こんにちは。スプラッシュトップ編集部です。
働き方改革やテレワークの浸透により、BYODを検討・導入する企業が増えています。BYODにはコスト削減をはじめとするさまざまなメリットがありますが、セキュリティリスクが高まることも事実です。
BYOD導入の際には、セキュリティリスクを十分に考慮し、正しい対策を行うことが重要です。また、セキュリティ対策をしている場合でも、サイバー攻撃の手口は年々巧妙になっているため、定期的に見直す必要があります。
この記事では、BYODの概要からセキュリティリスクとその対策、安全に運用していくためのポイントなどについて解説します。
BYODとは
BYODとはBring Your Own Deviceの略で、従業員が私物のPCやスマートフォン、タブレットなどの端末で業務を行うことを指します。
かつてはモバイル端末の所有率や性能の問題から、会社に行かなければ仕事ができない状況がありましたが、現在はモバイル端末の進化や普及、さらにクラウドサービスの企業利用も進んでいるため、私物端末でも十分に業務を行うことが可能になりました。
近年ではテレワークの推進もあり、多くの企業に注目されています。
BYODのメリット
BYODの代表的なメリットを3つ紹介します。
まず一つ目は、コスト削減です。従業員が自分の端末を使用するため、企業は新たに端末を用意する必要がなくなり、端末や維持にかかるコストを抑えることができます。
二つ目は、生産性の向上が期待できることです。従業員は使い慣れている端末を使用できるため、端末やOSの違いによる操作面でのストレスが解消され、作業効率が向上する可能性があります。また、スマートフォンやタブレットを使用して業務を行うことができるため、移動時間を有効に活用することができます。
三つ目は、BCP対策にも有効なことです。災害などにより従業員が会社に行けなくなった場合でも、自宅から私物の端末で重要な業務を継続したり、取引先への連絡を行ったりすることで、事業に与える影響を最小限に抑えられる可能性があります。
BYODのセキュリティリスク
導入することでメリットも多いBYODですが、セキュリティリスクがあることも忘れてはいけません。ここでは、BYODのセキュリティリスクを3つ紹介します。
マルウェア感染
BYODの場合、私物端末を会社で管理することが難しいため、マルウェア対策のソフトを導入することや更新するといった作業は、基本的に従業員自身で行うことになります。
マルウェア対策が不十分で、ウイルスに感染した端末が社内ネットワークに接続してしまうと、感染が拡大し社内の機密情報が漏えいしてしまうなど、重大な問題につながる可能性があります。
端末紛失や盗難
スマートフォンなどのプライベートで持ち運ぶことの多い私物端末は、紛失や盗難に遭うリスクが高くなります。
特に、私物端末はパスワード保護が十分でない場合があり、紛失した際に端末のロックが簡単に解除される可能性があります。
悪意のある人に端末が渡ってしまった場合には、不正アクセスや情報漏えいの被害につながる恐れがあります。
シャドーIT
シャドーITとは、会社から正式な許可なく私物端末を使って業務を行うことです。BYODにより私物端末での業務を行うことが一般的になり、会社が許可していない端末でも、少しの利用なら問題ないという軽い気持ちで業務に利用されることが考えられます。
企業側では許可していない端末を管理することができず、適切なセキュリティ対策が実施できないため、セキュリティリスクが極めて高くなります。
BYODのセキュリティ対策
BYODのセキュリティリスクについて把握したところで、具体的な対策方法を紹介します。自社の導入状況に合わせて適切なセキュリティ対策を講じるようにしましょう。
MDM・MAM・MCMの導入
MDMはMobile Device Managementの略で、モバイル端末を一元管理できるソフトウェアです。私物端末を紛失・盗難した際に、企業側のシステムから私物端末をリモート制御できるほか、デバイス機能の管理、各種ポリシー設定やアプリケーションの一括配布も行えます。
MDMは端末全体に影響するため、従業員のプライバシー保護を考慮すると、業務で使用するアプリのみを管理できるMAM(Mobile Application Management)や業務に関するデータのみを管理するMCM(Mobile Contents Management)の活用が望ましいでしょう。
DLPの導入
DLPはData Loss Preventionの略で、機密情報などの漏えいを防ぐためのシステムです。機密情報や重要データを識別し、対象データの送信・コピーの制限や監視することができます。
メモ帳など業務効率化のために使われるアプリケーションは、従業員によって種類が多岐にわたっているため、MDMやMAMで制限されていることがあります。しかし、DLPであれば、従業員は使い慣れたアプリケーションをそのまま利用できるため、作業効率を落とすことなくセキュリティを確保することが可能です。
EPP(ウイルス対策ソフト)の導入
EPP(Endpoint Protect Platform)は一般的にウイルス対策ソフトと呼ばれていて、マルウェアが端末に侵入することを防ぎます。
私物端末は、プライベートでのサイトの閲覧や個人メールの使用などにより、ウイルスに感染するリスクが高くなります。BYODに使用する端末には、企業側で指定したウイルス対策ソフトの導入を徹底するのが良いでしょう。
EDRの導入
EDR(Endpoint Detection and Response)は従業員が利用する端末での不審な挙動を即座に検知するソフトウェアです。
感染の発覚を目的としているため、感染防止をすることはできません。ただし、ウイルス対策ソフトで防ぐことのできないマルウェアをいち早く検知できることで、迅速に対処することができ、感染後の被害を最小限にとどめることができます。
リモートデスクトップの導入
