BYODついては、以下のダウンロード資料もぜひご覧ください。BYODの概要やメリット・デメリット、セキュリティ対策のポイント、実際にBYODを導入した企業の事例などをまとめて解説しています。
BYODとは、個人の持つPCやスマートフォンを業務に使うことを指し、「Bring Your Own Device」の略称です。コロナ禍や働き方改革などでテレワークが普及するにつれ、BYODを導入する企業もありますが、BYODを適切に利用するためには、しっかりとセキュリティ対策を行わなければなりません。
今回は、BYODにおけるセキュリティリスクや、実際に起こったセキュリティ事故の事例、セキュリティリスクを抑えてBYODを運用するためのポイントを解説します。
目次
企業がBYODを導入するにあたり、考えられるセキュリティリスクは4つあります。
特にスマートフォンなどの持ち運びしやすい端末で起こりやすいのが、紛失・盗難による情報漏洩です。外出先でふと置き忘れてしまった、落としてしまったなどのほか、誰かに取られてしまったという事態も考えられます。紛失や盗難にあった場合、ロックを解除されてしまえば簡単に情報が盗まれてしまうでしょう。
業務で使うBYODとして正式に企業に届けを出していない端末や、情報システム部門が関知していないソフトウェア、クラウドサービスなどを利用することを「シャドーIT」、または「忍び型BYOD」などと呼びます。シャドーITでは、企業側でその端末にかかわる従業員の行動を把握できないため、操作ミスによる情報漏洩やセキュリティ対策漏れのリスクが考えられます。
社外から社内の業務リソースにアクセスする場合、社内ネットワークにつないだ端末を介してウイルスやマルウェアに感染するリスクがあります。個人端末にもウイルス対策ソフトをインストールするといった十分なセキュリティ対策を講じる必要があります。
私物端末を業務で使うBYODでは、従業員個人のSNSやメールなどから情報漏洩が起こる可能性があります。また、プライベート用のSNSで仕事のやりとりを行ってしまう場合にも注意が必要です。アカウントを乗っ取られるケースもあるためです。個人のアカウントから情報漏洩が発生した結果、企業の信頼が失われる可能性もあります。
テレワークでBYODを利用する場合のセキュリティ対策については、以下の記事で詳しく解説しています。
関連記事総務省が公開する「テレワークセキュリティガイドライン 第5版」から、BYODのセキュリティ事故例および具体的動向について紹介します。
2020年5月、あるグループ企業の従業員がテレワーク端末上でフリーメールに添付されたファイルを開封し、マルウェアに感染してしまう事態が発生しました。感染した端末はそのPC 1台でしたが、新種のマルウェアだったためにマルウェア検知システムによる検知が遅れ、氏名・メールアドレスを含む個人情報1万件以上が漏洩しました。
事例1と同時期の2020年5月、リモートアクセスによって社内ネットワークを利用していたBYOD端末から正規のアカウントとパスワードが盗まれ、社内ネットワークに不正アクセスされた事件が発生しました。このケースでは、仮想デスクトップ(VDI)によるリモートアクセスシステムを使っていましたが、BYOD端末そのものが乗っ取られていました。BYOD端末が攻撃の「踏み台」となり、社内ネットワークに正規の手法でアクセスされたことから、180社以上の顧客に影響が出る事故が起きました。
さらに、同ガイドラインには、公衆無線LANを利用した攻撃のなかに、ホテルの無線LANネットワークを乗っ取り、無線LANを利用した宿泊者から情報を窃取する攻撃(「Darkhotel」と呼ばれている)があると記されています。出張先のホテルでBYOD端末を使って業務を行う際に、攻撃を受けるリスクが考えられるでしょう。
BYODを活用するメリットやデメリット、安全に運用するためのポイントについては、以下の記事をご参照ください。
関連記事上記を踏まえ、企業がセキュリティリスクを極力減らしてBYODを行うための対策について、3つの方法を挙げて解説します。
社外からアクセスされた場合の識別方法として、VPNやクライアント証明書の利用が有効です。例えば、2番目の事故事例のようにIDとパスワードを盗まれたとしても、クライアント証明書と組み合わせれば、許可された端末以外からの接続をアクセス拒否できます。また、VPNはアクセスログも残せるため、不審なアクセスがあれば素早く検知し、原因追求しやすくなるでしょう。
リモートデスクトップとは、社内の業務用PCのデスクトップ環境を、離れたところにある手元の端末から操作する方法です。社内の業務用PCのデスクトップを遠隔操作しているだけなので、手元の端末にはデータが残らないところがリモートデスクトップの大きなメリットです。
リモートアクセスでは、リモートデスクトップ方式だけではなく、直接業務リソースにアクセスする方法もあります。セキュアブラウザ方式を使えば、手元の端末内にデータを残さずにすむほか、VPN方式で安全な通信を行ったり、API方式でクラウドサーバー上に提供されているアプリケーションにアクセスしたりすることで、情報漏洩を防ぎやすいことがポイントです。
