BYODのデメリット・リスクとは？取るべきセキュリティ対策を解説｜トラムシステム

社員が保有しているスマートフォン、タブレットを業務で利用するBYOD(Bring Your Own Device)が注目されています。たくさんのメリットがあるBYODですが、セキュリティリスクなどのデメリットも忘れてはいけません。本記事では、BYODのデメリットやリスク、セキュリティ対策について解説します。

個人携帯を業務利用するBYODとは

BYODとはBring Your Own Deviceの略で、社員が普段使用しているスマートフォン、タブレットなどを業務に利用することです。

企業にとっては、社用携帯端末の購入や管理にかかるコストをカットできる他、社員の生産性向上やコミュニケーション活性化などのメリットがあります。

従業員にとっても、プライベート用と業務用端末の2台持ちをしなくても良い点や、普段使い慣れた端末を業務で使える点など、利便性の面でメリットのある取り組みです。

日本でBYODがなかなか普及しない理由

テレワークや働き方改革などの新しい価値観の浸透を受けて、BYODはここ数年で一気に注目を浴びるようになりました。IT企業などを中心に導入が進むBYODですが、世界と比べるとその普及率はまだ及びません。

それには、ICT（情報通信技術）に対する日本の対応の遅れが関係しています。

総務省から発表されている「平成30年度版情報通信白書」をもとに、日本のICT(情報通信技術)導入率を世界各国と比較してみましょう。

参考：平成30年度版情報通信白書（総務省）

情報通信ネットワーク、情報端末、社内システムなど基本的なICT基盤の導入率は、以下のようになっています。

・日本のICT導入率：70.2％
・アメリカのICT導入率：80.8％
・イギリスの導入率:94.4％
・ドイツの導入率:93.8％

日本での導入率は約70％と、他と比べても低い数字です。原因として、以下の3点が挙げられます。

1.日本企業の社長の平均年齢は61.45歳（2017年の調査)であり、ICTへの理解に乏しい層が中心となっている
2.若者、特に中学生(13~15歳)のパソコン保有率が先進国と比べても低く、情報リテラシーが育ちにくい
3.APIやクラウドサービスなど、生産性向上の役立つ新技術への興味が薄い

BYODの導入率も低く、日本、アメリカ、イギリス、ドイツの四か国中最下位です。

アメリカでは2016年に「BYODをすでに59％の企業が導入し、1年以内に13％の企業が新たに許可する」と発表されており、日本との差を広げています。今後は、BYOD含むICTへの関心を高め、導入率を向上させるための取り組みが必要です。

AI、IoTの導入にあたっても、「ネットワークを繋げたモノが第3者に乗っ取られる恐れがある」「導入を先導する人材に乏しい」を日本企業は課題としています。最新技術を理解する人間が乏しく、セキュリティに不安を感じる企業が多い現状では、BYODの普及も進まないでしょう。

私用スマホを業務利用するBYODのデメリットとリスク

BYODはこれまで社員に支給していた端末費の削減などコスト面で多大な恩恵がもたらされますが、セキュリティ面のリスクや万が一のトラブルが発生した場合の被害額が深刻化するというデメリットも抱えています。具体的な事例を紹介しますので、どのような対策を施すべきか一度考察してみましょう。

紛失・盗難

“喫茶店で少し目を離したすきに、スマートフォンがなくなっていた。”

紛失であれ盗難であれ大変な事件ですが、BYODで利用している端末だった場合、リスクはより深刻です。端末内部に保存されている機密情報に危機が及びます。

近年は、端末だけでなくデータも抜き取って販売されるケースも存在しており、顧客データが被害にあえば損害は計り知れません。業務用データの管理があいまいで個人用データと混在しているような状態の場合、リスクはより現実的なものとなります。

ネットワーク経由での攻撃

“業務で利用している時にウィルス攻撃を受けたが、社外にいるので対策方法が分からない。”

BYODで利用しているパソコンやスマートフォンは、ネットワークを通じて攻撃されるリスクがあります。個人用で万全のセキュリティが施されているとは言えない端末を、セキュリティホールをついて攻撃することは難しくないからです。

利用者が社外にいて適切な対策を取れない場合、被害はさらに拡大します。最悪の場合、ウィルス感染した端末を通じて企業のデータベースに侵入され、より大規模な被害が発生するかもしれません。

退社時の権限管理

“社員が連絡もなしに出社しなくなったが、BYOD用の端末とアクセス権限を保有したままだ。”

従業員が会社を退社する際、BYOD用端末のアクセス権限削除が必須となるのも遠い未来ではないでしょう。

もし削除しなかった場合、部外者にもかかわらず、社内用データの閲覧や持ち出しが可能となってしまうからです。情報システム要員が少なく、人の出入りも激しい中小企業では、特に注意が必要となります。

