この連載では、企業がBYODの潮流に向き合う際のポイントについてまとめている。最終回となる今回は、BYOD対応を進めるにあたり、将来的な企業システムの姿を考慮に入れた「長期的な視野」が必要になることについて考えたい。いくら「待ったなし」とはいえ、その場しのぎの対応を続けていれば、セキュリティリスクや管理者の負担を増やし、ひいては企業の競争力そのものを低下させるという「ワナ」にはまってしまうのだ。
ITを利用しているすべての企業にとって「BYOD」(Bring Your Own Device)というトレンドに向き合うことは、もはや必須事項だ。様子見による「決断の先送り」をしている間にも、「私物」のスマートフォンやタブレットは社内に増え続け、適切な対策をとっていなければ、管理者の知らないところで「なしくずし」のBYODが横行してしまう。これは、情報セキュリティ上の重大なリスクとなる。
この連載では、避けることができないBYODへの対応を進める際に、チェックしておくべきポイントについて見てきた。第1回では、対応の具体的な手順として、まずネットワーク機器やアプリケーションのログ、聞き取り調査などを手がかりに「現状」を把握。リスク評価を行って、今後の対応方針とセキュリティポリシーを決め、技術的な実装を行っていくという流れを、ひとつの例として紹介した。
この流れを進めていく中で、ぜひ最初に念頭に置いてほしいことがある。それは、企業における情報環境整備の一環として、BYODへの対応という課題に「長期的」な視野で取り組むということだ。
いくら「待ったなし」の状況とはいえ、将来的な自社の情報システムの姿を考慮せずに、「場当たり」的な製品導入や運用変更を進めれば、それは将来に禍根を残すことなる。これが4つめの「ワナ」だ。
ITシステムというのは、一度導入して「それで終わり」というわけにはいかない。導入後には、それを継続的に動かし、管理し続ける必要がある。また、ITの世界におけるトレンドというのは急速に変化していくものだ。企業がITによって競争力を高め続けていくためには、ビジネス上の投資対効果が優れたシステムを適切なタイミングで新たに導入していく必要がある。
長期的な視野が欠けた「場当たり」的なBYOD対応に潜む「ワナ」は、セキュリティリスクを大幅に増やすだけでなく、将来的な管理の手間やコストを増大させたり、この先も変化していくであろうITのトレンドへの柔軟な対応を難しくしてしまったりする可能性もあるのだ。
便利な「SaaS」のセキュリティはきちんと確保できるか?
ここでは一つの例として、「SaaS(Software as a Service)」を導入している場合にBYOD対応を「場当たり」的に行うことの問題点について考えてみる。
近年、大手を含む多くのITベンダーが、メールやスケジューラーといったコミュニケーションツールから、SFAやCRM、さらにはERPといった基幹業務に関するものまで、さまざまシステムを「SaaS」として提供している。SaaSは、初期導入コストやライセンスコストを抑えられ、ハードウェアやシステム保守についても基本的にベンダーに任せることができるといった点でメリットも大きい。既に、コミュニケーションツールなど、社内システムの一部についてはSaaSを採用しているという企業も多いのではないだろうか。
では、そのような場合に「BYOD対応」をどう考えるべきだろうか。
「ユーザーは、メールやスケジュールなどのデータに、外出先や自宅から私用デバイスで自由にアクセスしたいはず。せっかくのSaaSなのだから、BYOD対応にあたっては、IDとパスワードだけで、どこからでも利用できるようにしておこう」というのも、たしかにひとつの考え方だ。しかし、この考え方でSaaSへのアクセスを許してしまうと、企業は非常に大きなセキュリティ上のリスクを抱えてしまうことになる。
IDとパスワードの組み合わせだけによる認証は、企業のITセキュリティを確保するにあたっては脆弱であると言わざるを得ない。ユーザーの不注意や、悪意のある人物による情報の窃取などによって、この組み合わせが第三者の手にわたってしまえば、システムの中にある情報はたやすく漏えいしてしまう。
さらに、公衆のインターネット回線を通じて直接アクセスできる状態でユーザーにSaaSの利用を許可している場合、漏えいしたIDとパスワードから不正アクセスがあった場合でも、企業のシステム管理者がユーザーの利用状況を詳細に把握できないため、不正の事実自体が極めて発覚しづらいという問題もある。
極端な例だと思うかもしれないが、このようなSaaSとBYODの不適切な運用から生まれるセキュリティリスクと、インシデントが発生した場合の対応負荷は、使うSaaSの種類やユーザーが増えるほど、倍々で増加していく。いくら「社給・私物端末問わず、どこからでもアクセスできる」ことがSaaSやBYODのメリットとはいえ、企業が業務のためのシステムとして運用するのであれば、最低限必要なセキュリティ上の対策を講じておく必要がある。
SaaSを積極的に活用しつつ、セキュリティ面での強度を保ち、なおかつユーザーが「外出先や自宅などから私物デバイスで業務データにアクセスできる」というBYODのメリットも十分に享受できるような運用方法としては、どのようなものが考えられるだろうか。ひとつは、SaaSを利用する場合であっても、そこへのアクセスは必ず社内のネットワークを経由させるというやり方だ。
企業向けのSaaSには、アクセス元のIPアドレスを特定のものに限定できる機能を持っているものも多い。その機能を利用して社外からのアクセスを基本的に禁止しつつ、ユーザーには、一度インターネットVPNなどを通じて社内のネットワークに接続させた上で、SaaSのツールを利用できるようにしておく。
この場合、社内ネットワークへのアクセス時に適切な権限があることをしっかり認証できていれば、そこからSaaSへのアクセスについては、高い正当性が確保される。社内ネットワークへのアクセス認証にあたってデジタル証明書を利用している環境であれば、アクセスしている「端末」が正当に許可されたものであることも確認できる。
さらに重要なのは社内のネットワークを経由させることで、ユーザーによるSaaSへのアクセス状況を、社内の管理者が確実に把握できるようになることだ。セキュリティ管理の面だけでなく、ITガバナンスの観点からも、SaaSのBYOD対応にあたっては、こうした運用ができることが望ましい。ただしこの方法を使うためには、事前に社内のネットワーク環境の整備、とりわけネットワーク認証の仕組みやインターネットVPNへの対応が整っていることが大前提になる。