リモートアクセスやリモートアクセスが行えるツールについては、以下の記事で詳しく解説しています。
関連記事MDMとは「Mobile Device Management」の略称です。BYOD端末にセキュリティ機能や機能制限を付与できるものです。そのためのソフトウェアやサービスのこともMDMと呼ばれています。OSのアップデートやアプリケーションのインストール・アンインストールを管理者が行える、端末紛失の際に遠隔操作でロック、あるいはデータの一部またはすべてを削除できるなどが主な機能です。
一方、MAMは「Mobile Application Management」の略称です。端末の機能そのものに制限を施すMDMに対し、BYOD端末にインストールされたアプリケーションを管理すること、またはそのためのソフトウェア、サービスを指します。従業員のプライバシー保護の観点から、BYOD端末ではMDMよりMAMが使われることが多く、私物端末であっても、端末内で業務に利用するアプリケーションとデータのみを切り離して管理することができます。
企業がBYODを運用するためには、セキュリティ面でどのようなポイントをおさえればよいのでしょうか。ここでは、3つのポイントを解説します。
もっとも重要なポイントとして、BYODにおける運用ルールやガイドラインの策定が挙げられます。従業員がIT関連の知識を十分に持っていなかったとしても、ルールやガイドラインとして「BYOD端末の使い方」を定め、ルールを遵守してもらうことでセキュリティリスクを減らすことができます。従業員自身も、ルールを守ればセキュリティを守れる、として業務に集中できるでしょう。
セキュリティに関する問題は専門性が高いため、はじめに情報システム部門などが中心となって運用ルールやガイドラインを策定しましょう。可能な部分はルールを一律化することで、業務効率化が図れます。そうすれば、情報システム部門はイレギュラーな事態にのみ対応すればよくなり、イレギュラーが起こった場合には都度ガイドラインを更新していくことで、自社独自のノウハウ・ナレッジを蓄積することも可能です。
運用ルールやガイドラインを定めたうえで、従業員のセキュリティ意識を高める啓蒙も必要です。運用ルールやガイドラインがしっかりしていても、従業員のセキュリティ意識が低いと「このくらい守らなくても大丈夫だろう」と勝手な判断をしてしまうことが考えられます。ルールを遵守しないことでどのようなリスクが発生するのかを説明し、セキュリティに対する意識を高めるための研修や教育を行う必要があるでしょう。
例えば、コンプライアンス教育にセキュリティ対策を盛り込むのもひとつの方法です。コンプライアンスとは法令遵守のことを指し、社会通念上のルールはもちろん、企業が独自に策定したルールやガイドラインを守ることも含まれます。
そもそもの対策として、ウイルス対策ソフトの導入や、安全性の高いインターネット回線の使用といったことも忘れてはいけません。ウイルス対策ソフトで感染を防ぎ、不正アクセスを検知して素早く対策を行う必要があります。また、VPNやクライアント証明書を使って、攻撃者がアクセスしにくい環境を構築できれば、マルウェアの感染や情報漏洩などのリスクを下げられるでしょう。
BYODには端末の紛失・盗難による情報漏洩、ウイルス感染やマルウェア感染などのセキュリティリスクがあります。実際に、BYOD端末であるがゆえに起きてしまった事故もあります。しかし一方で、VPNやクライアント証明書、リモートデスクトップなどのリモートアクセス、MDMやMAMなどのセキュリティ対策を正しく行うことで、安全に活用することも可能です。
「CACHATTO」は、社外のPCやスマートフォンなどの端末から、セキュリティを確保しつつさまざまな業務リソースへリモートアクセスできるサービスです。 BYOD端末に情報を残さず、アクセスを暗号化して盗み出しにくくするセキュリティ対策が施されています。また、専用のアプリケーションからアクセスして端末にデータを保持させないため、万が一端末が盗難や紛失に遭っても安心です。手間のかかるVPN構築も不要であり、簡単にセキュリティを確保したBYODでのリモートアクセスを実現できます。詳細はCACHATTO(カチャット)の製品紹介サイトよりご確認ください。
BYODの概要とメリット・デメリット、セキュリティ対策時のポイントや実際のBYOD導入事例を紹介した「BYOD(私物端末利用)の活用とセキュリティ対策のポイントとは?」もぜひご参照ください。
なお、「セキュリティ」「労務管理」「コミュニケーション」「私物PCの活用」の4つのテーマを軸にした、在宅勤務の課題解決セミナー動画も以下より無料で視聴できます。ぜひ、あわせてご覧ください。
リモートアクセスや製品に関する
お役立ち資料をご用意しています。
リモートアクセスや製品に関する
様々なご質問にお答えします。