BYOD(Bring Your Own Device)とは、従業員の私物のスマートフォンやタブレット、ノートPCなどを業務に利用することで、「ビーワイオーディ」と読みます。

BYODには、「端末を新たに購入するコストを削減できる」「使い慣れた私物端末で効率的に業務が進められる」などのメリットがあります。

しかしその一方で、

●機密情報や取引先とのやり取りが私物端末に保管されることになるのでそれらを不正に持ち出される
●プライベートで不正なサイト・アプリを利用してしまい、マルウェアに感染してしまう
●勤務時間だけでなくプライベートでも持ち歩くことから紛失のリスクが高くなる

などの情報セキュリティリスクが増加するという懸念点もあります。

また、BYODとよく比較されるものとして、「CYOD」が挙げられます。

CYOD（Choose Your Own Device）は、企業側が指定した端末の中から使用したいものを選んで業務に利用することです。

BYODとCYODの最大の違いは、「自由度」です。CYODの場合、あらかじめ企業側で候補を絞っているので、自ずと従業員の選択肢も狭まります。
対してBYODの場合は、私物の端末を使用できるので、幅広い選択肢から選ぶことができます。

この記事では、BYODのメリット・デメリットやBYODのセキュリティを高めるための対策について解説します。

BYODとは

BYODとは「Bring Your Own Device」の頭文字を取った略語で、「ビーワイオーディ」と読みます。日本語では「自分のデバイスを持ち込む」ことを意味します。

BYODと言えばスマートフォンやタブレットなどのモバイルデバイスを指すことが多いですが、パソコンやその他の情報機器を指すケースもあります。
組織と従業員が合意の上で業務利用している私物デバイスであれば、BYODと考えてよいでしょう。

総務省の調査によると、世帯別のスマートフォン保有率は2010年に約10%であったのに対して2020年には80%を超えています。※1

BYODが広がる背景には、このように多くの人が高性能なデバイスを個人所有することになったこともひとつの要因であると考えられます。

近年ではBYODを意識したセキュリティサービスやBYOD運用ノウハウが充実しており、懸念されるセキュリティ面でも一定の対策をとれるようになりました。
そのため、BYODを実現する土台は一定のレベルで整っていると考えられます。

※1 参考：総務省「令和3年版情報通信白書」

BYODとCYODの違い

BYODとよく比較されるものとして、「CYOD」があります。
CYODとは、「Choose Your Own Device」の頭文字をとったもので、企業側が指定した端末の中から使用したいものを選んで業務に利用することを指します。

BYODとCYODの大きな違いは「自由度」です。

CYODの場合、一定の条件に基づき、企業側で候補を絞っているので、自ずと従業員の選択肢も狭まります。
対してBYODの場合は、私物の端末を使用できるので、幅広い選択肢から選ぶことができます。

CYODは自由度こそ低くなりますが、企業側でセキュリティ対策や使用制限などを行った上で提供できるので、セキュリティ面ではBYODより安心と言えるでしょう。

BYODのセキュリティリスク

BYODを導入することで、以下のようなセキュリティリスクが生じる可能性があります。

●情報漏洩
●マルウェア感染
●デバイスの紛失

情報漏洩

BYODは、以下の理由から情報漏洩が発生しやすい傾向にあります。

●個人のデバイスに業務データを保存できてしまう
●デバイスの機能に制限がかけられない

BYODは私物のデバイスを業務に利用するので、例えば個人のストレージに業務データを保存するといったことが容易にできてしまいます。

また、従業員が退職した際、私物デバイスは企業側に返却されないので、業務データや顧客情報が削除されず、そのままになってしまう危険性もあります。

場合によってはその情報・データが競合他社に提供されたり、ネット上で公開されたりすることも考えられます。

他にも、企業から貸与したデバイスと比べて企業側の管理が難しく、機能に制限できる範囲が限られる場合があります。

そのため、例えばBluetoothを常に有効にしていることで、不正なデバイスと接続されたり、脆弱性を悪用されたりして、悪意のある第三者にデバイスへと侵入され、情報漏洩につながる危険性もあります。

マルウェア感染

私物のデバイスを利用するBYODの場合、プライベートでダウンロードしたフリーのアプリや、閲覧した不正なサイトによってデバイスがマルウェアに感染する可能性があります。

またBYODでは、アンチウイルスの導入およびアップデートは、持ち主である従業員にゆだねられます。

そのため、アップデートが行われずに脆弱性を放置してしまい、マルウェアに感染してしまった、という事態にもなりかねません。

仮にマルウェアに感染した状態で社内ネットワークに接続すると、ネットワークを通じて感染が拡大してしまいます。

デバイスの紛失・盗難

私物デバイスは、当然ながらプライベートでも持ち運びするため、紛失・盗難のリスクが常について回ります。機密情報や会社のデータを含むデバイスを紛失することで、情報漏洩につながる可能性があります。

