ESET/マルウェア情報局
私物のPCやスマホを業務利用する「BYOD」の危険性
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「BYODって?私用携帯の業務利用で企業が求められることとは?」を再編集したものです。
スマートフォン(以下スマホ)やタブレットが登場してから10年あまり。いまや現代人の日常生活はこれらなくしては語れないというほどに依存度が高くなってきている。当然ながら業務での利用も進んでいるが、一部企業では支給・貸与という形式をとらず、私的な端末を持ち込み利用させるケースもある。このBYODと呼ばれる対応にはセキュリティ上のリスクをはらんでいる。本記事では、BYODに対し企業が講じる必要がある対策について解説する。
BYODとはなにか
BYODとは、「Bring Your Own Device」の頭文字をとった略語で、私物のパソコンやスマホを業務の現場に持ち込み、利用することを意味する。BYODが広まった背景にはモバイル端末の普及がある。日常生活で利用する中でスマホの利便性を享受したユーザーが、私物のスマホを業務で利用するようになったのだ。使い慣れている私物のスマホを、従業員同士や顧客とのコミュニケーション手段、簡易的な業務対応などの用途に使われるようになってしまった。LINEなどの便利なチャットツールの爆発的な普及もBYOD拡大の一因とされる。
企業が業務用にスマホを支給することは一般的になってはいるが、実質的にBYODの状態にある企業は今でも少なくない。ユーザーである従業員にとって何かと制限が多い支給されたスマホより、日ごろから使い慣れた私物のスマホを使うのが簡単で便利だ。クラウド環境の普及で、IDとパスワードの情報が得られれば業務システムにアクセスできてしまうことも少なくない。このようなセキュリティの甘いクラウド環境も、結果的にBYODの普及をあと押ししてしまっている。
企業側もBYODに対する危険性を十分に把握しておらず、BYODから目を背けてきた側面は否めない。決して安くない、スマホなど情報端末への設備投資負担を軽減できるからだ。上司から部下への連絡に対し、LINEなどのSNSでのやり取りを指定されることも少なくないだろう。業務システムのクラウド化、Web活用といった流れもあり、従業員の私物のスマホから社内システムへの直接アクセスを許可している場合すらある。働き方改革の流れの中で、残業抑制をうたいながら、モバイル環境で実質的な持ち帰り残業を常態化させている悪質なBYODの放置も少なくない。以下のように、私物を使った業務はすべてBYODに分類されるため、注意したい。
・会社のモバイルパソコンを、私物のスマホのテザリング機能でインターネット接続する。
・業務上で写真撮影が必要なときに、私物のスマホのカメラアプリで撮影する。
・プライベートでも仲のよい取引先と、仕事の情報もSNSでコミュニケーションをとっている。
・業務で交換した名刺を、私物のスマホの名刺管理アプリで写真撮影し、管理している。
BYODの危険性
便利に仕事をしたい従業員と、設備投資負担を軽減したい企業の思惑がはからずも一致し、一定の普及を見せているBYODだが、そこには大きなセキュリティリスクが潜んでいることを企業は念頭に置かねばならない。私物のスマホなどの情報端末は、会社の管理が行き届かない、いわば無法地帯と呼べる状態だ。すでにウイルスに感染している情報端末で、会社の重要情報にアクセスされる可能性も否定できない。一般的に、BYODには以下のようなリスクがある。
- SNSツールを通じた情報漏えい
SNSは、手軽に情報をやり取りできるコミュニケーションツールだ。それだけに、手軽に重要情報も流出させる恐れがある。SNSのアカウント管理がずさんであれば、不正にSNSアカウントにログインされてしまい、やり取りしていた重要情報が根こそぎ盗まれる恐れもある。
- 業務システム経由での情報漏えい
私物の端末から業務システムへのアクセスが許可されている場合、従業員に悪意があれば、いとも簡単にデータを持ち出すことが可能となってしまう。従業員が私的にダウンロードしたアプリがマルウェアに感染していれば、従業員の端末を踏み台に、業務システムに不正アクセスされる可能性も考えられる。
- 端末の紛失
業務に利用している私物のスマホなどの情報端末は、紛失したときに危険性が大きくなる。会社の情報機器であれば常識にもなっているパスワードの保護ですら、私物の場合は対応していない可能性もある。場合によっては、業務に利用している情報端末の紛失を会社に報告せず、被害を大きくしてしまう可能性もあるだろう。
