操作面における指導や教育が不要となり、従来のIT部門による運用管理におけるヘルプデスクの工数削減も期待できます。
3.シャドー ITの対策
ユーザー部門が独自で導入したIT機器などのデバイスやアプリケーションなどを「シャドー IT」と言います。シャドーITは、企業側により適切に管理されておらず、許可されていないまま利用されている状態になりますので、BYODの導入によりIT部門は従業員のどのデバイスがどのように業務に利用されているかを管理できるようになります。そのため、今まで把握されていなかった個人のデバイスの利用状況を企業側で把握できるようになります。
上記のように、BYODを導入することにより、業務効率化、管理コストの削減、シャドーITの管理が可能といったメリットを享受することができるのです。
BYOD導入のデメリットと情報セキュリティリスク
BYODを有効に活用するためには、企業にもたらすデメリットや情報セキュリティ上のリスクを考慮しなければいけません。例えば、会社の重要な機密情報や顧客情報などが紛失・盗難されるリスクが生じる可能性があります。このような、新たに生じるリスクやデメリットを事前に把握のうえ、BYODの導入を検討する必要があります。
■デメリット
1.業務での利用とプライベートでの利用の区分が困難
2.従業員が利用しているデバイスがそれぞれ異なるため、統一管理が困難
3.個人デバイスへの情報セキュリティ対策ツールの導入による追加コストの発生
4.個々のデバイスに対する定期的なモニタリグが必要になり、セキュリティ管理の負荷が増加
■情報セキュリティリスク
1.情報漏洩:盗難や紛失による企業情報の漏洩や従業員の悪意による不正のリスク
2.従業員のプライバシー保護:従業員の個人情報が企業側に漏洩されるリスク
3.情報資産のウィルス感染:ウイルス対策ソフトの未導入によるマルウェアに感染するリスク
情報セキュリティ監査を有効的に実施するためには、上記のようなデメリットやリスクを事前に把握したうえで、進めて行くことが重要です。
BYODの導入におけるセキュリティ監査の対策
BYODの導入には、情報セキュリティリスクが発生するため、業務において私用デバイスの使用を禁止している企業も少なくありません。導入を検討されている企業や既に導入されている企業に向けて、情報セキュリティの観点から講じるべく対策をいくつかを紹介します。
1.アクセス管理・リモートワイプ
ユーザー・ネットワーク認証ツールを導入することで、許可されたユーザーやデバイスのみが社内環境にアクセスするようなセキュリティ対策が必要になります。また、システム管理の一環として、MDM(Mobile Device Management)の導入・活用がおすすめです。MDMはデバイス管理における一つのツールであり、指定したデバイスに内部ネットワークのアクセスを提供し、紛失した際に遠隔地からデータを削除することができます。
2.従業員のプライバシー保護
上述のMDMは、デバイス上の業務用領域とプライベート領域のアプリやデータを区分して管理できるため、従業員の個人情報の漏洩を防ぐことが期待できます。
3.ウィルス対策ソフトの導入
デバイスを私的利用時においてもウイルスの感染リスクが高まる可能性があるため、ウィルス対策ソフトの導入のうえ、定期的にアップデートすることを推奨します。
4.セキュリティポリシーの整備と周知
情報セキュリティにおける従業員の意識を高めるためには、社員教育が非常に重要になります。そのため、BYODの導入において、セキュリティポリシーや具体的な運用ルールを策定する必要があります。整備したルールについては、従業員へ徹底的な周知を行い、情報セキュリティにおける教育を定期的に実施することも不可欠です。
BYODの導入によって、業務の効率化やコストなどの面で大きなメリットがありますが、一方で情報漏洩などの情報セキュリティ問題や仕事とプライベート用の切り分けなどの課題も生じております。そのため、情報セキュリティ監査においては、BYODのリスクを把握し、運用ルールの周知などを講じたうえで、監査を進める必要があります。
まとめ
■BYODとは?導入される背景
・BYODとは、従業員が個人で所有しているスマートフォンやタブレットなどのデバイスを日常の業務で利用すること。
・導入背景として、クラウドサービスの利用による遠隔操作の便利性が向上や各種デバイスの性能が向上が挙げられる。
■BYODの導入におけるメリット
・就業場所の制限がなくなり、いつでもどこでも業務ができるため、従業員の生産性や業務効率化を図ることができる。
・個人が持っているデバイスをそのまま利用することで、企業側においてデバイスの購入や保守などの管理コストが削減可能になる。
・BYODの導入により、今まで把握されていなかった個人のデバイス(シャドー IT)の利用状況を企業側で把握できる。
■BYODの導入における情報セキュリティリスク
・情報漏洩:盗難や紛失による企業情報の漏洩や従業員の悪意による不正のリスク。
・従業員のプライバシー保護:従業員の個人情報が企業側に漏洩されるリスク。
・情報資産のウィルス感染:ウイルス対策ソフトの未導入によるマルウェアに感染するリスク。
■BYODの導入におけるセキュリティ監査の対策
・MDMツールを使ったデバイス管理で、紛失した際に遠隔地からデータを削除することができるだけでなく、業務とプライベートを区分することが可能となる。
・ユーザー認証やネットワーク認証のツールを導入することで、許可されたユーザーやデバイスのみが社内環境にアクセスするようなセキュリティ対策が可能になる。
・情報セキュリティの意識を高めるためには、就業規則の見直しや具体的な運用ルールを策定し、情報セキュリティにおける教育を定期的に実施する必要がある。
