編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

「BYOD」に潜むワナ(1)「ウチはBYODをやらない」では済まない現状

第1回 「ウチはBYODをやらない」では済まない現状を理解する

 企業ITのトレンドとして「BYOD(Bring Your Own Device)」というキーワードが注目を集めるようになって久しい。BYODは、その言葉のとおり、従業員が個人で所有しているPCやスマートデバイスを業務で使うことを意味している。特に近年のiPhoneやiPad、Androidデバイスといったスマートデバイスの急速な普及と合わせてクローズアップされるようになったが、本来はノートPCを含む私物の端末を、職場や外出先で業務利用することも含めて考え出されたコンセプトである。

 従来、従業員が業務のために使うデバイスは、会社によって支給されるのが一般的だった。支給される機器は、同時期に個人で購入できるものと比べて高価かつ高性能で、従業員の満足度も高かっただろう。しかしながら、最近は事情が違う。デジタルデバイスの機能や性能は短期間で向上し、価格も急速に下がっていく。この市場状況において、会社で支給されるものよりも、個人が私物として所有しているもののほうが、処理速度や使い勝手の面で優れているといった逆転が常態化している。私物に劣る機器で業務を強要される従業員は面白くない。高性能で使い慣れた私物デバイスを使いたいと熱望するのは必然であろう。そこで、従業員の生産性向上に端末導入コストの削減といった観点も加わり、従業員が持つ私物のデバイスを、事務作業やコミュニケーションを含む業務に利用することを許可しようといった考え方が出てきたのだ。

 もちろん、こうしたBYODにおいては、情報セキュリティ面でのリスクが増大しないように、企業には適切な対応を行うことが求められる。どのようなアプリケーションがインストールされているかや、端末自体の管理状況が不明な私物デバイスを、制限なく社内ネットワークに接続させ、業務に利用させることは、ネットワークセキュリティ、情報セキュリティ上の大きな問題となる。BYODの導入と運用にあたっては、社内制度の整備や技術面での対応が必須なのだ。

「BYODを認めていない」で様子見は可能か?

 一方で、セキュリティ上のリスクをとることを嫌う場合や、環境を整備するためのリソースがないといった理由から「我が社では、BYODを認めない」という方針を出す企業も一部には出てきているようだ。しかし、そう宣言することによって、現状のシステム運用ポリシーを見直す必要もなくなると考えているとすれば、それは大きな「ワナ」にはまっていることになる。

 「BYODを認めない」という会社の方針を周知することは重要だ。しかし、その瞬間からオフィスに持ち込まれる私物デバイスが消え去ると錯覚してはならない。認めないのであれば、(不本意なデバイスの使用を強要されている)社員が私物のPCやスマートフォンを、業務に関係する社内のシステムリソースに「接続できない」ようにする技術的対応を行っておく必要がある。ここで、もし、現状でネットワークやシステムへの接続を許可するための仕組みが、単なる「ID/パスワード」の組み合わせによる認証だけしか用意されていないのであれば、それは実質的に意味を成していない。急ぎ対策をとられた方が良いだろう。

 ID/パスワードの組み合わせによる認証は、その組み合わせを「知っている人」を認証する仕組みであり、「社員」と「第三者」を区別するには有効だ。しかし、今回の対象は「社員の私物デバイス」である。もし、ID/パスワード認証だけしか実施されていなければ、従業員は私物のPCやスマートデバイスを社内のLANポートやアクセスポイントにつなぐことさえできれば、その後は支給デバイスを使うのと全く同様に、業務に使ってしまうことができる。社員の期待に反して「BYODを認めない」というポリシーを徹底するのであれば、デジタル証明書やMACアドレス認証といった他の技術を併用して、許可された「デバイス」だけを認証する仕組みを用意しておく必要がある。

BYODの「黙認」も問題あり!

 特に近年のスマートデバイスの普及に合わせて、従業員による「勝手BYOD」、または「シャドーIT」とばれる状況は増加する傾向にあるようだ。

 「普段使っているスマホでメールやスケジュールを確認したい」といった悪意のない動機から、私用デバイスを社内のシステムに接続し、業務に関わるデータをダウンロードするといったケースもある。

 こうしたケースに対し、特に社内での規定を設けずにBYODを「黙認」している企業もある。しかし、これもガバナンス上は問題があると言わざるを得ない。

 従業員が私物デバイスにダウンロードしたデータが、顧客の個人情報に関するものだったり、業務上の機密事項にあたるものだった場合はどうだろう。万が一、従業員が不注意からデバイスを紛失してしまったり、情報漏えいなどの事故が起こってしまったりした場合、BYODを「黙認」している状態では、適切な事後処理や事故経緯の把握は難しい。企業として責任のある対応を怠り、従業員を守ることができない状況を放置していたのであれば、ガバナンス上の責任を追及されても仕方がないと言える。

 つまり、現状ではBYODを「やる」「やらない」に関わらず、社会的なIT環境の変化に合わせた適切な技術的対応と、BYODの潮流を踏まえたポリシーの策定に「すべてのITを利用している企業」が取り組まなければいけない状況にあるということになる。

提供:株式会社ソリトンシステムズ
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2013年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]