BYOD対策の難しさ
大きなセキュリティリスクをはらむBYODには、適切なセキュリティ対策が必要である。しかし、私物端末という特性上、従業員に必要な安全対策やルールの順守を強いることは難しい。先述のように、私物端末を紛失した場合の情報漏えいリスクも考慮しなければならない。私物の情報機器に対し、会社が一定の範囲内で関与しなければならないのだ。このような対応の難しさから、一律でBYODを禁止している企業も少なくない。
しかし、ITツールの活用がビジネスの現場で浸透する中、モバイル端末の配布やコミュニケーションの代替手段を与えずに、安易にBYODを禁止することは業務停滞の可能性を高める。従業員の利便性は失われ、モチベーションの低下につながる恐れもある。一律禁止は、むしろ会社に黙って私物の情報機器で仕事をする「シャドーIT」を促すことになり、一層悪化した事態を招きかねない。ただ単にBYODを禁止することが、セキュリティリスクを低減させるとは限らないのだ。その結果、建前上BYODを禁止にしながらも、実質的にはシャドーITが蔓延しているような、中途半端な状態に陥ってしまうことも少なくない。
適切なBYOD対策を企業として講じるためには、仕組みとルールの両立が求められる。まずは、可能な範囲で、私物の情報機器でアクセスできる情報システムを絞り込むなどの仕組みを構築したい。そのうえで、就業規則の中に端末利用の規定を設けることや、BYOD利用規定を作成するなどして、罰則規定を含む運用ルールを明確化する必要があるだろう。
主なBYOD対策
ただ単にルールを設けるだけでは、セキュリティ対策としては不十分だ。以下のようなBYODへの対策を適切に講じることでリスク低減の仕組みを作り、セキュリティリスクの軽減を目指す必要がある。
- MDMツールの導入
会社支給のスマホであれば導入されることが多い、遠隔ロックや遠隔ワイプが可能となる管理ツールがMDM(Mobile Device Management)だ。MDMを私物のスマホに導入することを条件にBYODを認めることは、紛失時の情報リスクを避けるために有効な策のひとつだろう。しかし、従業員の私物端末であることから、実際に導入されているケースは少ない。現実的には、一定のセキュリティレベルが求められる業務システムに私物の情報端末でアクセスする必要がある場合に限られるだろう。
- リモートアクセスや仮想デスクトップによる利用のみを許可
私物の端末から業務システムにアクセスする場合は、リモートデスクトップ接続や仮想デスクトップなど、特定の端末やサーバーを経由する方法も選択肢として考えられる。端末側には重要データが残らないが、直接業務システムにアクセスする場合と操作性は大きく変わらないため、セキュリティ強度を高めながら利便性も両立できる方法であるといえる。
- Webアプリケーションのみ利用可能とする
BYODでアクセスできる業務システムを、Web上でのみ編集・保存ができるWebシステムに限定しておけば、端末紛失時に別のブラウザーからリモートでログアウトすることも可能だ。端末上にデータが残ることもない。ブラウザーにキャッシュとしてパスワードが保存されていると、パスワード情報の漏えいリスクが残るため、次に説明する認証強度の強化も併せて検討したい。
- 認証強度の強化
証明書をインストールした端末のみのアクセス許可や、端末の持つ生体認証を使った二要素認証を用いてシステムにアクセスするなど、BYODを許可する端末の認証強度を高めておきたい。たとえ、情報端末を紛失した場合でも、情報端末や業務システムへの不正アクセスの可能性を低減することができる。
デジタル端末は業務に必須という前提で対策を検討したい
業務を便利に遂行したい従業員と設備投資を抑えたい企業の思惑が一致し、図らずもBYODは一定の普及を見せているのが実状だ。しかしBYODは適切な対策を講じることは難しく、一方的に禁止するだけでは問題は解決しないことは頭に入れておきたい。
働き方改革の影響もあり、生産性向上が命題とされている中、スマホやタブレットなどデジタル端末の利用はもはや必須といえる状況になっている。そうした状況に対し、BYODを前提に対策するのか、あるいは端末を支給・貸与するのかというのは大きな分かれ道であり、それぞれにメリット・デメリットが存在する。自社の風土や文化、規模、業態などを踏まえた上で、適切な判断をし、企業の競争力強化につなげていくことが重要だ。