BYODのメリット

BYODの導入には下記のメリットがあります。

組織側のメリット

1.コスト削減

従業員へ貸与するデバイスの購入や通信費用といったコストが掛からなくなるため、コスト削減に繋がります。
回線契約や保証などの手続きも必要に応じて実施する形が基本となるため、管理部門の工数の削減も見込めるでしょう。

2.シャドーIT対策

個人のデバイスを業務利用に認めていないにも拘わらず、個人デバイスを用いた社内システムやクラウドサービスへのアクセスはシャドーITに該当し、情報漏洩に繋がる重大なセキュリティリスクとなり得ます。

BYODデバイスとして組織が把握し、必要なセキュリティ対策を施した状態であれば安全に従業員の個人デバイスを活用することができます。

従業員側のメリット

1.デバイス利用の学習コスト削減

会社から貸与される新しいデバイスの操作に戸惑ってしまう人も少なくありません。

効率化のためにスマートフォンなどのデバイスを貸与しても、従業員が操作に慣れるまでは業務を阻害する一因となる恐れもあります。

BYODであれば従業員が日常的に利用しているデバイスであるため、新しく覚えることは少なくなります。

2.持ち歩くデバイスの削減

業務デバイスを貸与されている従業員は、私物デバイスと業務用デバイスの2台持ちとなることが多いのではないでしょうか。

BYODであれば私物デバイスの1台に機能が集約されます。

手間や荷物の圧迫を解消でき、紛失や盗難のリスクの抑制にも繋がります。

このように、BYODには多くのメリットが存在します。一方で、BYODの利用には多くのデメリットやリスクも存在することを把握し、対策を講じる必要性もあります。個人所有のデバイスを業務に利用するためには、入念な準備と適切な運用が必要なのです。

BYODのデメリット

BYODはメリットだけではなく、デメリットも存在します。

組織側のデメリット

1.情報漏洩

セキュリティリスクの部分でも説明したように、BYODはデバイスの紛失・盗難や情報の不正な持ち出しなど企業側で完全に管理できないからこそ、さまざまな理由で情報漏洩が発生しやすいです。

2.従業員の労働状況が把握しにくい

BYODによって、従業員は時間や場所問わず業務が可能になります。

しかし、それは裏を返せば時間外労働を助長してしまうことにもなりかねません。

3.通信費用の負担に関するルールの策定が困難

BYODの場合、企業は業務利用で発生した分の通信費を負担することになります。

ただ、私的利用で発生したものと業務利用で発生したものをきっちり分けるのは難しいというデメリットがあります。

上記のようなリスク・デメリットは、後述する「MDM」や「MAM」を導入することで解決できる場合がほとんどです。

従業員側のデメリット

1.公私の分別がつけにくい

休暇中や業務時間外であっても私物デバイスに業務連絡が通知される、業務中に私物デバイスを操作するなど、仕事とプライベートの線引きが曖昧になってしまう可能性があります。

また、プライベートであってもBYODデバイスとして取り扱いに注意する必要があるため、煩わしさを感じてしまう従業員も存在するのではないでしょうか。

2.プライバシーが侵される恐れがある

BYODデバイスの管理方法は複数ありますが、選択した方法によっては、デバイスの位置情報を管理システムへ通知する、OSの更新状況を管理されるなど、自分の情報を組織に知られる状態になります。

組織から十分な説明を受けていない状態であれば不満を募らせてしまい、トラブルの原因となってしまう恐れもあります。こうした背景から組織貸与のデバイスを管理する手法とは別の管理手法を選択する必要があります。

コスト削減など魅力的なメリットが多いBYODですが、デメリットを無視して推し進めるとネガティブな結果に陥ることになりかねません。

入念に検討した上でBYODの導入を判断しましょう。

BYOD導入時に行うべきセキュリティ対策

デメリットの部分でも説明した通り、BYODを導入することで、セキュリティリスクが増加する危険性があります。

そのため、組織側は以下のようなセキュリティ対策をあわせて行うようにしましょう。

●アンチウイルスを導入する
●VPNを導入する
●MDMやMAMを活用する
●従業員へのセキュリティ教育を行う
●BYODポリシーを策定する

プライベートで閲覧したサイトやダウンロードしたアプリからマルウェアに感染するリスクを低減するためにも、各デバイスにアンチウイルスを導入するようにしましょう。

他にも、インターネット上に自社専用の仮想回線を構築し、通信を行う「VPN」を導入することで、セキュアなデータのやり取りなどが可能になります。

MDM・MAMについては、次の章で解説いたします。

上記のようなシステムの導入とあわせて行いたいのが、従業員へのセキュリティ教育とBYODポリシーの策定です。

セキュリティ意識には個人差があるため、セキュリティ教育によって適切な情報の取り扱い方や何が情報漏洩につながる危険なアクションなのかを従業員にしっかり周知・徹底する必要があります。

