情報システムの管理者にとって、「BYOD(Bring Your Own Device)」というキーワードが、避けて通れないものとなりつつある。現在、「検討中」もしくは「BYODは当面認めない」と決めていたとしても「特別な対応は必要ない」と思っているなら、それは危険だ。システム上で必要な対策が行われていなければ、不正な端末が企業内のネットワークに接続する、いわば「なしくずし」の「危険なBYOD」を避けることができなくなってしまうのだ。
企業の情報システムを管理する人々にとって、好むと好まざるとにかかわらず「BYOD(Bring Your Own Device)」というキーワードが、避けて通れないものとなりつつある。
BYODとは、従業員が普段使い慣れている、個人所有のPCやスマートデバイスを業務のために利用することを許可することを指す言葉だ。旧来の、企業内ネットワークや業務に関係するデータにアクセスするためには、会社が支給したPCやデバイスを使わなければいけないというポリシーとは対照的な考え方として広がりを見せている。
BYODが注目されるワケ
BYODが注目されるのには、相応の理由がある。よく言われるもののひとつは「従業員の生産性向上」だ。企業の備品として従業員に貸与されるデバイスは会社の資産であり、一度購入やリースを行ったら、3年や5年といった一定の期間は使い続ける必要がある。しかし、近年ではそうしたデバイスの価格が下がり、機能や性能も短期間で劇的に向上する。会社支給のPCやデバイスよりも、従業員が個人で購入して、私的に利用しているもののほうが処理速度や機能、使い勝手の面で優れているといった状況が常態化しているのだ。
こうした状況は、特にスマートフォンやタブレットといったスマートデバイスが一般に急速に普及しはじめたここ数年で特に加速している。従業員が一般消費者として利用している便利なデバイスを、仕事にも使いたいと考えるのは自然な流れだろう。
一方、容易に予想できるように、こうした完全なユーザー視点での利便性の向上は、セキュリティ面でのリスクの増大と表裏一体である。どのようなアプリケーションがインストールされているかが分からず、デバイス自体の管理がどのように行われているかも不明な個人利用の機器を業務に利用するのを認めることは、ネットワークセキュリティだけでなく、企業内情報の適切な管理の観点からも許されない。
そこで、企業の情報システム担当者は、生産性の向上や業務の効率化といったBYODの導入効果、セキュリティ対策も含めた導入コスト、情報システム全体のポリシー更改の必要性などを総合的に勘案しつつ、BYODを認めるかどうか、認める場合にはどういった手順でそれを進めていくかを検討する必要に迫られる。
すでに「危険なBYOD」が進行しているおそれが…
では「今後、BYODを検討中」もしくは「当面、BYODは認めない」という判断を下している場合、現時点では特に何も行う必要はないということだろうか。答えは「ノー」だ。
情報システムの利用ポリシーとして、現状、BYODを認めないという通達を出していたとしても、システム上、ネットワークに持ち込み端末の接続が可能になっているとしたら、残念ながら、そのポリシーが従業員によって遵守されている保証はない。システム上で必要な対策が行われていなければ、認められていない端末が企業内のネットワークに接続できてしまう、いわば「なしくずし」の「危険なBYOD」が社内にはびこることになってしまう。
従業員ごとに、ネットワークに接続可能なIDとパスワードを与える基本的な認証の仕組みを導入している場合でも、状況はあまり変わらない。
IDとパスワードは、あくまでもそれを知っている「人」を認証するための仕組みであり、許可されていない「デバイス」を見分けるためのものではない。近年、PCやスマートデバイスのみならず、デジタルカメラ、ゲーム機など、Wi-Fiによるネットワーク接続が可能な機器は急激な勢いで増加している。今や、1人が常に複数のWi-Fi対応デバイスを持ち歩いているといっても過言ではない状況だ。
結果的に、管理不能な持ち込みデバイスの接続を許してしまうため、「危険なBYOD」を防ぐことは難しいといえる。
危険なBYODのまん延を食い止めるには、企業内ネットワークに接続する「人」と「機器」の双方を適切に管理する必要がある。急速に変化している市場の状況、個人の情報環境に対応して、企業のネットワークやそこに存在する重要な情報を守るためには、現在の状況を把握し、適切な対策を行っておくことが重要だ。もちろん、将来的にBYODの導入を進める可能性があるのであれば、その時にも対応が可能なインフラやポリシーを整えておくことが望ましい。
