Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
高性能なスマートフォンを多くの方が所持している現代では、従業員の私物デバイスをビジネスシーンで利活用するBYODも珍しくなくなりました。
柔軟な働き方に対応しながらコスト削減も見込めるBYODですが、安全に業務を遂行するためにはBYODを意識したセキュリティポリシーを策定することが大切です。
この記事では、BYODを導入するにあたり必要となるセキュリティポリシーについて解説します。
BYODとは
BYODとは 、Bring Your Own Deviceの頭文字を取った略語で、従業員が個人で所有しているスマートフォンなどのデバイスを業務に活用することを指します。
BYODにはメリットも多くありますが、デメリットも存在します。
BYODのメリット
従業員の端末を業務に利用することで、デバイスに関わるコストの削減やテレワークへの対応に繋がることが大きなメリットです。
従業員も使い慣れたデバイスを業務に利用できるため、学習コストの削減に繋がります。
BYODのデメリット
BYODで活用する従業員所有の端末は、従業員のプライベートでも使用されます。
プライベートの知人の前でデバイスの画面を表示する、業務連絡を誤った宛先に送信してしまうなどのセキュリティリスクが存在するため、組織は対策を講じる必要があります。
また、業務とプライベートの線引きが曖昧になる恐れもあります。
従業員によっては、それがストレスとなってしまうケースも考えられるため、BYOD導入の際は十分な説明と従業員の合意を得る必要があるでしょう。
BYODの導入が、自組織にとってどのようなメリット・デメリットがあるのかを事前に把握し、十分に検討しましょう。
BYODを導入する際は、BYODがどのようなものかを把握して自組織での運用を検討することが大切です。
こちらの記事でBYODのメリット・デメリットや、セキュリティ対策について詳しく解説していますので、併せてご覧ください。
BYODを意識したセキュリティポリシー
安全に BYOD運用を行なうためには、実際の運用に即したポリシーの策定が必要です。
BYODを始めるにあたり、まず思い浮かぶ懸念事項としてセキュリティが挙げられるのではないでしょうか。
適切なポリシーを策定せずにBYODを運用すると、深刻なセキュリティインシデントを引き起こす危険性があります。
BYODポリシーは、組織がBYODを開始するにあたり想定されるリスクや脅威を分析し、それに対してどのような方針で対応するのか定めたセキュリティポリシーといえます。
モバイルセキュリティ
組織でモバイルデバイスを利用するのであれば、モバイルセキュリティ環境を整える必要があります。
社外に持ち出す機会の多いモバイルデバイスには、紛失や盗難、意図せずに安全性の低いフリーWi-Fiに接続するなど、特有のリスクがあるためです。
また、業務利用しているモバイル端末には、組織の機密情報が大量に保存されているケースがあります。
オフィス内のパソコンとは異なるシチュエーションで利用するモバイル端末の場合、その特性を意識したセキュリティ対策を施すことが大切です。
モバイルセキュリティ環境を構築するためには、一般的にMDMやMAMなどのデバイス管理ツールを活用します。
モバイルデバイスの安全な活用については、こちらの記事でも解説していますので、併せてご覧ください。
デバイス管理ツールなどのモバイル向けセキュリティは、組織が貸与するデバイスとBYODデバイスのどちらでも活用できるものが多いです。
BYODを導入するのであれば、モバイルセキュリティ対策は必須と言っても過言ではありません。
BYODポリシーを構成する要素
実際にBYODポリシーを定めるためには、どのような要素が必要なのでしょうか。
ここでは、 BYODポリシーを構成する要素の例を紹介します。
- BYOD運用の方針
BYOD導入の目的や利活用の方針を文書化します。
BYODデバイスはあくまで従業員個人の所有物です。
組織が従業員のデバイスをどこまで管理するのか、従業員はそれによりどのような影響を受けるのかを明確にし、従業員の理解を促します。
また、BYODポリシーに違反した場合の処罰を明文化することも大切です。 - BYODデバイスの利用方法
BYODデバイスの利用を許可する範囲を明確に記載します。
アクセスできる情報の種類や業務範囲を定め、機密情報へのアクセスや共有をコントロールすることが大切です。
以下の内容が考えられます。
・業務連絡は組織が指定したビジネス向けコミュニケーションツールを利用する
・機密情報へのアクセスは閲覧を目的とし、端末への保存を禁止する
・安全性が確認されていないアプリのインストールを禁止する - BYOD活用するデバイスの基準
モバイルデバイスには多くの種類があり、旧型の機種では最新のOSに対応しておらず、セキュリティリスクを抱えているものも存在します。
BYODとしての利用を許可する基準を定め、全従業員に周知しましょう。
利用可能なデバイス一覧表の作成や、IT管理部門が適宜判定する体制を構築することも大切です。 - BYODデバイスのセキュリティルール
パスコードの設定やマルウェア対策ソフトの導入をルール化します。
個人利用のスマートフォンは、ウイルス対策ソフトをインストールせずに利用するケースがしばしばです。
しかし、スマートフォンがマルウェアに感染しないわけではありません。
ビジネスに利用して組織の機密情報にアクセスすることを想定するBYODであれば、組織のセキュリティ要件を満たすための対策を施す必要があります。
BYODを導入する前に、組織がBYODをどのように捉え、運用するのかを明確にしましょう。
BYODポリシーを正しく機能させるためには
組織が適切なポリシーを制定しても、従業員に対して意図や意味を正しく伝えることができなければ効果は半減してしまいます。
BYODデバイスは従業員のプライベートでも利用するため、十分なセキュリティ意識を日常的に持っていなければ、重大なセキュリティインシデントに直結する可能性があります。
また、BYODは従業員の所有物に対し、組織が少なからず介入することになります。
BYODポリシーへの理解が不十分な場合や認識に齟齬がある場合は、予期せぬトラブルが発生する可能性もあるでしょう。
デバイスの取り扱いを従業員に任せるだけではなく、リテラシー教育の実施や理解度チェック、注意点をまとめた資料の配付など、組織によるフォローを継続して行なうことが大切です。
安全なBYOD運用を実現するために
組織が適切な運用を確立し、従業員の理解を得ている状態であれば BYOD はコストの削減や業務の効率化を実現できます。
そのためには、組織の適切な BYODポリシーと従業員のセキュリティ意識の両立が必須です。
BYOD導入にあたり、組織としてどのような運用を行えるのか、継続的にポリシーを改善し、従業員の理解を促進できるのか十分に検討する必要があります。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