また、BYODは従業員の私物端末に対し、組織が少なからず介入することになります。

そのため、「組織が従業員の私物端末をどこまで管理するのか」「私物端末からどの情報にアクセスしてもよいのか」などが明確になっていないと予期せぬトラブルに発展してしまうことが考えられます。

そういった事態を避けるためにも、BYOD導入の目的や利活用の方針、BYODデバイスの利用を許可する範囲などをBYODポリシーに記載するようにしましょう。

BYODの活用を意識したセキュリティポリシーの策定については、こちらの記事で詳しく解説しています。

安全なBYODを実現するMDMとMAM

モバイルデバイスを管理するMDM(Mobile Device Management)やMAM(Mobile Application Management)を活用することで、BYODのセキュリティを高めることができます。

MDM

MDMは、モバイルデバイス自体を管理することで、デバイス情報の取得、リモートロック・ワイプなどの紛失対策、デバイスやアプリの利用制御などを行うことが可能です。

不正なデバイスの利用や紛失時の対応をシステム的に実施できるため、強固なセキュリティに繋がります。組織が貸与するデバイスにおいては、MDMツールで管理することが一般的ではないでしょうか。

しかし、MDMはMobile Device Management、その名の通りデバイスそのものを管理するツールとなるため、従業員がプライベートでインストールしているアプリ情報や位置情報まで取得できてしまいます。そのため、プライバシーに配慮したMDMツールのポリシー（業務時間外は位置情報を取得しない、アプリの情報は取得しない等）設定が求められます。

MAM

一方、「MAM」というツールも存在します。
デバイスそのものを管理するのではなく、デバイス内にインストールした業務用アプリを管理するためのシステムです。
デバイス内で業務用領域を作成する、業務データを暗号化して情報漏洩を防ぐといったアプリケーションレベルでの制御を行うことができます。

BYODにおいて、従業員のプライバシーを尊重することは非常に重要です。
デバイスを紛失してしまった際は、MAMにより管理している業務用アプリケーションや業務用領域のデータのみを削除することができます。

そのため、業務に利用するアプリに限定して制御を行えるMAMはBYODにマッチしたシステムと考えることもできます。

しかし、MAMツールは、MDMツールと比較して、ツールそのものの利用料金が高価になる場合もあります。先述のBYOD導入に伴う社内規定の整備、セキュリティリスクを低減するツールを活用したポリシーの設定、こうしたBYOD導入のための準備に加えて、それを維持していくための関連コストも検討時には留意する必要があります。

BYOD導入に伴うセキュリティリスクを低減したいなら「LANSCOPEエンドポイントマネージャークラウド版」にお任せ

MOTEXが提供する「LANSCOPE エンドポイントマネージャー クラウド版」なら、業務で使用するPCはもちろん、スマートフォンやタブレットといったモバイル端末を一元管理し、セキュリティを向上することが可能です。

LANSCOPE エンドポイントマネージャー クラウド版には、BYOD導入時のセキュリティリスクを低減できる以下の機能が備わっています。

▼機能の一例
●PC・スマホの「操作ログ」を自動で取得
●PC・スマホ・タブレットの利用状況を「レポート」で見える化
●あらかじめ決めたポリシーに基づく、「利用制限」や「アラート通知」
●万が一の紛失時に役立つ「リモートロック」「リモートワイプ」や「位置情報」の取得
●Windowsアップデートの管理

など

不正持ち出しや盗難・紛失による情報漏洩対策として欠かせないPC の操作ログは、最大5年分の保存が可能です。

またログ画面からは、アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続などについて、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など社員のPCの利用状況を、簡単に把握できます。

情報漏洩に繋がりそうな従業員の不正操作を、早期に発見し、インシデントを防止することが可能です。

また万が一、従業員が業務で使用するデバイスを紛失した場合も、遠隔で画面ロックや端末の初期化ができるため、第三者に情報を閲覧されるリスクを防止できます。

詳しい機能は、以下のページよりご覧ください。

コストとセキュリティのバランスを意識してBYODの導入を検討する

本記事では「BYOD」をテーマに、概要やメリット・デメリットなどについて解説しました。

BYODを導入する際は、従業員のプライバシーやワークライフバランスに十分配慮しながらルールを制定する必要があります。

その上でBYODの運用が行えるのであれば、組織と従業員双方のメリットを見込むことができます。

導入を急がず、入念な準備をすることがBYOD実現の第一歩と言えるのではないでしょうか。