BYOD導入で取るべき4つのセキュリティ対策

想定されるリスクを回避するためには、BYOD導入の際にセキュリティ対策を構築する必要があります。近年はBYODのセキュリティを強化するツール・サービスが多数発表されているので、積極的に利用すればリスクの低減が可能です。

1.デバイスの管理と保護

BYODで最も危険なのが、パソコンやスマートフォンを紛失・盗難されることです。このような事態に対処するため、デバイスの管理と保護は徹底的に行う必要があります。

簡単な手法として、デバイスに強力なパスワードやアクセスコートを設定することが挙げられます。個人で使うデバイスに、簡単なパスワードを設定してしまうことは珍しくありません。簡単に解除されないように設定するよう社員に指導する、あるいは企業側で予め指定しておくことがおすすめです。指紋やフェイシャルIDなどの生体認証も設定すれば、突破されるリスクは非常に小さくなります。

万が一紛失した場合に備え「てFind My Device」のような位置情報探索サービスやリモートワイプサービスにも加入しておきましょう。デバイスがどこにあるのか追跡することが可能で、最悪の場合遠隔操作でデータを消去できます。このような事態に備え、社員にはデータのバックアップを取るよう指示しておくと効果的です。

2.モバイルデバイス管理ツールの導入

モバイルデバイス管理(MDM)のツール・ソリューションの導入も、セキュリティ向上の一環として効果的です。暗証番号、暗号化、リモートワイプ、データ保護といった機能を備えており、以下のような役割を果たします。

1.承認されたデバイスのみ社内データにアクセスできるようにする
2.デバイス内の危険なアプリケーションを削除する
3.業務に必要なアプリケーションを配布する
4.トラブルが発生した際、リモートコントロールを行えるようにする

数千人の規模の大企業の場合、モバイルデバイス管理ツールによる一元管理が必須です。企業向け製品も多数販売されているので、専門家と相談しながら導入しましょう。

3.DDoS攻撃対策

スマートフォンなどレート制限が低い携帯機器は、複数のマシンによる大量のリクエストで機器を停止に追い込むDDoS攻撃に対して脆弱です。

BYODは携帯機器を端末とすることが多いので、対策が必要となります。しかし、ウィルスによって行われる通常のサイバー攻撃とは違い、通常のリクエストによって行われるDDoSは防御が難しい攻撃です。

DDoS攻撃の対策として、以下の3点が実行しましょう。

1.頻繁に攻撃を仕掛けるIPをアクセス制限する
2.海外から攻撃される場合が多いので、日本以外のアクセスを制限する
3.「WAF」などのDDoS攻撃対策ツールを導入する
特にDDoS対策ツールは、IT対応人員に少ない中小企業でも有効に機能します。

4.運用体制の構築

BYODのセキュリティを万全にするには、運用体制の構築が最も効果的です。単に管理チームを編成するだけでなく、BYODを利用する社員全員を巻き込んだ体制を編成する必要があります。社員が一人でもセキュリティの重要性を把握していない場合、トラブルが発生するリスクが大幅に高くなるからです。

セキュリティリスクを低減するための体制構築に必要なものは、以下の3つです。

1.端末の利用範囲やトラブル発生時の対策を記した社内ルール
2.あらゆる社員が安全にBYODを利用するための利用マニュアル
3.利用者の疑問解消やフォローを行うサポートデスク

これら全てが万全に揃えば、BYODを運用する体制が十分に整ったといえます。社内で協議を重ね、理想の運用体制を構築しましょう。

BYODのリスクを上回る危険なシャドーITとは

BYODを導入していないのにも関わらず、プライベート用端末を業務に利用する「シャドーIT」が近年増加しています。社員の勝手な判断で行われていることが多く、企業のセキュリティを揺るがす大きな問題です。

近年発生しているのが、日本の代表的なSNS（ソーシャル・ネットワーキング・サービス）である「LINE」で業務上のやりとりをするケースです。

チャット形式の連絡方法がメールより手軽なので、いつの間にか流行している事例が報告されています。他にも「会社のメールを自分のパソコンで確認した」、「休日に自分のパソコンで報告用の資料を作成した」などもシャドーITにあたります。

シャドーITは、リスク要因を企業が認知できない非常に危険な行為となります。

社員は「少し利用しただけ」という認識であっても、それが安全であるという保証はどこにもありません。該当する行動を行っている場合は、即刻中止しましょう。もし、シャドーITなしで業務続行が困難な場合は、企業にBYOD導入を要請してください。

導入目的にあったセキュリティ対策を

BYODを導入するうえで一番重要なのは、利用目的とセキュリティ対策のバランスです。セキュリティが脆弱だとトラブルの原因となりますが、強固すぎると利便性を損ない利用者が増えません。利用目的に必要なセキュリティのレベルをよく吟味し、最適な対策を実行しましょう。

また、BYODの関連技術は発展段階にあるため、定期的な情報収集も必要です。常にPDCAサイクルを回し、セキュリティ対策や利用ルールのアップデートを定期的に行いましょう。