リモートデスクトップは、遠隔地から社内サーバーやPCにアクセスする技術です。社内PCなどの画面情報を手元の端末に転送する画面転送技術を利用することで、従業員は離れた場所から社内PCを使用することができます。
リモートデスクトップでは、社内PCを直接操作できるため、データが私物端末に保存されることはありません。なかには、従業員がアクセスできる時間帯や社内端末の制限を行うこともできるため、情報漏えいのリスクが軽減されます。
Windowsに標準機能として実装されているMicrosoftリモートデスクトップが有名ですが、現在は他にもさまざまなサービスが存在しています。
VPNと多要素認証の導入
VPNはインターネット上に仮想の専用線を構築し、社外からでも社内のネットワークにアクセスすることを可能にする技術です。ただしVPNにログインするID・パスワードが漏えいすると、誰でも自由に社内ネットワークにアクセスできてしまいます。
VPNを使って社内ネットワークへアクセスする際は、認められた私物端末からのアクセスであることを証明するクライアント証明書やスマートフォンを利用した認証などを組み合わせた多要素認証を取り入れましょう。
安全に運用していくためのポイント
前述したセキュリティ対策を講じてBYODを導入したからといって安心してはいけません。導入後の運用体制も、セキュリティリスクを回避するために重要なポイントになります。
運用ルールの作成・周知
BYODを導入する上で、運用ルールを明文化し、従業員へ周知することが重要です。例えば、アプリケーションやOSを常に最新の状態に保つ、決められた時間以外に業務を行わない、端末紛失時の対応方法など、具体的なルールを明確にする必要があります。
運用ルールを明確にし、従業員へ浸透させることで、セキュリティ対策をより強固なものにすることができます。
従業員のセキュリティ意識の向上
システム面におけるセキュリティ対策をいくら万全にしたところで、従業員のセキュリティ意識が低ければその効果も半減してしまいます。
従業員全員がセキュリティリスクに対して十分な理解を持っているとは限らないため、セキュリティに関する教育・訓練を実施し、ITリテラシーの向上を図ることが重要です。さらに、定期的なセキュリティテストなどを実施し、従業員のセキュリティ意識を維持していくことも必要になります。
ソフトウェアのアップデート
セキュリティ対策で導入したソフトウェアは、定期的にアップデートやセキュリティパッチを適用することが重要です。アップデートには、新たな脆弱性への対策が含まれていることがあり、更新しないことでサイバー攻撃に対する脆弱性が残されたままになります。
また、OSも同様に定期的にアップデートする必要があります。時間が経つにつれてサイバー攻撃の手法が洗練され、新たな脆弱性が発生することがあります。そのため、最新版にアップデートすることが推奨されます。
退職時のデータ削除
BYOD環境下で退職者が出た場合、退職者が利用していた私物端末に残された企業データの後始末も忘れてはいけません。情報漏えいや不正利用を防止するために、退職者へデータを削除するように指示する必要があります。
データの削除漏れなどがあり得るため、本来は初期化が良いとされていますが、退職者の私物端末の初期化を強制することは現実的ではありません。
そのため、BYOD導入時から私物端末にデータが保存されないリモートデスクトップを使うことが最も望ましいでしょう。
7種類のテレワーク方式におけるBYOD利用で気をつけるポイント
テレワークの構成方式にはさまざまなパターンがありますが、総務省では7種類に整理されています。それぞれの方式に対してBYOD利用のガイドラインが設けられているため、自社のテレワーク方式と照らし合わせて確認してみてください。
| テレワーク方式 | BYOD利用のガイドライン |
|---|---|
| VPN方式 |
|
| リモートデスクトップ方式 |
|
| 仮想デスクトップ方式 |
|
| セキュアコンテナ方式 |
|
| セキュアブラウザ方式 |
|
| クラウドサービス方式 |
|
| スタンドアロン方式 |
|
出典:「テレワークセキュリティガイドライン 第5版」(総務省/令和3年5月)
利便性やセキュリティ対策を重視してBYODを実現しよう
BYODを導入することにより、生産性の向上や社用端末を用意するためのコストを抑えるなどの効果が期待されます。
しかし、BYODは私物端末を使用するため、セキュリティ対策や運用ルールを整えずに導入してしまうと、ウイルス感染や端末の紛失・盗難による情報漏えいなどのリスクも高まります。
前述したセキュリティ対策を実現するには、私物端末に複数のソリューションの契約や莫大な工数が必要な場合がほとんどです。しかし、リモートデスクトップの“Splashtop”であれば、1つで広範囲をカバーすることができます。
ゼロトラスト理論に基づいたSplashtopは、一般的なリモートデスクトップツールとは異なり、VPNを利用せずとも安全な通信を実現します。通信経路はSSL/TLS AES 256ビット暗号化で保護されているため、通信傍受や盗聴への対策が可能です。
また、社内PCから外部にポートを解放しない技術により、私物端末がマルウェアに感染していても、接続先の社内PCに感染拡大するリスクを避けられます。
当然ながら、社内PCに遠隔地からアクセスして業務を行える仕組みのため、私物端末にデータを残しません。二段階認証やデバイス認証も利用できるため、不正アクセスによる情報漏えいにも備えられます。
BYODを実現するためのシステムやツールを最小限にすることで、従業員が守るべきルールも最小限にすることができ、結果セキュリティ事故の発生抑制にもつながります。
BYODにおけるセキュリティ対策にお困りの方は、Splashtopの導入を検討されてみてはいかがでしょうか。
>【無料トライアル実施中】Splashtopの機能やセキュリティについて詳しくはこちら
